За кілька останніх років відбувся не лише колосальний стрибок якості контенту, згенерованого за допомогою нейромереж, але й також доступності та швидкості його продукування. Чатботи, генератори зображень, відео на базі ШІ та інші нейромережові технології активно освоюють не лише звичайні користувачі, але й різноманітні шахраї.
Звісно, до вас не прийде гуманоїдний робот з історіями про нову вигідну фінансову піраміду чи спадок від нігерійського принца. Ну, принаймні, поки що. Тим не менш нейромережі вже зробили багато звичних шахрайських схем дешевшими і переконливішими, а отже – і більш небезпечними. Liga.Tech розібралась в тому, як технологічний поступ зробив апгрейд обману і як не потрапити на гачок.
▶ ️Голосові клони друзів і родичів
Звуковий монтаж для підроблення голосів практикується вже щонайменше кілька десятиліть. Однак раніше для цього був потрібен професіонал, спеціальне устаткування і довгі години роботи – та навіть за таких умов результат часто виходив неідеальним і підробка швидко розкривалась.
Зараз же достатньо одного короткого аудіозапису, щоб нейромережа змогла генерувати цілі промови голосом, який майже не відрізняється від оригіналу. За потреби, її навіть можна перекласти різними мовами. Технологію миттєво взяли на озброєння творці гумористичного контенту для генерування фейкових монологів чи діалогів політиків та зірок різного рівня дотепності.
Досить давньою й огидною схемою видурювання грошей були дзвінки нібито від родичів чи друзів, які опинились у халепі й терміново потребували грошей. Зазвичай шахраї дзвонили пізно вночі чи рано-вранці, розраховуючи на те, що розгублена людина буде більш піддатлива і не одразу зрозуміє обман. Втрата певної суми грошей було не найгіршим, що приносили подібні дзвінки. Багато випадків, коли літніх людей після подібних дзвінків з "поганими новинами" хапав серцевий напад.
ШІ дозволив вивести цю схему на якісно новий рівень. Якщо користувач хоч раз викладав у відкритий доступ відео чи аудіозапис з його голосом, то він вже може бути "клонованим". Далі шахраї від його імені створюють аудіоповідомлення з драматичною історією про потрапляння у лікарню/поліцейський відділок чи крадіжку речей.
Останній варіант найбільш популярний, оскільки дозволяє пояснити, чому повідомлення було відправлено з незнайомого номеру – мовляв, це добра людина дозволила відправити повідомлення зі свого телефону. Але завжди ці підставні звукові повідомлення зводяться до одного — прохання терміново переслати певну суму грошей.
● Рекомендовані контрзаходи
Насамперед не варто навіть пробувати визначити підробку на слух: технології генерації голосу постійно поліпшуються, його синтетичність маскують завдяки додаванню звуків навколишнього середовища та інших ефектів і часто навіть експерти потрапляють в оману.
Найліпший підхід – вважати все, що надсилається з невідомого номера чи електронної пошти, автоматично підозрілим. Також одразу треба зв’язатись з людиною, від якої прийшло тривожне голосове повідомлення.
Проте шахраї нерідко комбінують цей метод зі зламом акаунту в месенджері. Власне, часто саме так вони отримують зразок голосу для клонування і базу контактів для розсилання фейку. Також вони можуть стежити за соцмережами жертви, щоб підгадати момент, коли та кудись поїде і оперативно зв’язатись з нею буде складно.
У такому разі ліпше запитати інформацію, яку може знати лише адресант повідомлення. А ще краще – завчасно придумати спільний "пароль" чи секретну фразу на випадок подібних ситуацій.
Також після отримання повідомлення варто вичекати який час. Шахраї, як правило, беруть числом і розсилають повідомлення великій кількості адресатів, сподіваючись, що хтось "клюне". Часто вони не стежить за тим, чи було воно прочитане, в той час як близька людина, яка справді потрапила у халепу, обов’язково це помітить і напише знову.
