Deepfakes verplichten werknemers op een andere manier met digitale multimedia om te gaan. Sinds het bestaan van deepfakes, zijn zelfs bekende gezichten niet meer te vertrouwen. Hoe kunnen organisaties hun werknemers zo goed mogelijk beschermen?
Technologieën om online fraude te plegen, blijven evolueren en weten steeds beter te overtuigen. Nepnieuws toonde al het belang van kwaliteitsvolle online bronnen, maar bij deepfakes kan het een vertrouwd gezicht zijn dat je in de luren probeert te leggen.
Wat is deepfake?
Deepfakes zijn technologisch gegeneerde video’s, foto’s of audio. Deze gecreëerde inhoud maakt gebruik van bestaande beelden of audio om het uiterlijk, de lichaamshouding en stemmen van personen na te bootsen. Dit gebeurt door middel van kunstmatige intelligentie ofwel AI en dan met name deep learning-technieken.
Hoewel deepfakes nuttige toepassingen hebben, zoals het gebruik in entertainment en onderwijs, belandt de technologie steeds vaker in de fraudepogingen van cybercriminelen. Een recenter voorbeeld daarvan speelde zich af in Hong Kong. Daar werd een financieel medewerker overtuigd om 25,6 miljoen dollar over te schrijven naar fraudeurs, via een videocall waarin de werknemer in een vergadering leek te zitten met verschillende collega’s. De video bleek op basis van deepfake-technologie in elkaar te zijn gezet.
Nieuwe vorm van phishing
Hoewel het misschien om een nieuwer begrip lijkt te gaan, zijn deepfakes een nieuwe technologie om bekende vormen van fraude te plegen. Ze hebben de grootste kans van slagen wanneer de aanvaller een hogere mate van authenticiteit en autoriteit ten goede komt. Hoewel dat voor alle gevallen van phishing geldt, zijn deze kenmerken het belangrijkste bij CEO-fraude of spearphishing. In deze aanvalstechnieken wordt getracht een personeelslid met veel gezag te mimeren via een e-mail, of in een deepfake-video die opduikt in een chatbericht of een online videocall.
Martin Kraemer, Security Awareness Advocate bij KnowBe4, benoemt de technologie als een nieuwe vorm van social engineering. In deze phishing-technieken hackers slachtoffers onder druk te zetten of te verleiden om snel te handelen. “Er is altijd een manier om mensen onder druk te zetten. Bij CEO-fraude kan dat leiden tot omzetverlies of eenvoudigweg het vragen om een persoonlijke gunst.”
De moeilijkheidsgraad bij deepfakes ligt volgens hem in de vooruitgang die de technologie heeft gemaakt, waardoor deze vorm van fraude bijna onherkenbaar is geworden. “Waar het vroeger aan de hand van enkele standaardindicatoren mogelijk was een deepfake te herkennen, is het tegenwoordig bijna onbegonnen werk.”
Herkenning onmogelijk
Deepfakes hebben een niveau gekregen waarop ze niet meer detecteerbaar zijn door het menselijk oog. “Bij eerdere versies van deepfakes waren er enkele standaard rode vlaggen om op te letten. Zo liep bijvoorbeeld de beweging van de lippen niet synchroon met de audio en haperden de ogen nog wel eens op een onnatuurlijke manier.” Slimmere AI filterde dergelijke fouten eruit, waardoor nepbeelden een enorme overtuigingskracht hebben verworven.
Security awareness-trainingen passen zich aan op dergelijke evoluties. KnowBe4, als aanbieder van deze trainingen, heeft dan ook nieuwe raad voor organisaties om zo goed als mogelijk tegen deepfakes te beschermen. Kraemer: “Het gaat terug naar de basisregels. Als iets niet goed aanvoelt, verifieer dan de gestelde vragen of gemaakte verzoeken in een tweede kanaal, zoals in een chatbericht. Verder is het handig om een safe word af te spreken per team of per organisatie. Met een safe word is de authenticiteit van de afzender snel duidelijk.”
Tip! Hoe ziet een doeltreffende security awareness-training eruit?
Voor iedereen beschikbaar
Het probleem van deepfakes is eigenlijk tweeledig. Zo zijn de AI-gegeneerde beelden niet alleen overtuigender geworden, het aantal deepfakes in omploop is ook waanzinnig toegenomen. “Er zijn commerciële tools beschikbaar, waarmee iedereen een deepfake-video kan maken binnen de drie minuten en dat kost je slechts tien euro per maand. Dat bestaat dan nog naast een aanbod van open-source-tools en algoritmes.” Door dergelijke tools wordt het snel en eenvoudig om een fraudepoging op te zetten. Hackers vinden dat aantrekkelijk en Kraemer heeft dan ook al weet van bedrijven waarin werknemers deepfakes ontvingen.
Door commerciële projecten dringen deepfakes de komende jaren alleen maar dieper binnen in ons dagelijks leven. Zoom denkt namelijk dat de technologie veel potentieel heeft voor videovergaderingen. Zoom-CEO Eric Yuan zette recent zijn visie uit over de mogelijkheden in de podcast Decoder van The Verge. Kort samengevat voorziet een realiteit waarin werknemers een deepfake van zichzelf aanwezig kunnen laten zijn in een overbodige videovergadering of eender welke andere vergadering.
AI zal in de toekomst dus alleen maar een groter onderdeel worden van de dagelijkse taken. Momenteel is er alleen nog maar een ‘brave’ versie van AI beschikbaar, waarin het mogelijk is een filter over jezelf te plaatsen om als een AI-avatar een online meeting bij te wonen. De Zoom AI Companion speelt op een veel hoger niveau, dat ook tot een zekere angst kan leiden. “Naar mijn mening zijn dergelijke AI-dubbelgangers niet in staat om kritisch te denken, technologie heeft bijvoorbeeld geen kennis van sociale constructen”, reageert Kraemer op de plannen van Zoom.
Detectietools nog in ontwikkeling
Software tegen deepfakes staat nog in de kinderschoenen. In Nederland is DuckDuckGoose een verdienstelijke poging aan het wagen om door te breken in de markt. In juni haalde het bedrijf 1,3 miljoen euro op voor de ontwikkeling van detectiesoftware om deepfakebeelden en -spraak te ontmaskeren. Bij de grote AI-ontwikkelaars zit dit verhaal nog niet veel beter. Bij OpenAI duurde het tot mei dit jaar om een tool vrij te geven die AI-gegenereerde beelden kan detecteren. Bovendien werkt de tool alleen voor afbeeldingen die zijn gemaakt met behulp van DALL-E, een product van OpenAI.
Bedrijven vallen in de tussentijd terug op training van werknemers om toch een zekere vorm van bescherming tegen deepfakes te bezitten. Deze training is breed en behandelt alle vormen van social engineering, waar deepfakes een onderdeel van zijn.
Lees ook: AI-tools helpen met cybercrime: hackers experimenteren erop los