Voice clonen die zijn gemaakt met kunstmatige intelligentie kunnen het kwaadwillenden maar al te gemakkelijk maken om je te bereiken. Jake Moore, Global Security Advisor bij ESET, heeft dit met eigen ogen gezien.
"De kwaliteit van de gekloonde stem, die door een van mijn collega's was gemaakt, verraste me zo erg dat ik besloot dezelfde software te gebruiken voor ‘dubieuze’ doeleinden en te testen hoe ver ik kon gaan en of ik een klein bedrijf kon oplichten - uiteraard met toestemming ”, zegt Jake Moore van de Britse tak van ESET.
Spoiler alert: de uitvoering was verrassend eenvoudig en nam bijna geen tijd in beslag.
Sinds het concept van kunstmatige intelligentie populair werd dankzij films als Blade Runner en The Terminator, zijn mensen nieuwsgierig naar het potentieel van wat deze technologie zou kunnen creëren.
Maar nu pas, dankzij krachtigere computertechnologie en media-aandacht, zien we dat AI een wereldwijd publiek bereikt, en dankzij dat zullen we waarschijnlijk creatieve en behoorlijk geraffineerde aanvallen gaan zien met zeer schadelijke gevolgen.
Een voice clone gebruiken om geld te vragen
Jake Moore heeft vele jaren bij de politie gewerkt, waardoor hij leerde te denken als een crimineel. Deze aanpak heeft verschillende tastbare en onderschatte voordelen: hoe meer je denkt of zelfs handelt als een crimineel (zonder er één te worden), hoe beter je jezelf kunt beschermen. Dit is essentieel om bij te blijven met de nieuwste dreigingen en te anticiperen op toekomstige trends.
Om enkele van de mogelijkheden van de huidige kunstmatige intelligentie te testen, moest Jake zich opnieuw onderdompelen in de mindset van een digitale crimineel en op ethische wijze een bedrijf aanvallen.
Eerst vroeg hij zijn kennis - laten we hem Harry noemen - of hij zijn stem mocht klonen en gebruiken om zijn bedrijf aan te vallen. Harry stemde toe en Jake mocht het experiment starten door een kloon van zijn stem te maken met behulp van vrij verkrijgbare software. Het verkrijgen van Harry's stem was vrij eenvoudig: hij maakt vaak korte promotievideo's voor zijn bedrijf op zijn YouTube-kanaal. Jake hoefde alleen maar een paar van deze video's te combineren en hij had een goed audiofragment om mee te werken. Binnen enkele minuten genereerde hij een kloon van Harry's stem die precies als hem klonk en die vervolgens alles kon intypen dat in zijn stem moest worden voorgelezen.
Om de aanval nog overtuigender te maken, besloot Jake ook Harry's WhatsApp-account te kapen - uiteraard met toestemming. Door simkaarten te verwisselen, kreeg Jake toegang tot het account van waaruit hij vervolgens een spraakbericht stuurde naar de financieel directeur van het bedrijf - laten we haar Sally noemen. Het bericht bevatte een verzoek om £250 te betalen aan een “nieuwe leverancier”. Jake koos ervoor om de aanval uit te voeren terwijl Harry weg was voor een zakenlunch, wat voor de perfecte timing zorgde.
In het valse spraakbericht gaf Harry aan waar hij was en dat hij een “nieuwe architect” moest betalen. Hij beloofde de bankgegevens apart te sturen in het volgende bericht. Aanvullende informatie die na het WhatsApp-spraakbericht werd verzonden, was genoeg om Sally ervan te overtuigen dat het verzoek echt was. Binnen 16 minuten na het eerste bericht werd £250 overgemaakt naar Jake's persoonlijke rekening.
Jake geeft toe dat hij geschokt was door hoe eenvoudig het was en hoe snel hij Sally ervan overtuigde dat Harry's gekloonde stem echt was.
Dit niveau van manipulatie werkte door een combinatie van gerelateerde factoren:
- Het gebruikte telefoonnummer was dat van de regisseur.
- Het verzonnen verhaal kwam overeen met de gebeurtenissen van die dag.
- Het ingesproken bericht klonk natuurlijk als de baas.