▶ ️Індивідуальний спам і фішинг
Спам – явище таке ж старе, як і електронна пошта у принципі. Проте чатботи разом з витоками з соцмереж та інших платформ вивели його на зовсім інший рівень. Одна справа отримати лист зі змістом "Шановний nadija1969, ваш троюрідний дядько в Австралії помер і заповів вам ранчо поблизу Мельбурну, сплатіть $1000 юридичного збору, інакше його конфіскують на користь держави". У такому разі визначити сумнівність листа і відправити його у смітник досить просто.
Проте варто додати лише трохи персональної інформації, зібраної за допомогою ШІ – справжнє ім’я отримувача, місто проживання, покупки, звички і т.д. – і лист набуває більш правдоподібного вигляду. Наприклад, "Вітаємо, Надіє, це команда онлайн-магазину Білі Ніжки. Ви нещодавно проглядали крем для рук і на нього зараз діє знижка у 75% та безкоштовна доставку до Житомиру. Для участі в акції вам треба лише пройти за посиланням". За такого формулювання на гачок може потрапити навіть досвідчений користувач мережі. Нейромережа на основі аналізу всього кількох фактів може генерувати подібні листи у промислових масштабах.
● Рекомендовані контрзаходи
Тут працює рівно той самий підхід, що й зі звичайним спамом і фішингом – потрібно бути пильним. Хай згенеровані нейромережею листи виглядають більш індивідуальними і правдоподібними, принцип залишається все той же – мішень шахраїв має відкрити вкладення чи пройти за посиланням, інакше нічого не спрацює. Тому робити це можна лише, коли ви на 100% впевнені в його достовірності.
Насамперед треба завжди перевіряти адресу відправника. У офіційних email магазинів буде проста і в той же час ідентична назві магазину адреса. Наприклад white_legs@support.com, в той час як у шахраїв буде не унікальна і заплутана адреса, на кшталт whiteleg492@gmail.com. Те саме і з посиланням, на яке вони запрошують перейти.
Якщо вас зацікавила "акція", але у вас є підозри — не буде зайвим зв’язатись з менеджером магазину по телефону чи пошті, які вказані на сайті, і запитати, чи дійсно є така акція. Так чи інакше, не поспішайте з діями. Головний друг шахраїв – імпульсивні рішення їх жертв. Порадьтесь з близькими щодо листа, та дізнайтесь їх думку.
▶ ️Двійники для верифікації
Одним з найбільш давніх і популярних схем в арсеналі шахраїв було видавання себе за іншу особу з метою отримати доступ до її банківських рахунків чи інших цінностей. Щоправда з огляду на його величезну складність і трудоємність шахраї, як правило, обмежувались тільки "жирними" цілями – бізнесменами та їх родинами. Однак розвиток нейромереж приніс з собою нові загрози.
Сьогодні ШІ вкупі з рядом злитих у мережу фактів, відеозаписів і аудіо може створити дуже переконливого цифрового двійника для обману основних методів верифікації.
Що робить користувач, коли забув пароль і не може авторизуватись у застосунку банку? Дзвонить в службу підтримки, де підтверджує свою особу через такі факти, які можуть дізнатись досвідчені хакери: ім’я, дата народження чи ідентифікаційний код. Навіть більш просунуті методи типу аналізу голосу чи обличчя також можуть обдурити нейромережі. Тим паче, що деякі служби підтримки використовують ботів, які цілком можуть "повірити" фальшивому двійнику і змінити пароль чи надати доступ.
Головна небезпека полягає навіть не в рівні реалістичності подібних двійників, а скоріше в простоті використання і, як наслідок, масовості і кратності. Можна без проблем налагодити величезну ботоферму, яка буде в переважно автономному режимі робити спроби зламати доступ до всіх відомих облікових записів людини чи навіть створювати нові.
● Рекомендовані контрзаходи
Треба відштовхуватись від того, що джина вже не загнати назад в лампу і змиритись з тим фактом, що частина вашої особистої інформації в будь-якому випадку буде гуляти просторами даркнету. Тож слід забезпечити своїм обліковим записам захист від найбільш очікуваних шахрайських атак.
