Một số chuyên gia bảo mật cho biết, deepfake (phương tiện tổng hợp được điều khiển bằng kỹ thuật số để thay thế chân dung của người này bằng chân dung của người khác) - nỗi ám ảnh của những người nổi tiếng và nỗi sợ hãi của các chính trị gia, sắp bùng nổ trong môi trường doanh nghiệp (DN), vì tội phạm mạng coi chúng là một phương thức mới để dễ dàng kiếm tiền.
Michael Hasse, nhà tư vấn CNTT và an ninh mạng lâu năm tại Mỹ cho biết, CIO (giám đốc CNTT), CISO (giám đốc an ninh thông tin) và các lãnh đạo DN cần phải sẵn sàng cho các kịch bản tấn công được hỗ trợ bởi trí tuệ nhân tạo (AI), sử dụng các cuộc thoại, video clip và cuộc gọi hội nghị truyền hình thực tế nhưng là giả mạo.
Deepfake liên quan đến "gọi thoại" (voice call) không phải là điều gì mới mẻ. Hasse nhớ lại việc đã trình bày về chủ đề này cho các công ty quản lý tài sản vào năm 2015, sau khi một số công ty trong ngành đã trở thành nạn nhân của các vụ lừa đảo qua giọng nói.
Tuy nhiên, kể từ năm 2015, các công nghệ dựa trên AI hỗ trợ deepfake không chỉ được cải thiện đáng kể mà còn trở nên phổ biến rộng rãi. Yếu tố chính ngăn cản việc sử dụng rộng rãi deepfake của tội phạm mạng là không có công cụ đóng gói, Hasse nói.
Nhưng Hasse dự đoán rằng một gói deepfake như vậy sẽ sớm xuất hiện, có khả năng bắt đầu lưu hành trong thế giới tội phạm ngầm trước cuộc bầu cử ở Hoa Kỳ vào tháng 11, với các chiến dịch bầu cử sẽ là mục tiêu đầu tiên.
Hasse nói:
“Mọi thứ cần thiết đều có ở đó. Điều duy nhất khiến chúng tôi không thấy nó tràn ngập là kẻ xấu cần có thời gian để kết hợp những thứ như thế này với nhau".
Deepfake như rủi ro tín dụng
Không chỉ các chuyên gia an ninh mạng mới cảnh báo về rủi ro của các tổ chức từ công nghệ deepfake. Vào tháng 5, công ty xếp hạng tín dụng Moody's đã đưa ra cảnh báo về deepfake, họ cho rằng thúc đẩy những rủi ro tín dụng mới. Báo cáo của Moody's nêu chi tiết một số nỗ lực lừa đảo bằng deepfake, bao gồm cả các cuộc gọi video giả mạo, nhắm vào lĩnh vực tài chính trong 2 năm qua.
Báo cáo nói trên cho biết:
“Những tổn thất tài chính do gian lận deepfake đang nhanh chóng nổi lên như một mối đe dọa nổi bật từ công nghệ tiên tiến này. Deepfake có thể được sử dụng để tạo ra video lừa đảo liên quan đến việc giả mạo các quan chức ngân hàng, giám đốc điều hành, hoặc quan chức chính phủ nhằm chỉ đạo các giao dịch tài chính hoặc thực hiện gian lận thanh toán".
Jake Williams, một giảng viên tại IANS Research - công ty nghiên cứu và tư vấn an ninh mạng, cho biết lừa đảo deepfake đã xảy ra, nhưng quy mô của vấn đề này rất khó ước tính. Trong một số trường hợp, các vụ lừa đảo không được báo cáo để bảo vệ danh tiếng của nạn nhân, và trong những trường hợp khác, nạn nhân của các loại lừa đảo có thể đổ lỗi cho deepfake như một vỏ bọc thuận tiện cho hành động của họ, ông nói.
Đồng thời, bất kỳ biện pháp phòng thủ công nghệ nào chống lại deepfake đều sẽ rất cồng kềnh - hãy tưởng tượng một công cụ phát hiện deepfake nghe lén mọi cuộc gọi điện thoại của nhân viên - và chúng có thể chỉ có thời hạn sử dụng hạn chế, khi công nghệ AI đang phát triển nhanh chóng.
