Czy pracownik zdalny może być wytworem sztucznej inteligencji? Okazuje się, że tak, o czym przekonała się niedawno pewna polska firma, która przeprowadziła online rozmowy kwalifikacyjne z dwoma kandydatami, nie wiedząc, że byli oni wygenerowani za pomocą kreatorów deepfake’ów. Analitycy Palo Alto Networks przeprowadzili własne testy, z których wynika, że przeciętny internauta nieznający zaawansowanej technologii może stworzyć równie wiarygodny deepfake zaledwie w 1 godzinę. Można się zatem tylko domyślać, jak duże możliwości manipulowania obrazem mają wyspecjalizowani cyberprzestępcy.
Cyberprzestępcy szybko zauważyli, że socjotechnika oparta na generowaniu fałszywego obrazu i dźwięku może być znacznie skuteczniejsza niż stosowane do tej pory na wielką skalę ransomware oparte na mailach ze złośliwymi linkami lub załącznikami – choć jest to nadal niebezpieczne i powszechne narzędzie. Jednakże rośnie świadomość zagrożeń związanych z ransomware, dlatego przestępcy muszą znajdować nowe sposoby socjotechnicznej manipulacji, aby prowadzić skuteczne operacje.
Tak powstała metoda tworzenia fałszywych tożsamości dzięki AI, aby uzyskiwać zdalnie nieautoryzowany dostęp do zasobów firm. Jak to możliwe? Cyberprzestępcy z Korei Północnej udowodnili, że dzięki technologii można spreparować CV i podszyć się pod osoby poszukujące pracy, a nawet wygenerować fałszywy, interaktywny obraz transmitowany na żywo podczas rozmowy kwalifikacyjnej. Ta ostatnia metoda jest szczególnie niebezpieczna – zwłaszcza w dobie powszechnej pracy zdalnej. Tym bardziej że w wielu firmach można nie tylko przejść zdalną rekrutację, ale także podpisać umowę i odebrać sprzęt, nie pojawiając się ani razu w biurze.
Za wygenerowanym automatycznie interaktywnym wizerunkiem kryje się oszust, którego celem jest znalezienie się w strukturach organizacji, aby ją infiltrować. Udane oszustwo otwiera przestępcy drzwi do wykradania poufnych danych z serwerów firmowych, takich jak zastrzeżony kod źródłowy, aby następnie grozić ujawnieniem tych informacji, jeśli firma nie zapłaci okupu.
„Cyberprzestępcy wykazują się świetnym zmysłem obserwacji i empatią, ponieważ wielu z nich doskonale potrafi rozpracować słabości ludzkiej natury i wykorzystać je do własnych celów. Przestępcy szybko zauważyli, jak duży potencjał drzemie np. w filmikach ze spreparowanymi wypowiedziami celebrytów czy polityków, które są bardzo popularne w mediach społecznościowych. Ponadto część odbiorców miewa kłopoty z rozpoznaniem, że takie nagrania są wygenerowane maszynowo. To niebezpieczny precedens, który na pewno wpłynął na tak szybki rozwój deepfake i wykorzystywanie tej technologii do popełniania przestępstw lub dezinformacji w celach politycznych. Ze względu na szeroki wachlarz narzędzi, kolejne działy firm lub nawet całe branże są zagrożone cyberatakami. Żadna pojedyncza metoda wykrywania nie gwarantuje ochrony przed zagrożeniami związanymi z fałszywą tożsamością, ale wielowarstwowa strategia ochrony znacznie poprawia zdolność organizacji do identyfikowania i ograniczania tych zagrożeń” – wyjaśnia Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający Palo Alto Networks w Europie Wschodniej.
