Pięć zweryfikowanych incydentów, które dowodzą, że żadne biuro nie jest bezpieczne przed podszywaniem się pod AI.
Studium przypadku 1: Katastrofa $25M Arup
Firma: Arup (globalna firma inżynieryjna stojąca za operą w Sydney)
Strata: $25,6 mln
Metoda: Wieloosobowa wideokonferencja z dyrektorem finansowym i personelem deepfaked
Data: Początek 2024 r.
Eksperci ds. bezpieczeństwa nazywają to jednym z najbardziej wyrafinowanych korporacyjnych ataków typu deepfake, jakie kiedykolwiek miały miejsce. W Hongkongu pracownik Arup dołączył do czegoś, co wyglądało jak rutynowa rozmowa wideo z dyrektorem finansowym firmy z siedzibą w Wielkiej Brytanii i innymi współpracownikami. Spotkanie wydawało się legalne; uczestnicy wyglądali i brzmieli dokładnie tak, jak prawdziwi menedżerowie.
Podczas rozmowy pracownik został poinstruowany, aby wykonać 15 oddzielnych transakcji na łączną kwotę $200 milionów HK na pięć różnych kont bankowych.
Nigdy więcej nie martw się o oszustwa związane ze sztuczną inteligencją. TruthScan Może ci pomóc:
- Wykrywanie wygenerowanych przez AI obrazy, tekst, głos i wideo.
- Unikać poważne oszustwa oparte na sztucznej inteligencji.
- Chroń swoje najbardziej wrażliwy aktywa przedsiębiorstwa.
Dopiero po sprawdzeniu w centrali firmy, pracownik zauważył, że każda osoba podczas tej rozmowy wideo była deepfake'iem wygenerowanym przez sztuczną inteligencję.
Nie był to zwykły klon głosowy ani statyczny obraz. Oszuści stworzyli interaktywne wideo w czasie rzeczywistym przedstawiające wielu członków kadry kierowniczej w tym samym czasie, tworząc poziom złożoności, który oznaczał nową ewolucję w cyberprzestępczości korporacyjnej.
"Podobnie jak wiele innych firm na całym świecie, nasze operacje podlegają regularnym atakom, w tym oszustwom fakturowym, phishingowi, fałszowaniu głosu WhatsApp i deepfake'om. Zauważyliśmy, że liczba i wyrafinowanie tych ataków gwałtownie wzrosły w ostatnich miesiącach". Rob Greig, CIO w Arup
Studium przypadku 2: Pytanie Ferrari $40 Million
Firma: Ferrari
Cel: CEO Benedetto Vigna
Próba straty: Nieujawnione (plotki sugerują miliony)
Metoda: Głos Deepfake AI z południowowłoskim akcentem
Data: Lipiec 2024 r.
Wynik: Zapobieganie
Kierownictwo Ferrari otrzymywało wiadomości za pośrednictwem aplikacji WhatsApp, które wydawały się pochodzić od ich dyrektora generalnego, Benedetto Vigny, wraz z jego zdjęciem profilowym i brandingiem firmy. Wiadomości mówiły o dużym nadchodzącym przejęciu i naciskały na natychmiastowe udostępnienie poufnych informacji finansowych. W kolejnej rozmowie deepfake skopiował nawet południowowłoski akcent Vigny.
Na szczęście jeden z dyrektorów zaczął nabierać podejrzeń i zadał proste pytanie: "Jaki był tytuł książki, którą poleciłeś mi w zeszłym tygodniu?" Kiedy sztuczna inteligencja nie potrafiła odpowiedzieć, oszustwo się rozpadło.
Czasami najbardziej wyrafinowana technologia może zostać pokonana przez najprostsze ludzkie protokoły. Bliskie starcie Ferrari pokazuje zarówno jakość współczesnych deepfake'ów, jak i siłę osobistych metod weryfikacji.
Studium przypadku 3: Pułapka Microsoft Teams w WPP
Firma: WPP (największa na świecie grupa reklamowa)
Cel: CEO Mark Read
Metoda: Konto WhatsApp + spotkanie Teams z klonowaniem głosowym i nagraniami YouTube
Data: Maj 2024
Wynik: Zapobieganie
Cyberprzestępcy utworzyli fałszywe konto WhatsApp, wykorzystując publicznie dostępne zdjęcia dyrektora generalnego WPP, Marka Reada. Następnie wykorzystali ten materiał do zaplanowania spotkania Microsoft Teams z innym kierownikiem wyższego szczebla, korzystając z konta, prosząc o dostęp do natychmiastowego finansowania i danych osobowych dla "nowej firmy".
Podczas rozmowy wideo oszuści wykorzystali połączenie technologii klonowania głosu i nagranego materiału z YouTube, aby podszyć się pod Read.
Odpowiedź CEO Marka Reada: "Na szczęście atakujący nie odnieśli sukcesu. Wszyscy musimy być czujni na techniki, które wykraczają poza e-maile i wykorzystują wirtualne spotkania, sztuczną inteligencję i deepfake".
Przypadek WPP pokazuje, że dyrektorzy z dużą obecnością w mediach są jeszcze bardziej narażeni na ataki. Duża ilość ich publicznych zdjęć i filmów daje przestępcom doskonały materiał do tworzenia deepfake'ów.
