Fem verifiserte hendelser som beviser at ingen hjørnekontor er trygge for AI-imitasjon.
Casestudie 1: Arup-katastrofen $25M
Selskap: Arup (globalt ingeniørfirma bak operahuset i Sydney)
Tap: $25,6 millioner
Metode: Videokonferanse for flere personer med deepfaked CFO og ansatte
Dato: Tidlig i 2024
Sikkerhetseksperter kaller dette et av de mest sofistikerte deepfake-angrepene som noensinne har funnet sted. I Hongkong deltok en Arup-ansatt i noe som så ut som en rutinemessig videosamtale med selskapets finansdirektør i Storbritannia og andre kolleger. Møtet virket legitimt; deltakerne så ut og hørtes ut akkurat som de virkelige lederne.
Under samtalen ble den ansatte bedt om å utføre 15 separate transaksjoner på til sammen 1,7 milliarder Hongkong til fem forskjellige bankkontoer.
Aldri bekymre deg for AI-svindel igjen. TruthScan Kan hjelpe deg:
- Oppdage AI generert bilder, tekst, tale og video.
- Unngå stor AI-drevet svindel.
- Beskytt dine mest følsom virksomhetens eiendeler.
Først etter å ha sjekket med selskapets hovedkontor, oppdaget den ansatte at alle personene i videosamtalen hadde vært en AI-genererte deepfake.
Dette var ikke en enkel stemmekloning eller et statisk bilde. Svindlerne hadde laget en interaktiv video i sanntid av flere ledere samtidig, noe som skapte en kompleksitet som markerte en ny utvikling innen datakriminalitet.
"I likhet med mange andre virksomheter over hele verden utsettes virksomheten vår for regelmessige angrep, blant annet fakturasvindel, phishing-svindel, WhatsApp voice spoofing og deepfakes. Vi har sett at antallet og sofistikeringen av disse angrepene har økt kraftig de siste månedene." Rob Greig, informasjonsdirektør i Arup
Casestudie 2: Ferraris $40 millioner spørsmål
Selskap: Ferrari
Målet: Administrerende direktør Benedetto Vigna
Forsøk på tap: Uoppgitt (rykter antyder millioner)
Metode: Deepfake AI-stemme med søritaliensk aksent
Dato: Juli 2024
Resultat: Forhindret
Ferrari-ledere mottok meldinger via WhatsApp som så ut til å komme fra konsernsjefen, Benedetto Vigna, sammen med profilbildet hans og selskapets varemerke. Meldingene snakket om et stort kommende oppkjøp og presset på for umiddelbar deling av konfidensiell finansiell informasjon. I en oppfølgingssamtale kopierte deepfake til og med Vignas søritalienske aksent.
Heldigvis begynte en av lederne å fatte mistanke og stilte et enkelt spørsmål: "Hva var tittelen på boken du anbefalte meg i forrige uke?" Da AI-en ikke kunne svare, falt svindelen fra hverandre.
Noen ganger kan den mest sofistikerte teknologien overvinnes av de enkleste menneskelige protokollene. Ferraris nære oppgjør viser både kvaliteten på moderne deepfakes og styrken i personlige verifiseringsmetoder.
Casestudie 3: WPPs Microsoft Teams-felle
Selskap: WPP (verdens største reklamekonsern)
Målet: Administrerende direktør Mark Read
Metode: WhatsApp-konto + Teams-møte med stemmekloning og YouTube-opptak
Dato: Mai 2024
Resultat: Forhindret
Nettkriminelle opprettet en falsk WhatsApp-konto ved hjelp av offentlig tilgjengelige bilder av WPPs administrerende direktør, Mark Read. Deretter brukte de dette materialet til å planlegge et Microsoft Teams-møte med en annen toppleder ved hjelp av kontoen, og ba om tilgang til umiddelbar finansiering og personlig informasjon for en "ny virksomhet".
Under videosamtalen brukte svindlerne en kombinasjon av stemmekloningsteknologi og innspilte YouTube-opptak for å utgi seg for å være Read.
Administrerende direktør Mark Reads svar: "Heldigvis lyktes ikke angriperne. Vi må alle være på vakt mot teknikker som går lenger enn e-post og utnytter virtuelle møter, AI og deepfakes."
WPP-saken viser hvordan ledere med stor medietilstedeværelse er enda mer sårbare. Den store mengden offentlige bilder og videoer av dem gir kriminelle det perfekte materialet til å lage deepfakes.
Casestudie 4: Binance "AI Hologram"-opplegget
Selskap: Binance (verdens største kryptovaluta-plattform)
Målet: Patrick Hillmann, kommunikasjonsdirektør
Metode: Videokonferanse "hologram" ved hjelp av opptak fra TV-intervjuer
Dato: 2022 (tidlig stor sak)
Resultat: Flere kryptoprosjekter lurt
Sofistikerte hackere bygget det Hillmann kalte et "AI-hologram" ved hjelp av klipp fra TV- og nyhetsopptredenene hans. Deepfake var så overbevisende at det lyktes å lure flere kryptorepresentanter under Zoom-samtaler.
De kriminelle brukte denne teknologien til å utgi seg for å være Hillmann i prosjektmøter der de søkte Binance-oppføringer. Dette er en av de mest verdifulle anbefalingene i kryptobransjen.
Ifølge Hillmann "... bortsett fra at de 15 kiloene jeg la på meg under COVID var merkbart fraværende, var denne dype forfalskningen raffinert nok til å lure flere svært intelligente medlemmer av kryptosamfunnet."
Binance-saken markerte en tidlig advarsel om at kriminelle var i ferd med å gå fra enkle stemmekloner til sofistikerte videoetterligninger rettet mot spesifikke forretningsprosesser.
Casestudie 5: LastPass' interne oppvåkning
Selskap: LastPass (Cybersikkerhet/Passordadministrasjon)
Målgruppe Selskapets administrerende direktør
Metode: WhatsApp-samtaler, tekstmeldinger og etterligning av telefonsvarer
Dato: Tidlig i 2024
Resultat: Forhindret
Deepfake-svindlere siktet seg inn på LastPass via WhatsApp (ved å ringe, sende tekstmeldinger og legge igjen telefonsvarer) mens de overbevisende utga seg for å være selskapets administrerende direktør.
Medarbeideren som ble utsatt for angrepet, la merke til flere røde flagg:
- Kommunikasjonen skjedde utenfor normal arbeidstid;
- Forespørselen var uvanlig presserende (en vanlig svindeltaktikk);
- Kanalen og fremgangsmåten avvek fra selskapets standard kommunikasjonsprotokoller.
Hvis det er mulig å angripe cybersikkerhetseksperter, må alle organisasjoner anta at de er sårbare.
Mønsteret bak sakene
En analyse av disse verifiserte hendelsene avdekker en gjennomgående kriminell metodikk:
Sårbarhetsprofilen for ledere
Forskning viser at visse lederegenskaper øker risikoen for deepfake targeting:
- Betydelig tilstedeværelse i media (TV-intervjuer, podcaster, konferanser)
- Opptak av offentlige foredrag tilgjengelig på nettet
- Finansiell fullmaktsmyndighet
- Grenseoverskridende forretningsvirksomhet
- Høyt profilerte stillinger i bransjen
Geografiske hotspots:
- Hongkong (finansielt knutepunkt, komplisert regelverk)
- Nord-Amerika (høy digital utbredelse, stor økonomi)
- Europa (overholdelse av GDPR skaper verifiseringsutfordringer)
Den menneskelige faktor
Selv med all den teknologiske utviklingen er mange angrep fortsatt avhengige av grunnleggende menneskelig psykologi:
- Autoritetsskjevhet (ordrer fra det man oppfatter som overordnede)
- Hastepress (kunstig tidspress)
- Anke om konfidensialitet (spesiell tilgang, innsideinformasjon)
- Sosialt bevis (flere "kolleger" til stede)
Lederne som overlevde disse angrepene, har mange fellestrekk: sunn skepsis, verifikasjonsprotokoller og teamkommunikasjon om potensielle trusler.
Som Ferraris eksempel viser, kan et enkelt spørsmål noen ganger overvinne teknologi til en million dollar.
Referanser
CNN (4. februar 2024) - "Finansarbeider utbetaler $25 millioner etter videosamtale med deepfake 'økonomisjef'"
Fortune (17. mai 2024) - "En deepfake 'CFO' lurte det britiske designfirmaet bak operahuset i Sydney i $25 millioner svindel"
The Guardian - Rob Greig sitat om Arup-angrep
MIT Sloan Management Review (27. januar 2025) - "Hvordan Ferrari bremset en deepfake-sjef"
The Guardian (mai 2024) - WPP-sjef Mark Read deepfake-forsøk
Incode Blog (20. desember 2024) - "Topp 5 tilfeller av AI Deepfake-svindel fra 2024 avslørt"
Binance Blogg - "Svindlere skapte et AI-hologram av meg for å svindle intetanende prosjekter" av Patrick Hillmann
Euronews (24. august 2022) - "Binance-sjef sier svindlere skapte deepfake 'hologram' av ham"
Eftsure USA - "7 eksempler på deepfake-angrep: Deepfake CEO-svindel" - LastPass-saken