vendredi, 2 juin 2023

Le danger du deepfake : quand ce n’était pas vous lors de cet appel Zoom

Crédit : Dreamstime

En août, Patrick Hillman, directeur de la communication de l’écosystème blockchain Binance , savait que quelque chose n’allait pas lorsqu’il parcourait toute sa boîte de réception et a trouvé six messages de clients concernant de récents appels vidéo avec des investisseurs auxquels il aurait participé.

« Merci pour l’opportunité d’investissement », a déclaré l’un d’eux. « J’ai quelques inquiétudes concernant vos conseils en investissement », a écrit un autre. D’autres se sont plaints que la qualité de la vidéo n’était pas très bonne, et l’un d’eux a même carrément demandé : « Pouvez-vous confirmer que l’appel Zoom que nous avons eu jeudi était bien vous ? »

Avec une sensation de naufrage dans son estomac, Hillman s’est rendu compte que quelqu’un avait suffisamment falsifié son image et sa voix pour tenir des appels Zoom « d’investissement » de 20 minutes essayant de convaincre les clients de son entreprise de remettre leur Bitcoin pour les investissements frauduleux.

« Les clients avec qui j’ai pu entrer en contact m’ont partagé des liens vers de faux profils LinkedIn et Telegram prétendant être moi, les invitant à diverses réunions pour parler de différentes opportunités d’inscription », dit-il.

« Ensuite, les criminels ont utilisé un holographe convaincant de moi lors d’appels Zoom pour tenter d’arnaquer plusieurs représentants de projets légitimes de crypto-monnaie. »

En tant que plus grand échange cryptographique avec un volume de 25 milliards de dollars au Au moment d’écrire ces lignes, Binance traite sa part de fausses fraudes à l’investissement qui tentent de capitaliser sur sa marque et de voler la crypto des gens. « C’était une première pour nous« , déclare Hillman. « Je le vois comme un signe avant-coureur de ce que nous pensons être l’avenir des deepfakes générés par l’IA utilisés dans les escroqueries commerciales, mais il est déjà là. »

L’escroquerie est si nouvelle que si ce n’était pas pour des investisseurs astucieux détectant des bizarreries et une latence dans les vidéos, Hillman n’aurait peut-être jamais entendu parler de ces faux appels vidéo, malgré les investissements importants de l’entreprise dans les talents et les technologies de sécurité.

Deepfakes en tant que service

Avec deepfakes obtenant plus facile à produire, ils sont déjà utilisés pour les employés formés à l’ingénierie sociale et pour contourner les contrôles de sécurité.

L’utilisation abusive des deepfakes pour commettre des fraudes, des extorsions, des escroqueries et l’exploitation des enfants représente un risque suffisant pour les entreprises et le public pour que le Département de la sécurité intérieure (DHS) ait récemment publié un rapport de 40 pages rapport sur les deepfakes.

Il détaille comment les deepfakes sont créés par des composites d’images et de voix extraites de sources en ligne et offre également des possibilités d’atténuer les deepfakes aux stades de l’intention, de la recherche, de la création et de la diffusion d’une attaque.

« Nous voyons déjà deepfakes comme -a-service sur le dark web, tout comme nous voyons les ransomwares comme un service utilisé dans les techniques d’extorsion, car les deepfakes sont incroyablement efficaces dans l’ingénierie sociale », déclare Derek Manky, stratège en chef de la sécurité et vice-président de la veille mondiale sur les menaces chez FortiGuard Labs de Fortinet.

« Par exemple, tirer parti des deepfakes est populaire dans pour convaincre efficacement quelqu’un d’envoyer des fonds à une fausse adresse, surtout s’il pense qu’il s’agit d’une instruction d’un directeur financier. »

La chasse à la baleine pour les cadres, les escroqueries au BEC et d’autres formes d’hameçonnage et d’agriculture représentent la première phase du type d’attaques contre les entreprises. Par exemple, en 2019, des escrocs utilisant un deepfake de la voix d’un PDG d’entreprise marqué comme urgent ont convaincu un chef de division de câbler $243 000 à un « fournisseur hongrois ».

Mais de nombreux experts considèrent les deepfakes comme faisant partie des futurs packages de logiciels malveillants, y compris dans les ransomwares et la subversion biométrique.

Rééquipement nécessaire pour détecter les deepfakes

En plus de convaincre les dirigeants d’entreprise d’envoyer de l’argent, les deepfakes présentent également des défis uniques pour l’authentification vocale fréquemment utilisée par les banques aujourd’hui, ainsi que d’autres données biométriques, déclare Lou Steinberg, ancien CTO d’Ameritrade.

Après Ameritrade, Steinberg a ensuite fondé le laboratoire de cyber-recherche CTM Insights, pour s’attaquer à des problèmes tels que les faiblesses de l’intégrité des données qui permettent aux deepfakes de contourner les contrôles de sécurité. Il s’est rendu compte que la biométrie n’est qu’une autre forme de données que les criminels peuvent manipuler après une démonstration avec des chercheurs israéliens.