Williams, cựu hacker tại Cơ quan An ninh Quốc gia Hoa Kỳ (NSA), cho biết:
“Thật khó để đo lường vì chúng tôi không có công cụ phát hiện hiệu quả. Sẽ rất khó để chúng tôi theo dõi".
Williams cho biết thêm, mặc dù một số tin tặc có thể chưa có quyền truy cập vào công nghệ deepfake chất lượng cao, nhưng việc giả mạo giọng nói hoặc hình ảnh trong các cuộc gọi video băng thông thấp đã trở nên đơn giản. Trừ khi cuộc họp Zoom của bạn có chất lượng HD hoặc tốt hơn, việc hoán đổi khuôn mặt có thể đủ tốt để đánh lừa hầu hết mọi người.
Bạn không phải là trợ lý hành chính của tôi
Kevin Surace, Chủ tịch của nhà cung cấp dịch vụ xác thực đa yếu tố Token, có thể cung cấp bằng chứng trực tiếp về tiềm năng của deepfake dựa trên giọng nói. Gần đây, ông đã nhận được một email từ trợ lý hành chính của một trong những nhà đầu tư của Token, nhưng ngay lập tức ông đã phát hiện ra đó rõ ràng là một email lừa đảo.
Surace đã gọi cho trợ lý hành chính để cảnh báo rằng email lừa đảo đang được gửi từ tài khoản của người này, và giọng nói ở đầu dây bên kia nghe giống hệt giọng của người trợ lý hành chính, ông nói.
Khi giọng nói ở đầu dây bên kia bắt đầu phản hồi một cách kỳ lạ trong suốt cuộc trò chuyện, ông đã hỏi về đồng nghiệp của người trợ lý hành chính và giọng nói đó không nhận ra người ấy.
Hóa ra số điện thoại trong email lừa đảo chỉ sai một số so với số điện thoại thật của trợ lý hành chính. Số điện thoại giả đã ngừng hoạt động sau vài giờ sau khi Surace phát hiện ra sự cố.
Surace, được biết đến là cha đẻ của trợ lý ảo nhờ công trình nghiên cứu Portico tại General Magic vào những năm 1990, cho biết những tên tội phạm muốn làm giả giọng nói giờ đây chỉ cần một vài giây ghi âm và công nghệ tạo ra video giả mạo trực tiếp chân thực đang ngày càng được cải thiện.
“Mọi người sẽ nói, "Ồ, điều này không thể xảy ra được'”, ông nói. “Giờ đây, nó đã xảy ra với một số ít người, và nếu nó xảy ra với ba người, thì sẽ là 300, sẽ là 3.000, v.v...”
Cho đến nay, deepfake nhắm đến thế giới DN chủ yếu tập trung vào việc lừa nhân viên chuyển tiền cho tội phạm. Nhưng Surace có thể thấy deepfake được sử dụng cho các chương trình tống tiền hoặc thao túng cổ phiếu. Nếu số tiền bị tống đủ thấp, các CEO hoặc những người bị nhắm mục tiêu khác có thể quyết định đền bù thay vì cố gắng giải thích rằng người trong video không thực sự là họ.
Giống như Hasse, Surace thấy một làn sóng deepfake sắp xuất hiện. Ông dự đoán rằng có rất nhiều nỗ lực lừa đảo, giống như nỗ lực nhắm vào ông, đã được thực hiện.
"Mọi người không muốn nói với bất kỳ ai về việc này. Bạn trả 10.000 USD, xóa nó đi và nói, "Đó là điều cuối cùng tôi muốn nói với báo chí", ông nói.
Hasse cho biết việc sử dụng rộng rãi deepfake có thể sắp xảy ra, nhưng vẫn còn một số trở ngại, ngoài việc thiếu một gói deepfake dễ sử dụng. Việc đào tạo deepfake có thể đòi hỏi một mức độ sức mạnh tính toán mà một số tội phạm mạng không có.
Ngoài ra, các vụ lừa đảo deepfake thường hoạt động theo hình thức tấn công có mục tiêu, và cần có thời gian để nghiên cứu đối tượng.
Tuy nhiên, các nạn nhân tiềm năng đang giúp tội phạm mạng bằng cách cung cấp nhiều thông tin về cuộc sống của họ trên mạng xã hội. "Những kẻ xấu thực sự chưa có cách siêu hợp lý để thu thập dữ liệu nạn nhân và tạo ra deepfake theo cách tự động hóa đủ mức, nhưng điều đó sắp xảy ra", Hasse nói.