Studium przypadku 4: Schemat "hologramu AI" Binance
Firma: Binance (największa na świecie platforma kryptowalutowa)
Cel: Patrick Hillmann, dyrektor ds. komunikacji
Metoda: "Hologram" wideokonferencji wykorzystujący materiał z wywiadu telewizyjnego
Data: 2022 (wczesny poważny przypadek)
Wynik: Wiele projektów kryptowalutowych zostało oszukanych
Wyrafinowani hakerzy zbudowali coś, co Hillmann nazwał "hologramem AI", wykorzystując klipy z jego wystąpień telewizyjnych i wiadomości. Deepfake był tak przekonujący, że z powodzeniem oszukał wielu przedstawicieli kryptowalut podczas rozmów Zoom.
Przestępcy wykorzystali tę technologię do podszywania się pod Hillmanna na spotkaniach projektowych w celu uzyskania ofert Binance. Są to jedne z najcenniejszych rekomendacji w branży kryptowalut.
Według Hillmanna, "...poza tym, że 15 funtów, które przytyłem podczas COVID, było zauważalnie nieobecne, ten głęboki fake był wystarczająco wyrafinowany, aby oszukać kilku bardzo inteligentnych członków społeczności kryptowalutowej".
Przypadek Binance stanowił wczesne ostrzeżenie, że przestępcy wykraczają poza proste klony głosowe w kierunku wyrafinowanych podszywek wideo ukierunkowanych na określone procesy biznesowe.
Studium przypadku 5: Wewnętrzna pobudka LastPass
Firma: LastPass (cyberbezpieczeństwo/zarządzanie hasłami)
Cel: CEO firmy
Metoda: Połączenia WhatsApp, SMS-y i podszywanie się pod pocztę głosową
Data: Początek 2024 r.
Wynik: Zapobieganie
Oszuści Deepfake zaatakowali LastPass za pośrednictwem WhatsApp (dzwoniąc, wysyłając SMS-y i zostawiając wiadomości głosowe), przekonująco udając dyrektora generalnego firmy.
Pracownik, który stał się celem ataku, zauważył kilka sygnałów ostrzegawczych:
- Komunikacja odbywała się poza normalnymi godzinami pracy;
- Prośba była niezwykle pilna (powszechna taktyka oszustów);
- Kanał i podejście odbiegały od standardowych protokołów komunikacyjnych firmy.
Jeśli specjaliści ds. cyberbezpieczeństwa mogą być skutecznie atakowani, każda organizacja musi założyć, że jest podatna na ataki.
Wzór kryjący się za sprawami
Analiza tych zweryfikowanych incydentów ujawnia spójną metodologię przestępczą:
Profil podatności kadry kierowniczej
Badania pokazują, że pewne cechy wykonawcze zwiększają ryzyko namierzania deepfake:
- Znacząca obecność w mediach (wywiady telewizyjne, podcasty, konferencje)
- Materiały z wystąpień publicznych dostępne online
- Organ autoryzacji finansowej
- Transgraniczne operacje biznesowe
- Wysokie stanowiska w branży
Geograficzne punkty zapalne:
- Hongkong (centrum finansowe, złożoność przepisów)
- Ameryka Północna (wysoka popularność technologii cyfrowych, duża gospodarka)
- Europa (zgodność z RODO stwarza wyzwania weryfikacyjne)
Czynnik ludzki
Nawet przy całym zaawansowaniu technologicznym, wiele ataków nadal opiera się na podstawowej ludzkiej psychologii:
- Uprzedzenia dotyczące władzy (rozkazy od postrzeganych przełożonych)
- Presja pilności (sztuczne ograniczenia czasowe)
- Odwołania dotyczące poufności (specjalny dostęp, informacje poufne)
- Dowód społeczny (obecność wielu "kolegów")
Kierownictwo, które przetrwało te ataki, ma wspólne cechy: zdrowy sceptycyzm, protokoły weryfikacji i komunikację zespołową na temat potencjalnych zagrożeń.
Jak pokazuje przykład Ferrari, czasami proste pytanie może pokonać technologię wartą miliony dolarów.
Referencje
CNN (4 lutego 2024 r.) - "Pracownik finansowy wypłaca $25 milionów po rozmowie wideo z fałszywym 'dyrektorem finansowym'"
Fortune (17 maja 2024 r.) - "Fałszywy 'dyrektor finansowy' oszukał brytyjską firmę projektową stojącą za Operą w Sydney na $25 milionów dolarów"
The Guardian - Cytat Roba Greiga na temat ataków Arup
MIT Sloan Management Review (27 stycznia 2025 r.) - "Jak Ferrari wcisnęło hamulec prezesowi Deepfake"
The Guardian (maj 2024) - Dyrektor generalny WPP Mark Read - próba deepfake
Blog Incode (20 grudnia 2024 r.) - "Ujawniono 5 najważniejszych przypadków oszustw AI Deepfake od 2024 r."
Blog Binance - "Oszuści stworzyli mój hologram SI, by wyłudzić pieniądze od niczego niepodejrzewających projektów", Patrick Hillmann
Euronews (24 sierpnia 2022 r.) - "Dyrektor Binance twierdzi, że oszuści stworzyli jego fałszywy 'hologram'"
Eftsure US - "7 przykładów ataków Deepfake: Oszustwa Deepfake CEO" - sprawa LastPass