« Nous avons vu des chercheurs israéliens remplacer des images dans un scanner CT pour cacher ou ajouter un cancer dans les images numérisées, et nous avons réalisé que cela pourrait être utilisé dans des situations de rançon lorsque les méchants disent : « Nous ne vous montrerons que le de vrais résultats de votre vrai scanner si vous nous payez X dollars », dit Steinberg.

En tant que tel, dit-il, il faut se concentrer davantage sur l’intégrité des données. « Les deepfakes sont générés par l’IA, et la technologie de signature traditionnelle ne peut pas suivre car il suffit d’une petite modification de l’image pour changer la signature. »

Sachant que les contrôles de sécurité traditionnels ne protégeront pas les consommateurs et les entreprises contre les deepfakes, Adobe a lancé l’Content Authenticity Initiative (CAI) pour résoudre le problème de l’intégrité du contenu dans l’image et l’audio jusqu’au niveau du développeur.

Les membres de CAI ont rédigé des normes ouvertes pour développer la cible manifestes au point de capture d’image (par exemple à partir de l’appareil photo numérique prenant la photo) afin que les spectateurs et les outils de sécurité puissent vérifier l’authenticité d’une image.

L’initiative compte plus de 700 entreprises de soutien, dont beaucoup sont des fournisseurs de médias, dont USA Today, Gannett News, Getty Images, ainsi que des fournisseurs d’images et des sociétés de produits d’imagerie. comme Nikon.

« La question des deepfakes est suffisamment importante pour que le PDG d’Adobe fasse pression pour l’authentification du contenu derrière les fichiers image et audio », explique Brian Reed, ancien analyste de Gartner qui est maintenant conseiller chez Lionfish Technology Advisors.

« C’est un exemple de la façon dont la protection contre les deepfakes nécessitera un nouvel ensemble de contre-mesures et de contexte, y compris l’apprentissage en profondeur, l’IA et d’autres techniques pour déchiffrer si quelque chose est réel ou non. »

Il pointe également les Deep Fakes Passport Act présenté en tant que projet de loi du Sénat HR 5532, qui cherche à financer des compétitions de deepfake afin de favoriser l’atténuation des contrôles à leur encontre.

Steinberg suggère de s’inspirer du secteur financier, dans lequel la détection des fraudes commence à se concentrer davantage sur ce qu’une personne demande à un système de faire plutôt que d’essayer simplement de prouver qui est la personne à l’autre bout de la demande de transaction. .

« Nous nous concentrons trop sur l’authentification et pas assez sur l’autorisation, qui se résume à l’intention », explique-t-il. « Si vous n’êtes pas autorisé à transférer des millions à une entité inconnue dans un tiers monde, cette transaction devrait être automatiquement rejetée et signalée, avec ou sans l’utilisation de l’authentification biométrique. »

Faux authentification biométrique

Prouver le « qui » ​​dans une transaction est également problématique si les attaquants utilisent des deepfakes contre les contrôles biométriques, poursuit-il. Les images biométriques et les hachages, dit-il, sont également des données qui peuvent être manipulées avec une technologie deepfake basée sur l’IA qui peut correspondre aux caractéristiques par lesquelles les scanners biométriques s’authentifient, comme des points sur un visage et un iris, ou des boucles sur une empreinte digitale.

L’utilisation de l’IA pour identifier les images générées par l’IA est un début, mais la plupart des technologies de correspondance ne sont pas suffisamment précises, ou elles sont si précises que la numérisation d’une seule image est onéreuse.

La société de protection des marques Allure Security fait évoluer la technologie de micro-correspondance basée sur l’IA de CTM pour identifier les changements par rapport à sa base de données de dizaines de milliers d’images de marque originales et numériser 100 millions de pages quotidiennement, déclare Josh Shaul, PDG d’Allure.

« Pour identifier les deepfakes conçus pour contourner l’analyse et la détection, nous utilisons l’IA contre l’IA », explique-t-il. « Nous pouvons développer la même technologie pour détecter les fausses images, les photos de profil, les vidéos en ligne et les spots Web3. Par exemple, nous avons récemment examiné une usurpation d’identité dans une opportunité d’achat de terrain Metaverse. »

Hillman exhorte également les entreprises à mettre à jour leur formation et leur sensibilisation, à la fois en interne pour les employés et les cadres, et en externe pour les clients.

« L’idée de savoir si les deepfakes vont être un problème n’est plus une question de si mais quand et je ne pense pas que les entreprises aient un manuel sur la façon de se défendre contre les attaques deepfake », prédit-il.

« Utilisez vos canaux de communication pour éduquer. Effectuez des audits externes sur les dirigeants pour voir qui a du contenu qui les rend vulnérables. Auditez vos contrôles. Et préparez-vous à la gestion de crise. »

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici