Klonovanie hlasu pomocou umelej inteligencie môže podvodníkom až príliš uľahčiť prácu. Na vlastnej koži sa o tom presvedčil Jake Moore, Global Security Advisor spoločnosti ESET. „Kvalita naklonovaného hlasu, o ktorý sa postaral jeden z mojich kolegov , ma natoľko zaskočila, že som sa rozhodol použiť rovnaký softvér na „nekalé“ účely a vyskúšať, kam až môžem zájsť, aby som okradol malú firmu – samozrejme s povolením,“ napísal Jake Moore z britskej pobočky spoločnosti ESET.
Ako zneužiť klon hlasu na žiadosť o peniaze?
Jake Moore pôsobil dlhé roky u polície, kde sa v rámci svojej práce musel naučiť myslieť ako zločinec a ako zločinec aj zaútočil na firmu. Išlo samozrejme o etický hacking, ktorý mal ukázať na slabosť obrany voči takémuto útoku. Najprv požiadal svojho známeho – hovorme mu Harry – či by mohol naklonovať jeho hlas a použiť ho na útok na jeho spoločnosť. Harry súhlasil a dal súhlas na začatie experimentu s vytvorením klonu jeho hlasu pomocou ľahko dostupného softvéru . Získanie Harryho hlasu bolo našťastie pomerne jednoduché – často nahráva krátke videá propagujúce jeho podnikanie na svojom kanáli na YouTube. Stačilo teda spojiť niekoľko týchto videí dohromady a Jake mal k dispozícii dobrý zvukový testovací materiál. Počas niekoľkých minút tak vygeneroval klon Harryho hlasu, ktorý znel presne ako on, a potom mohol napísať čokoľvek a nechať si to prehrať jeho hlasom.
Aby bol útok vierohodnejší, rozhodol sa Jake ešte ukradnúť Harryho účet na WhatsAppe – opäť s povolením. Vďaka zámene SIM kariet získal prístup k účtu, z ktorého potom odoslal hlasovú správu finančnej riaditeľke Harryho spoločnosti – hovorme jej Sally. Správa obsahovala žiadosť o platbu 250 libier „novému dodávateľovi“. Jake si vybral na útok dobu, kedy bol Harry na pracovnom obede, čo mu ponúklo aj perfektnú zámienku.
Vo falošnej hlasovej správe Harry hovorí, kde sa práve nachádza a že potrebuje zaplatiť „ novému architektovi “, a že bankové údaje pošle zvlášť hneď v nasledujúcej správe. Ďalšie informácie navyše k hlasovej správe poslanej Sally na WhatsAppe jej stačili na to, aby ju presvedčili, že požiadavka je pravá. Do 16 minút od prvej správy prišlo na Jakeov osobný účet 250 libier.
Jake priznáva, že ho šokovalo, aké jednoduché to bolo a ako rýchlo sa mu podarilo Sally presvedčiť, že Harryho klonovaný hlas je skutočný. Táto úroveň manipulácie fungovala vďaka presvedčivému množstvu súvisiacich faktorov:
- použité telefónne číslo riaditeľa,
- vymyslený príbeh zodpovedal udalostiam toho dňa a
- hlasová správa samozrejme znela ako šéf.
Sally spätne uviedla, že pre ňu všetko vyššie spomenuté bolo viac než dostatočné na vykonanie požiadavky. Netreba dodávať, že spoločnosť odvtedy pridala ďalšie bezpečnostné opatrenia, aby boli jej financie chránené. A samozrejme Jake tých 250 libier vrátil.
Falošný firemný účet na WhatsApp
Krádež cudzieho WhatsApp účtu prostredníctvom útoku so zámenou SIM karty môže byť trochu zdĺhavý spôsob, ako útok urobiť vierohodnejším, ale deje sa to oveľa častejšie, než si myslíte. Napriek tomu však kyberzločinci nemusia zájsť tak ďaleko, aby dosiahli rovnaký výsledok. Jake sa stal aj terčom útoku, ktorý na prvý pohľad vyzeral vierohodne. Niekto mu poslal správu na WhatsAppe, ktorá sa vydávala za správu od priateľa, ktorý je vedúcim pracovníkom v IT spoločnosti.
Zaujímavá dynamika útoku tu spočívala v tom, že hoci si Jake je zvyknutý overovať informácie, táto správa prišla s prepojeným menom kontaktu, namiesto toho, aby sa zobrazilo ako číslo. To bolo obzvlášť zaujímavé, pretože číslo, od ktorého prišla, nemal Jake uložené v zozname kontaktov a predpokladal, že sa bude stále zobrazovať ako mobilné číslo, a nie ako meno.
Podľa všetkého sa to útočníkom podarilo jednoducho tak, že si vytvorili účet WhatsApp Business , ktorý umožňuje pridať k účtu ľubovoľné meno, fotografiu a e-mailovú adresu, aby okamžite vyzeral ako pravý. Pridajte k tomu klonovanie hlasu pomocou umelej inteligencie a vstúpili sme do ďalšej generácie sociálneho inžinierstva . Našťastie Jake od začiatku vedel, že sa jedná o podvod, ale mnoho ľudí by mohlo naletieť na tento jednoduchý trik, ktorý by nakoniec mohol viesť k strate peňazí v podobe finančných transakcií, predplatených kariet alebo iných kariet, ako je napríklad Apple Card, ktoré sú medzi kyberzlodeji obľúbené.
Vďaka tomu, že strojové učenie a umelá inteligencia postupujú míľovými krokmi av poslednej dobe sa stávajú stále dostupnejšími pre masy, dostávame sa do doby, kedy technológie začínajú zločincom pomáhať efektívnejšie ako kedykoľvek predtým , a to aj vďaka zdokonaleniu všetkých existujúcich nástrojov, ktoré pomáhajú skryť identitu a miesto pobytu zločincov.
Ako zostať v bezpečí pred podvodmi s klonovaním hlasu?
Tu je niekoľko tipov, ako zostať v bezpečí pred zámenou SIM karty a ďalšími útokmi, ktorých cieľom je oddeliť vás od vašich osobných údajov alebo peňazí:
- Obmedzte zdieľanie vašich osobných údajov online. Ak je to možné, vyhnite sa zverejňovaniu údajov, ako je vaša adresa alebo telefónne číslo.
- Obmedzte počet osôb, ktoré môžu vidieť vaše príspevky alebo iné materiály na sociálnych sieťach.
- Dávajte si pozor na phishingové útoky a iné pokusy, ktoré vás lákajú na poskytnutie citlivých osobných údajov.
- Používajte dvojfázové overovanie (2FA) , konkrétne overovaciu aplikáciu alebo hardvérové overovacie zariadenie.
Dôležitosť používania 2FA skutočne nemožno podceňovať – nezabudnite ju povoliť aj na WhatsApp účte a na všetkých ďalších online účtoch, ktoré ju ponúkajú.