چگونه می توان از شرکت خود در برابر کلاهبرداری DeepFake محافظت کرد

در سال 2024 ، یک کلاهبردار از صدای صوتی و تصویری Deepfake برای جعل هویت مدیر عامل شرکت فراری Benedetto Vigna استفاده کرد و سعی در انتقال سیم داشت ، بنا بر گزارش ها ، به یک خرید گره خورده است. فراری هرگز این مبلغ را تأیید نکرد ، که شایعات در میلیون ها یورو قرار داشت.

این طرح هنگامی شکست خورد که یک دستیار اجرایی با پرسیدن یک سؤال امنیتی فقط مدیر عامل واقعی می تواند پاسخ دهد.

این علمی تخیلی نیست. Deepfakes از اطلاعات نادرست سیاسی به کلاهبرداری شرکتها پرش کرده است. فراری این یکی را خنثی کرد – اما شرکت های دیگر خیلی خوش شانس نبودند.

حملات اجرایی Deepfake دیگر موارد کمیاب نادر نیست. آنها استراتژیک ، مقیاس پذیر و در حال افزایش هستند. اگر شرکت شما هنوز با آن روبرو نشده است ، شانس این است که فقط موضوع زمان است.

مرتبط: هکرها یک شرکت امنیت سایبری 12 میلیارد دلاری را با یک عمق مدیرعامل خود هدف قرار دادند. در اینجا به همین دلیل است که جزئیات کوچک آن را ناموفق کرده است.

چگونه AI قدرتمند را توانمند می کند

شما به کمتر از سه دقیقه ویدیوی عمومی مدیرعامل – و کمتر از 15 دلار نرم افزار – نیاز دارید تا یک عمق قانع کننده ایجاد کنید.

فقط با یک کلیپ کوتاه YouTube ، نرم افزار AI می تواند چهره و صدای شخص را در زمان واقعی بازآفرینی کند. بدون استودیو بدون بودجه هالیوود. فقط یک لپ تاپ و شخصی که آماده استفاده از آن است.

در Q1 2025 ، براساس گزارش حادثه Deepfake AI در Q1 2025 ، در Q1 2025 ، 200 میلیون دلار در سطح جهان تخمین زده می شود. اینها شوخی نیستند – آنها هدف قرار می گیرند که به کیف پول های C – می روند.

بزرگترین مسئولیت زیرساخت های فنی نیست. اعتماد است

چرا C – Suite یک هدف اصلی است

مدیران اهداف آسان می کنند زیرا:

• آنها تماس های درآمد ، وبینارها و فیلم های Linkedin را به اشتراک می گذارند که داده های آموزش را تغذیه می کنند

• سخنان آنها وزن دارد – تیم ها با فشار کمی پیروی می کنند

• آنها پرداخت های بزرگ را سریع ، اغلب بدون پرچم قرمز تأیید می کنند

در نظرسنجی Deloitte از ماه مه 2024 ، 26 ٪ از اعدام ها گفتند که شخصی در سال گذشته کلاهبرداری عمیق در مورد داده های مالی خود را امتحان کرده است.

در پشت صحنه ، این حملات اغلب با اعتبار سرقت شده از عفونت های بدافزار آغاز می شود. یک گروه جنایی بدافزار را توسعه می دهد ، یکی دیگر از نشت های Scours برای اهداف امیدوارکننده – نام شرکت ، عناوین اجرای و الگوهای ایمیل.

تعامل چند منظوره به شرح زیر است: متن ، ایمیل ، چت های رسانه های اجتماعی – ایجاد آشنایی و اعتماد قبل از یک فیلم زنده یا DeepFake ، معامله را مهر می کند. مرحله آخر؟ یک سفارش جعلی از بالا و انتقال سیم به هیچ جا.

تاکتیک های حمله مشترک

کلونینگ صوتی:

براساس داده های کمیسیون تجارت فدرال ، در سال 2024 ، ایالات متحده بیش از 845،000 کلاهبرداری تحمیل کننده را مشاهده کرد. این نشان می دهد که ثانیه های صوتی می توانند یک کلون قانع کننده ایجاد کنند.

