Klonování hlasu pomocí umělé inteligence může podvodníkům až příliš usnadnit práci. Na vlastní kůži se o tom přesvědčil Jake Moore, Global Security Advisor společnosti ESET.
„Kvalita naklonovaného hlasu, o který se postaral jeden z mých kolegů, mě natolik zaskočila, že jsem se rozhodl použít stejný software pro „nekalé“ účely a vyzkoušet, kam až mohu zajít, abych okradl malou firmu – samozřejmě s povolením,“ říká Jake Moore z britské pobočky společnosti ESET.
Pozor, spoiler: provedení bylo překvapivě snadné a nezabralo téměř žádný čas.
Od doby, kdy se koncept umělé inteligence dostal do širšího povědomí ve filmech, jako je Blade Runner nebo Terminátor, se lidé skutečně ptají na možnosti toho, co by tato technologie mohla dále vytvořit. Avšak teprve nyní, díky výkonným databázím, rostoucímu výkonu počítačů a pozornosti médií, jsme svědky toho, že umělá inteligence zasáhla celosvětové publikum způsobem, který je stejnou měrou děsivý i vzrušující.
S technologií, jako je AI, je vysoce pravděpodobné, že začne docházet ke kreativním a poměrně sofistikovaným útokům se škodlivými následky.
Jak zneužít klon hlasu k žádosti o peníze?
Jake Moore působil dlouhá léta u policie, což mu také vštípilo schopnost snažit se myslet jako zločinec. Tento přístup má několik velmi hmatatelných a nedoceněných výhod: čím více člověk přemýšlí nebo dokonce jedná jako zločinec (aniž by se jím skutečně stal), tím lépe se může ochránit. To je naprosto zásadní pro udržení kroku s nejnovějšími hrozbami i pro předvídání budoucích trendů.
Aby Jake otestoval některé možnosti současné umělé inteligence, musel se opět vžít do myšlení digitálního zločince a eticky zaútočit na firmu.
Nejprve požádal svého známého – říkejme mu Harry – zda by mohl naklonovat jeho hlas a použít ho k útoku na jeho společnost. Harry souhlasil a dal svolení k zahájení experimentu s vytvořením klonu jeho hlasu pomocí snadno dostupného softwaru. Získání Harryho hlasu bylo naštěstí poměrně jednoduché – často nahrává krátká videa propagující jeho podnikání na svém kanálu na YouTube. Stačilo tedy spojit několik těchto videí dohromady a Jake měl k dispozici dobrý zvukový testovací materiál. Během několika minut tak vygeneroval klon Harryho hlasu, který zněl přesně jako on, a pak mohl napsat cokoli a nechat si to přehrát jeho hlasem.
Aby byl útok věrohodnější, rozhodl se Jake ještě ukrást Harryho účet na WhatsAppu – opět s povolením. Díky záměně SIM karet, získal přístup k účtu, ze kterého poté odeslal hlasovou zprávu finanční ředitelce Harryho společnosti – říkejme jí Sally. Zpráva obsahovala žádost o platbu 250 liber „novému dodavateli“. Jake si vybral k útoku dobu, kdy byl Harry na nedalekém ostrově na pracovním obědě, což mu nabídlo také perfektní záminku.
Ve falešné hlasové zprávě Harry říká, kde se právě nachází a že potřebuje zaplatit „novýmu architektovi“, a že bankovní údaje pošle zvlášť hned v následující zprávě. Další informace navíc k hlasové zprávě poslané Sally na WhatsAppu jí stačily k tomu, aby ji přesvědčily, že požadavek je pravý. Do 16 minut od první zprávy přišlo na Jakeův osobní účet 250 liber.
Jake přiznává, že ho šokovalo, jak jednoduché to bylo a jak rychle se mu podařilo Sally přesvědčit, že Harryho klonovaný hlas je skutečný.
Tato úroveň manipulace fungovala díky přesvědčivému množství souvisejících faktorů:
- použité telefonní číslo ředitele,
- smyšlený příběh odpovídal událostem toho dne a
- hlasová zpráva samozřejmě zněla jako šéf.
Sally zpětně uvedla, že pro ní vše výše zmíněné bylo více než dostatečné k provedení požadavku. Netřeba dodávat, že společnost od té doby přidala další bezpečnostní opatření, aby byly její finance chráněny. A samozřejmě Jake oněch 250 liber vrátil.
Falešný firemní účet na WhatsAppu
Krádež cizího WhatsApp účtu prostřednictvím útoku se záměnou SIM karty může být poněkud zdlouhavý způsob, jak útok učinit věrohodnějším, ale děje se to mnohem častěji, než si myslíte. Přesto však kyberzločinci nemusí zajít tak daleko, aby dosáhli stejného výsledku.
Jake se stal také terčem útoku, který na první pohled vypadal věrohodně. Někdo mu poslal zprávu na WhatsAppu, která se vydávala za zprávu od přítele, který je vedoucím pracovníkem v IT společnosti.
Zajímavá dynamika útoku zde spočívala v tom, že ačkoli si Jake je zvyklý informace ověřovat, tato zpráva přišla s propojeným jménem kontaktu, místo aby se zobrazilo jako číslo. To bylo obzvláště zajímavé, protože číslo, od kterého přišla, neměl Jake uložené v seznamu kontaktů a předpokládal, že se bude stále zobrazovat jako mobilní číslo, a ne jako jméno.
Podle všeho se to útočníkům podařilo jednoduše tak, že si vytvořili účet WhatsApp Business, který umožňuje přidat k účtu libovolné jméno, fotografii a e-mailovou adresu, aby okamžitě vypadal jako pravý. Přidejte k tomu klonování hlasu pomocí umělé inteligence a voilà, vstoupili jsme do další generace sociálního inženýrství.
Naštěstí Jake od začátku věděl, že se jedná o podvod, ale mnoho lidí by mohlo naletět na tento jednoduchý trik, který by nakonec mohl vést ke ztrátě peněz v podobě finančních transakcí, předplacených karet nebo jiných karet, jako je například Apple Card, které jsou mezi kyberzloději oblíbené.
Díky tomu, že strojové učení a umělá inteligence postupují mílovými kroky a v poslední době se stávají stále dostupnějšími pro masy, dostáváme se do doby, kdy technologie začínají zločincům pomáhat efektivněji než kdykoli předtím, a to i díky zdokonalení všech stávajících nástrojů, které pomáhají skrýt identitu a místo pobytu zločinců.
Jak zůstat v bezpečí před podvody s klonováním hlasu?
Vraťme se k našim experimentům a řekněme si několik základních opatření, která by měli majitelé firem přijmout, aby se nestali obětí útoků využívajících klonování hlasu a dalších podvodů:
|
Zde je několik tipů, jak zůstat v bezpečí před záměnou SIM karty a dalšími útoky, jejichž cílem je oddělit vás od vašich osobních údajů nebo peněz:
- Omezte sdílení vašich osobních údajů online. Pokud je to možné, vyhněte se zveřejňování údajů, jako je vaše adresa nebo telefonní číslo.
- Omezte počet osob, které mohou vidět vaše příspěvky nebo jiné materiály na sociálních sítích.
- Dávejte si pozor na phishingové útoky a jiné pokusy, které vás lákají k poskytnutí citlivých osobních údajů.
- Používejte dvoufázové ověřování (2FA), konkrétně ověřovací aplikaci nebo hardwarové ověřovací zařízení.
Důležitost používání 2FA skutečně nelze podceňovat – nezapomeňte ji povolit také na WhatsApp účtu a na všech dalších online účtech, které ji nabízejí.