Choć jeszcze niedawno rozmowy kwalifikacyjne były niebudzącą podejrzeń formalną procedurą, dzisiaj jest zupełnie inaczej. Powszechność pracy zdalnej i spotkań online w połączeniu z dostępem do prostych w obsłudze, ale zaawansowanych narzędzi do generowania deepfake zmieniły zasady gry. Dziś nawet cyberprzestępca niemający doświadczenia w manipulowaniu obrazami, dysponujący ograniczoną wiedzą na temat działania deepfake’ów i korzystający z pięcioletniego komputera, może stworzyć przekonującą wirtualną tożsamość w zaledwie 70 minut. Mając nieco nowszy komputer z wydajniejszym procesorem, te wyniki można poprawić.
Jak firmy mogą się bronić przed kandydatami ze sfałszowaną cyfrowo tożsamością?
Choć na rynku są rozwiązania oferujące zintegrowaną funkcję wykrywania osób, to nie istnieje w pełni skuteczny sposób weryfikacji tożsamości online. Każda z dostępnych możliwości rodzi pewne ryzyka dla uczciwych kandydatów i może ich zniechęcać do współpracy z daną firmą.
„Problem kreowania fikcyjnych tożsamości przy użyciu deepfake uderza bezpośrednio zarówno w pracodawców, jak i potencjalnych pracowników. Uczymy się bowiem, że nie należy podawać swoich danych podmiotom, których nie jesteśmy pewni, ani pobierać plików z nieznanych źródeł. Ta zasada ograniczonego zaufania jest potrzebna w wirtualnym świecie. Tylko jak zweryfikować tożsamość kandydata, aby to było w pełni zgodne z prawem i dobrymi praktykami? Na rynku istnieją już pewne rozwiązania, które oferują zintegrowaną funkcję wykrywania osób. Wymaga to od kandydatów okazania fizycznego dokumentu tożsamości podczas wykonywania określonych czynności w czasie rzeczywistym. Takie rozwiązanie już teraz funkcjonuje np. w bankach podczas zakładania kont przez internet” – mówi Wojciech Gołębiowski.
Niezbędne jest także przeszkolenie rekruterów i zespołów przeprowadzających rozmowy kwalifikacyjne w zakresie identyfikowania podejrzanych wzorców w rozmowach wideo, takich jak nienaturalne ruchy gałek ocznych, niespójne oświetlenie i problemy z synchronizacją dźwięku i obrazu. Warto nagrywać rozmowy z kandydatami (oczywiście za ich wiedzą i zgodą), aby możliwa była późniejsza analiza.
Problem sfałszowanej cyfrowo tożsamości może narastać, zatem nie tylko firmy, ale również instytucje publiczne powinny być przygotowane do reagowania w takich sytuacjach. Niezbędne będzie edukowanie wszystkich pracowników zaangażowanych w proces rekrutacji na temat sygnałów ostrzegawczych związanych z syntetyczną tożsamością, czy ograniczanie dostępu nowych pracowników do zasobów firmy do momentu przeprowadzenia dodatkowej weryfikacji np. w siedzibie firmy. Wdrażając te wielowarstwowe strategie wykrywania i ograniczania ryzyka, organizacje mogą znacznie zmniejszyć ryzyko infiltracji przez cyberprzestępców, zachowując jednocześnie efektywny proces rekrutacji prawdziwych kandydatów.
Deepfake to zupełnie nowy rozdział w szerokim wachlarzu socjotechnik ransomware. Okazuje się, że kreatywność cyberprzestępców jest niemal nieograniczona, kiedy nagrodą za pomysłowość są wrażliwe dane firm i wizja zarobienia dużych pieniędzy. Dostawanie się w struktury organizacji jako z pozoru legalny pracownik, stwarza cyberprzestępcom zupełnie nowe możliwości infiltrowania i okradania firm z ich własności intelektualnej. Choć nadal ważne jest tworzenie kopii zapasowych, administrowanie dostępem do informacji dla poszczególnych pracowników i konsolidacja zabezpieczeń w ramach jednej platformy, organizacje powinny także wdrażać procedury weryfikacji tożsamości pracowników. Brak takich działań może grozić trudnymi do oszacowania stratami materialnymi i wizerunkowymi.