Найбільш очевидний і дієвий спосіб — включити двофакторну аутентифікацію. При спробі будь-якої підозрілої авторизації чи зміни паролю на ваш телефон будуть надходити сповіщення із проханням підтвердити дію чи повідомити, що це не ви. Щоправда, з подібними листами теж треба бути пильними — подібні форми можуть надсилати і шахраї, щоб ви перейшли по посиланню.
▶ ️Непристойні діпфейки для шантажу
Це, напевно, найбільш неприємний спосіб ШІ-шахрайства. До недавніх пір основним хлібом багатьох хакерів був злам хмарних сховищ людей з метою заволодіння їх інтимними фото чи відео. Далі, вони вимагали виплатити викуп, інакше розішлють вкрадене друзям,сім’ї та колегам. Найчастіше від таких атак страждали відомі люди, однак не нехтували хакери і шантажем пересічних громадян.
Стрибок у розвитку нейромереж зробив злам хмарних сховищ попросту непотрібним. Власне, чи не першим застосуванням діпфейків стали спроби робити фальшиву "полуничку" зі знаменитостями.
Шахраї беруть обличчя людини і, за допомогою ШІ, накладають його на зображення чи відео порнографічного вмісту. Далі зв’язуються з жертвою і погрожують, що їх креатив буде надісланий їх близьким і ніхто не буде сумніватись у достовірності ролику. Ці зображення чи відео мають низьку якість, однак деякі користувачі так бояться навіть натяку на секс-скандал зі своєю участю, що погоджуються заплатити. Тим більше, що в таких випадках, сума, як правило, не дуже велика. Але часто перший платіж виявляється далеко не останнім.
● Рекомендовані контрзаходи
Тут теж треба прийняти той факт, що штучний інтелект вже з нами назавжди, а сервіси, де можна зробити фейкові порнофото і відео з будь-якою людиною – це вже реальність. До того ж, з часом, ця технологія тільки розвиватиметься та ставатиме доступнішою.
ШІ може спробувати переконливо накласти обличчя чи навіть спробувати повністю згенерувати непристойне відео. Однак він працює лише на основі тієї інформації, яку йому дали. Тому фальшивість відео можуть видати відсутність деяких нюансів на кшталт татуювань, родимок, пірсингу та інших особливостей.
Також можна зіграти на випередження: розповісти друзям і родичам про ситуацію, яка склалась і попередити про можливу появу такого контенту в мережі. Це якщо не позбавить шантаж сенсу повністю, то значно зменшить можливу шкоду. Адже саме на почутті сорому і небажанні потрапити в скандал часто і грають зловмисники.
▶ ️Підробні вебсайти
Шахраї й раніше робили підробні сайти, але ШІ дозволили пришвидшити цей процес та зробити їх більш переконливими. Найбільш поширена схема – фейкові онлайн-магазини з колосальними знижками (які от-от закінчаться) на популярні товари. Користувач вважає, що зірвав джекпот, й вводить на такому сайті дані своєї кредитної карти, які потім стають інструментом шахраїв.
Подібні сайти можуть бути частиною більшої шахрайської схеми. Наприклад, шахраї можуть дізнатись, який товар ви шукали в мережі й швиденько згенерувати фейкову сторінку з непристойно великою знижкою.
● Рекомендовані контрзаходи
В таких випадках, знову ж таки, треба проявляти пильність і перевіряти сайт, на якому ви вводити свої банківські дані. Погугліть назву магазину чи продавця, перевірте відгуки, подзвоніть за номером (фейкові сайти ставлять неіснуючі номери "підтримки").
Уважно придивіться до адреси сайту – вони можуть мімікрувати під популярні маркетплейси, але підміну легко помітити.
А головне пам’ятайте: безкоштовний сир буває тільки в мишоловці.
Джерело: tech.liga.net