Sally verklaarde later dat al het bovenstaande voor haar meer dan genoeg was om aan het verzoek te voldoen. Onnodig te zeggen dat het bedrijf sindsdien extra veiligheidsmaatregelen heeft genomen om de financiën te beschermen. En natuurlijk gaf Jake de £250 terug.
Nep zakelijk WhatsApp-account
Het stelen van het WhatsApp-account van iemand anders via een SIM-swapaanval kan een ietwat omslachtige methode zijn om een aanval geloofwaardiger te maken, maar het gebeurt vaker dan je zou denken. Cybercriminelen hoeven echter niet zo ver te gaan om hetzelfde resultaat te bereiken.
Jake werd ook het doelwit van een aanval die eerder geloofwaardig leek. Iemand stuurde hem een WhatsApp-bericht waarin hij zich voordeed als een vriend die een leidinggevende is in een IT-bedrijf.
De interessante dynamiek van de aanval was dat, hoewel Jake gewend is om informatie te verifiëren, dit bericht kwam met een gekoppelde contactnaam in plaats van dat het verscheen als een nummer. Dit was vooral intrigerend omdat het nummer waar het bericht vandaan kwam niet was opgeslagen in Jake's contactenlijst en hij veronderstelde dat het nog steeds zou worden weergegeven als een mobiel nummer, niet als een naam.
Blijkbaar konden de aanvallers dit doen door eenvoudigweg een WhatsApp Business-account aan te maken, waarmee ze een willekeurige naam, foto en e-mailadres aan het account kunnen toevoegen om het meteen echt te laten lijken. Voeg daar het klonen van stemmen met behulp van kunstmatige intelligentie aan toe en voilà, we zijn aanbeland bij de volgende generatie social engineering.
Gelukkig wist Jake vanaf het begin dat het om oplichting ging, maar veel mensen zouden in deze eenvoudige truc kunnen trappen, wat uiteindelijk kan leiden tot financieel verlies.
Nu machine learning en kunstmatige intelligentie met sprongen vooruitgaan en steeds toegankelijker worden voor de massa, betreden we een tijdperk waarin technologie criminelen effectiever dan ooit begint te helpen, dankzij de verfijning van alle bestaande tools die helpen de identiteit en verblijfplaats van criminelen te verbergen.
Hoe blijf je veilig voor voice cloning scams?
Laten we teruggaan naar onze experimenten en een aantal basisvoorzorgen doornemen die bedrijfseigenaren zouden moeten nemen om geen slachtoffer te worden van voice cloning of andere zwendelpraktijken.
- Volg bedrijfs- en goedkeuringsprocessen
- Controleer personen en processen; controleer bijvoorbeeld alle betalingsverzoeken bij de persoon die het verzoek (zogenaamd) indient, indien nodig zelfs twee keer, en laat overschrijvingen goedkeuren door twee werknemers binnen uw bedrijf
- Volg de laatste trends in de technologische wereld en pas de opleiding van uw werknemers en veiligheidsvoorzieningen hierop aan.
- Zet ad hoc informatietraining op voor je werknemers.
- Gebruik meerlaagse beveiligingssoftware.
Hier zijn verschillende tips over hoe je veilig kunt blijven tegen simkaartverwisseling en andere aanvallen die erop gericht zijn je van jouw persoonlijke gegevens of geld te scheiden:
- Beperk de hoeveelheid persoonlijke informatie die je online deelt. Vermijd, indien mogelijk, het publiceren van je adres of telefoonnummer.
- Beperk het aantal mensen dat jouw berichten en andere inhoud op sociale media kan zien.
- Pas op voor phishing en andere pogingen om je persoonlijke gegevens te ontfutselen.
- Gebruik twee-factor authenticatie (2FA), zoals een authenticatie app of hardware authenticatie apparaat.
Het belang van 2FA kan niet genoeg worden benadrukt- vergeet niet het ook te gebruiken op je WhatsApp-account en alle andere accounts die het aanbieden.
Als je naar de aanvallen van stemkloon kijkt, word je misschien bang, maar de waarheid is dat zelfs deze geavanceerde scams kunnen worden ontweken. Als je de bovenstaande tips opvolgt en waakzaam blijft, kun je de echte stem van een bekende herkennen van een bedrieglijke robot.