Làm thế nào để đối phó?
Lừa đảo deepfake có khả năng xảy ra với thế giới DN, câu hỏi đặt ra là làm thế nào để đối phó với mối đe dọa ngày càng tăng này. Với việc công nghệ deepfake ngày càng hoàn thiện hơn, không có câu trả lời dễ dàng nào tồn tại.
Hasse tin rằng nhận thức và đào tạo nhân viên sẽ rất quan trọng. Ông cho biết, nhân viên và CEO cần phải nhận thức được việc các vụ lừa đảo deepfake đang tiềm ẩn, và khi một người trong công ty yêu cầu ai đó làm điều gì đáng ngờ, ngay cả khi đó là cuộc gọi video, hãy kiểm tra lại với họ để xác minh. Thực hiện một cuộc gọi điện thoại khác hoặc xác minh yêu cầu bằng cuộc trò chuyện trực tiếp là một hình thức xác thực đa yếu tố theo kiểu cũ, nhưng nó hiệu quả, ông cho biết.
Khi ngành quản lý tài sản lần đầu tiên trở thành nạn nhân của các vụ lừa đảo bằng giọng nói cách đây gần một thập kỷ, các cố vấn bắt đầu đưa phương pháp tiếp cận hiểu biết khách hàng của họ lên một tầm cao mới. Các cuộc trò chuyện với khách hàng bắt đầu bằng các cuộc trò chuyện về gia đình, sở thích và các thông tin cá nhân khác để giúp xác minh danh tính của họ.
Một biện pháp phòng vệ khác dành cho các CEO và các nhân viên quan trọng khác có thể là cố tình nói dối trên phương tiện truyền thông xã hội để tránh các cuộc tấn công deepfake.
"Tôi đoán rằng tại một thời điểm nào đó sẽ có một số vị trí nhất định trong các công ty thực sự cần điều đó. Nếu bạn đang ở một vai trò đủ nhạy cảm trong một tập đoàn đủ lớn, có thể có một số loại mức độ giám sát trên phương tiện truyền thông xã hội, nơi một ông trùm truyền thông xã hội theo dõi tất cả các tài khoản", Hasse nói.
Surace nói thêm rằng các CIO, CISO và CEO khác cần phải nhận thức được mối đe dọa và hiểu rằng họ có thể là mục tiêu.
Công ty của Surace bán một thiết bị xác thực đa yếu tố đeo được dựa trên dấu vân tay và ông tin rằng các sản phẩm MFA (xác thực đa yếu tố) thế hệ tiếp theo có thể giúp chống lại các vụ lừa đảo deepfake. MFA thế hệ tiếp theo cần có khả năng xác minh danh tính nhanh chóng và an toàn, chẳng hạn như mỗi lần nhân viên đăng nhập vào cuộc họp Zoom, ông nói.
Williams của IANS không chắc chắn các công nghệ mới hoặc đào tạo nhân viên sẽ là giải pháp tốt. Một số người sẽ phản đối việc sử dụng thiết bị xác thực mới và đào tạo an ninh mạng đã có từ lâu nhưng thành công cũng chỉ ở mức hạn chế, ông lưu ý.
Thay vào đó, các công ty cần đưa ra các quy trình, chẳng hạn như sử dụng ứng dụng an toàn khi nhân viên chuyển số tiền lớn. Sử dụng email hoặc cuộc gọi thoại để yêu cầu chuyển khoản số tiền lớn không an toàn, nhưng một số tổ chức vẫn làm như vậy.
Trong nhiều thế kỷ, con người đã sử dụng giọng nói và hình ảnh để xác thực lẫn nhau, nhưng ông cho biết, thời kỳ đó đã kết thúc.
Williams nói thêm: "Thực tế là việc sử dụng giọng nói hoặc hình ảnh giống ai đó để xác thực người đó luôn không đủ, nếu bạn nhìn nhận theo góc độ bảo mật. Công nghệ đang bắt kịp các quy trình kém hiệu quả hoặc kém chất lượng của chúng ta".
Tài liệu tham khảo:
1. https://www.moodys.com/researc...
2. https://en.wikipedia.org/wiki/...
3. https://www.malwarebytes.com/w...