مهاجمان با استفاده از چت های رمزگذاری شده – WhatsApp یا تلفن های شخصی – پنهان می شوند تا دامن آن را کنترل کنند.

یک مورد قابل توجه: در سال 2021 ، یک مدیر بانک امارات متحده عربی با تقلید از صدای مدیر منطقه تماس گرفت. او 35 میلیون دلار به کلاهبردار پرداخت کرد.

Deepfakes Video Live:

AI اکنون جعل هویت ویدیویی در زمان واقعی را امکان پذیر می کند ، همانطور که تقریباً در پرونده فراری اتفاق افتاد. مهاجم یک تماس ویدیویی مصنوعی از مدیرعامل Benedetto Vigna ایجاد کرد که تقریباً کارمندان را فریب داد.

مهندسی اجتماعی چند کانال:

مهاجمان غالباً با گذشت زمان بهانه هایی می سازند – ایمیل های استخدام کننده جعلی ، چت های LinkedIn ، دعوت های تقویم – قبل از تماس.

این تاکتیک ها کلاهبرداری های دیگر مانند تبلیغات تقلبی را تکرار می کنند: مجرمان مبارزات انتخاباتی برند مشروع را کپی می کنند ، سپس کاربران را بر روی صفحات فرود جعلی برای سرقت داده ها یا فروش حذفی فریب می دهند. کاربران برند واقعی را مقصر می دانند و باعث خسارت شهرت می شوند.

اعتماد سازی چند منظوره به همان روش در جعل هویت اجرایی کار می کند: آشنایی در را باز می کند ، و هوش مصنوعی درست از طریق آن قدم می زند.

مرتبط: تهدید عمیق واقعی است. در اینجا 3 روش برای محافظت از تجارت شما وجود دارد

چه می شود اگر کسی C -Suite را عمیق کند

فراری پس از یک عمق زنده از مدیرعامل خود ، به سیم کشی نزدیک شد. فقط چالش سریع دستیار در مورد یک سوال امنیتی شخصی آن را متوقف کرد. در حالی که در این مورد هیچ پولی از بین نرفت ، این حادثه نگرانی هایی را در مورد چگونگی سوء استفاده از کلاهبرداری در AI ایجاد کرد.

شرکت های دیگر خیلی خوش شانس نبودند. در مورد امارات متحده عربی در بالا ، یک تماس تلفنی عمیق و اسناد جعلی منجر به ضرر 35 میلیون دلاری شد. فقط 400000 دلار بعداً به حساب های ایالات متحده ردیابی شد – بقیه ناپدید شدند. اجرای قانون هرگز عاملان را شناسایی نکرد.

یک پرونده 2023 شامل یک شرکت بیمه شده بیزلی بود ، جایی که یک مدیر امور مالی یک فیلم عمیق واتس اپ از مدیرعامل دریافت کرد. طی دو هفته ، آنها 6 میلیون دلار به یک حساب جعلی در هنگ کنگ منتقل کردند. در حالی که بیمه به بازیابی ضرر مالی کمک می کرد ، این حادثه هنوز هم عملیات را مختل کرده و آسیب پذیری های بحرانی را در معرض دید قرار می دهد.

تغییر از اطلاعات نادرست منفعل به دستکاری فعال بازی را به طور کامل تغییر می دهد. حملات عمیق فقط تهدیدی برای شهرت یا بقای مالی نیست – آنها مستقیماً اعتماد و یکپارچگی عملیاتی را تضعیف می کنند.

نحوه محافظت از C – Suite

• حسابرسی محتوای اجرایی عمومی.

• قرار گرفتن در معرض اجرایی غیر ضروری را در قالب های ویدئویی/صوتی محدود کنید.

• بپرسید: آیا CFO باید در هر وبینار عمومی باشد؟

• تأیید تأیید چند عاملی.

• همیشه درخواست های پرخطر را از طریق کانال های ثانویه تأیید کنید-نه فقط ایمیل یا فیلم. از اعتماد کامل به هر رسانه خودداری کنید.

• ابزارهای تشخیص AI را اتخاذ کنید.

