Nylig brukte cyberkriminelle “deepfake”-videoer av ledere i et multinasjonalt selskap til å overbevise selskapets Hongkong-baserte ansatte om å overføre 25,6 millioner dollar. Basert på en videokonferansesamtale med flere deepfakes trodde de ansatte at den britiske finansdirektøren hadde bedt om at pengene ble overført. Politiet skal ha arrestert seks personer i forbindelse med svindelen. Denne bruken av AI-teknologi er farlig og manipulerende. Uten gode retningslinjer og rammeverk risikerer flere organisasjoner å bli ofre for AI-svindel som deepfakes.

Deepfakes 101 og den økende trusselen

Deepfakes er digitalt manipulerte medier – inkludert bilder, videoer og lydklipp – som ser ut til å forestille en ekte person. De skapes ved å trene et AI-system på ekte klipp med en person, og deretter bruke AI-systemet til å generere realistiske (men uekte) nye medier. Bruk av deepfake blir stadig vanligere. Hongkong-saken var den siste i en rekke høyprofilerte deepfake-hendelser de siste ukene. Falske, eksplisitte bilder av Taylor Swift sirkulerte på sosiale medier, det politiske partiet til en fengslet valgkandidat i Pakistan brukte en deepfake-video av ham til å holde en tale, og en deepfake-“stemmeklon” av president Biden ringte primærvelgere for å be dem om ikke å stemme.

Mindre profilerte tilfeller av deepfake-bruk fra nettkriminelle har også økt i både omfang og raffinement. I banksektoren forsøker nettkriminelle nå å omgå stemmeautentisering ved å bruke stemmekloner av personer til å utgi seg for å være brukere og få tilgang til pengene deres. Bankene har reagert ved å forbedre evnen til å identifisere deepfake-bruk og øke kravene til autentisering.

Cyberkriminelle har også rettet “spear phishing”-angrep mot enkeltpersoner ved hjelp av deepfakes. En vanlig fremgangsmåte er å lure familiemedlemmer og venner ved å bruke en stemmeklon til å utgi seg for å være en person i en telefonsamtale og be om at penger overføres til en tredjepartskonto. I fjor viste en undersøkelse utført av McAfee at 70 % av de spurte ikke var sikre på at de kunne skille mellom personer og stemmeklonene deres, og at nesten halvparten av de spurte ville svare på forespørsler om penger hvis familiemedlemmet eller vennen som ringte, hevdet å ha blitt ranet eller vært i en bilulykke.

Nettkriminelle har også ringt folk og utgitt seg for å være skattemyndigheter, banker, helsepersonell og forsikringsselskaper for å få tak i økonomiske og personlige opplysninger.

I februar bestemte Federal Communications Commission at telefonsamtaler med AI-genererte menneskestemmer er ulovlige, med mindre den som blir oppringt, på forhånd har gitt sitt uttrykkelige samtykke. Federal Trade Commission ferdigstilte også en regel som forbyr AI-etterligning av offentlige organisasjoner og bedrifter, og har foreslått en lignende regel som forbyr AI-etterligning av enkeltpersoner. Dette føyer seg inn i rekken av juridiske og regulatoriske tiltak som iverksettes over hele verden for å bekjempe deepfakes.

Beskytt deg mot deepfakes

For å beskytte de ansatte og merkevarens omdømme mot deepfakes bør ledere følge følgende trinn:

1. Sørg for kontinuerlig opplæring av de ansatte, både om AI-aktiverte svindelforsøk og, mer generelt, om nye AI-funksjoner og risikoen forbundet med dem.
2. Oppgrader phishing-veiledningen til å omfatte deepfake-trusler. Mange bedrifter har allerede informert de ansatte om phishing-e-post og oppfordret dem til å være forsiktige når de mottar mistenkelige forespørsler via uoppfordrede e-poster. Slike phishing-veiledninger bør inkludere deepfake-svindel med kunstig intelligens og gjøre oppmerksom på at det ikke bare kan brukes tekst og e-post, men også video, bilder og lyd.
3. Øke eller kalibrere autentiseringen av ansatte, forretningspartnere og kunder. Bruk for eksempel mer enn én autentiseringsmåte avhengig av hvor sensitiv og risikabel en beslutning eller transaksjon er.
4. Tenk på hvordan deepfakes påvirker bedriftens eiendeler, for eksempel logoer, reklamefigurer og reklamekampanjer. Slike eiendeler kan enkelt kopieres ved hjelp av deepfakes og spres raskt via sosiale medier og andre internettkanaler. Tenk gjennom hvordan bedriften kan redusere denne risikoen og informere interessentene.
5. Forvent flere og bedre deepfakes, med tanke på den raske utviklingen innen generativ AI, antallet store valgprosesser som er i gang i 2024, og hvor enkelt det er å spre deepfakes mellom mennesker og på tvers av landegrenser.

Selv om deepfakes er et cybersikkerhetsproblem, bør selskaper også se på dem som komplekse og nye fenomener med større konsekvenser. En proaktiv og gjennomtenkt tilnærming til deepfakes kan bidra til å opplyse interessenter og sikre at tiltakene for å bekjempe dem er ansvarlige, forholdsmessige og hensiktsmessige.