• با استفاده از ویژگی های هوش مصنوعی برای تشخیص محتوای جعلی AI ، از ابزارهایی استفاده کنید که با آتش با آتش مبارزه می کنند:

  • تجزیه و تحلیل عکس: تصاویر تولید شده توسط AI را با مشاهده بی نظمی های صورت ، مشکلات روشنایی یا ناسازگاری های بصری تشخیص می دهد

  • تجزیه و تحلیل ویدیو: پرچم های عمیق با بررسی حرکات غیر طبیعی ، اشکالات فریم و خطاهای همگام سازی صورت

  • تجزیه و تحلیل صدا: گفتار مصنوعی را با تجزیه و تحلیل عدم تطابق لحن ، cadence و الگوی صوتی شناسایی می کند

  • نظارت آگهی: تبلیغات DeepFake را شامل شباهت های اجرایی تولید شده توسط AI ، تأیید جعلی یا کلیپ های ویدیویی/صوتی دستکاری شده است

  • تشخیص جعل هویت: با شناسایی صدای ناسازگار ، چهره یا الگوهای رفتاری که برای تقلید از افراد واقعی استفاده می شود ، عمیق است

  • تشخیص خط پشتیبانی جعلی: کانال های خدمات مشتری کلاهبرداری را شناسایی می کند-از جمله شماره تلفن های کلون شده ، وب سایت های کلاهبرداری شده یا چت بابات AI که برای جعل هویت مارک های واقعی طراحی شده اند

اما مراقب باشید: مجرمان بیش از حد از هوش مصنوعی استفاده می کنند و اغلب سریعتر حرکت می کنند. در حال حاضر ، مجرمان در حملات خود از AI پیشرفته تر از آنچه در سیستم های دفاعی خود استفاده می کنیم استفاده می کنند.

استراتژی هایی که در مورد فناوری پیشگیرانه وجود دارد ، احتمالاً از بین می روند – مهاجمان همیشه راه هایی را پیدا می کنند. آموزش کامل پرسنل به همان اندازه مهم است که فناوری گرفتن عمیق و مهندسی اجتماعی و خنثی کردن حملات است.

آموزش با شبیه سازی های واقع بینانه:

برای آزمایش تیم خود از دریل های شبیه سازی شده فیشینگ و DeepFake استفاده کنید. به عنوان مثال ، برخی از سیستم عامل های امنیتی اکنون حملات مبتنی بر DeepFake را برای آموزش کارمندان و پرچم گذاری آسیب پذیری های مربوط به محتوای تولید شده AI شبیه سازی می کنند.

درست همانطور که ما هوش مصنوعی را با استفاده از بهترین داده ها آموزش می دهیم ، همین مورد در مورد انسان نیز صدق می کند: نمونه های واقع گرایانه را جمع کنید ، حملات واقعی عمیق را شبیه سازی کنید و پاسخ ها را اندازه گیری کنید.

ایجاد یک کتاب پخش پاسخ به حادثه:

با نقش های واضح و مراحل تشدید یک برنامه پاسخ حادثه ایجاد کنید. به طور مرتب آن را تست کنید – صبر نکنید تا به آن نیاز داشته باشید. از نشت داده ها و حملات با قدرت AI نمی توان به طور کامل جلوگیری کرد. اما با استفاده از ابزارها و آموزش های مناسب ، می توانید جعل هویت را قبل از نفوذ متوقف کنید.

مرتبط: جک دورسی می گوید به زودی “غیرممکن است” اگر Deepfakes واقعی باشد: “مثل شما در یک شبیه سازی هستید”

اعتماد بردار حمله جدید است

کلاهبرداری DeepFake فقط کد هوشمندانه نیست ؛ به جایی که صدمه دیده است برخورد می کند – اعتماد شما.

وقتی یک مهاجم از چهره یا صدای مدیرعامل تقلید می کند ، آنها فقط ماسک نمی پوشند. آنها از اقتداری که شرکت شما را اداره می کند ، تصرف می کنند. در عصری که صدا و فیلم را می توان در چند ثانیه جعل کرد ، باید هر بار اعتماد به نفس – و تأیید شود.

فقط فایروال های خود را ارتقا ندهید و سیستم های خود را آزمایش کنید. مردم خود را آموزش دهید. محتوای عمومی خود را مرور کنید. صدای قابل اعتماد هنوز هم می تواند یک تهدید باشد – مکث و تأیید.