Интернет.
«Дипфейк — идеальный инструмент для мошенников».Текст.
(С)
Появилась новая схема атак на людей — в ней злоумышленники вымогают деньги голосами родственников и друзей, а в корпоративных фродах — голосами руководителей.
Генерация голоса уже замечена в схеме Fake Boss, схеме с поддельным фото банковской карты и схеме угона аккаунта в соцсетях.
Больше всего случаев встречается в Телеграме — мошенники взламывают аккаунт, генерируют голос владельца аккаунта и рассылают по всем чатам короткое голосовое сообщение с просьбой выслать денег.
Как мошенники входят в доверие через голоса друзей, родственников и коллег
Дипвойс-фишинг — атака на людей, в которой с помощью поддельного голоса у жертвы вымогают деньги или конфиденциальную информацию.
С начала года дипфойс-фишинг стал активно применяться в схеме Fake Boss, о которой
мы уже писали в блоге.
Если в конце 2023 года от «руководителей» приходили обычные сообщения, то теперь к ним добавляются голосовые сообщения с припиской вроде «звонок не доходит, сейчас голосом объясню».
У схемы дипвойс в контексте обычных людей жертвами становятся оба — тот, кто получает голосовые сообщения, и тот, от чьего имени они приходят.
Чаще всего такие атаки проводят в Ватсапе, ВК и Телеграме, последний — самая популярная площадка.
За последний месяц центр мониторинга внешних цифровых угроз выявил более 500 новых доменных имен, созвучных с Телеграмом.
Давайте рассмотрим схему по шагам на примере этого мессенджера:
1. Взлом аккаунта
С помощью социальной инженерии злоумышленники получают данные учетной записи пользователя — через фейковые голосования, волна которых наблюдалась в конце 2023 года, и фейковую подписку Телеграм Премиум.
2. Сбор материала
После входа в аккаунт злоумышленники скачивают голосовые сообщения.
Если их недостаточно, хакеры собирают образцы из соцсетей.
В январе 2024 года сотрудник из Гонконга перевел мошенникам 25 миллионов долларов после видеозвонка с дипфейками — всего он сделал 15 транзакций.
Сначала злоумышленники отправили человеку фишинговое письмо с просьбой обсудить конфиденциальные переводы и прикрепили ссылку на созвон.
На звонке цифровые копии высшего менеджмента знакомыми голосами убедили жертву перечислить деньги на несколько счетов в Гонконге. Подлинность произошедшего выяснилась только через неделю, когда компания обнаружила потери и сообщила в полицию.
Для воссоздания участников собрания мошенники использовали видеоматериалы в открытом доступе.
3. Генерация голоса
Раньше голосовые сообщения нарезали из ограниченного количества записей, которые были у мошенников.
Теперь ИИ-инструментам достаточно нескольких образцов, чтобы создать правдоподобную речь в потоке.
Мошенники используют голос двумя способами:
Делают запись заранее, чтобы включить ее на звонке и бросить трубку до момента, как человек начнет задавать вопросы.
В Телеграме мошенники создают новые сообщения с просьбой занять денег и несколько голосовых сообщений для отработки возражений с посылом «Да это же я, ну хочешь, на вопрос какой-нибудь отвечу?».
Создают модель, которая обрабатывает голос в реальном времени.
Нейронные сети изучают особенности речи, интонации, скорости произношения и другие характеристики, чтобы создать достоверный голосовой образ.
Когда пользователь говорит в микрофон, алгоритм анализирует голос → преобразует его в текст → переводит текст в спектрограмму → генерирует новую спектрограмму с заданным голосом → преобразует его в звук.
В зависимости от доступа мошенников к другим ИИ-инструментам, к голосовым фейкам добавляются еще и видеокопии людей.
4. Генерация фото банковской карты
По открытым источникам — мошенники ищут данные паспорта жертвы и генерируют фото карточки известного банка с именем и фамилией отправителя.
Фото создает специальный Телеграм-бот — такая схема, но без голосовых сообщений, стала популярной летом 2023 года.
Номер, указанный на карте, привязан к счету мошенника в другом банке, как правило, малоизвестном.
5. Атака
Мошенники используют голосовые сообщения по-разному: одни отправляют его в начале переписки, чтобы сразу вызвать реакцию, другие — по ходу разговора, когда получатель больше всего сомневается в правдоподобности происходящего.
Во втором случае мошенники сначала втираются в доверие и начинают диалог с текстовых сообщений — могут продолжить начатый диалог или поднять старую тему, которую обнаруживают в переписке.
Когда интерес подогрет, рассылается поддельное голосовое сообщение в личной переписке и во всех чатах, где состоит владелец аккаунта.
Схема опасна тем, что мошенники используют несколько факторов идентификации жертвы — аккаунт, голос и банковскую карту. Это вызывает больше доверия к отправителю
В атаках на сотрудников сочетаются несколько каналов связи: электронное письмо, текстовое сообщение в мессенджере и аудиосообщение.
Мошенник под видом топ-менеджера или партнера отправляет жертве электронное письмо о заключении важного контракта, который нужно оплатить до конца дня.
После этого злоумышленник генерирует фразу «Деньги нужны уже сейчас, не затягивайте нам сделку!» — этим он давит на срочность и подчеркивает авторитет.
В 2020 году в ОАЭ группа из 17 преступников украла таким образом у банка 35 миллионов долларов.
Случайный сотрудник поверил поддельному голосу директора на звонке якобы компания готовится к крупной сделке — деньги нужно было быстро прислать на «новые» счета фирмы.
Для большей убедительности преступники отправили электронные письма от компании и даже поставили в копию «юриста».
Быть успешным мошенником стало проще
Мошенники не становятся умнее и виртуознее, а вот технологии — становятся. Голосовые нейросети пока плохо различают нейтральные и противоправные запросы в части фишинга, это делает их уязвимыми перед запросами злоумышленников. ИИ не может выдать ошибку, когда его просят сгенерировать фразу «Мама, скинь денег на эту карту», потому что сама по себе эта фраза безобидная и не подпадает под ограничения.
С текстовыми нейросетями ситуация чуть лучше. Если сразу попросить ИИ написать фишинговое письмо — он этого не сделает.
Как защититься от атак с поддельным голосом
Вот что обычно рекомендуют делать, чтобы не стать жертвой мошенников:
удалять голосовые сообщения сразу после прослушивания;установить автоудаление всей переписки;не выкладывать в сеть видео с голосом;придумать с близкими секретный пароль для таких случаев.
Проблема таких советов — им не сложно следовать.
Люди ценят личные сообщения и не всегда хотят удалять переписки.
Контролировать каждый свой шаг в соцсетях смогут только те, кто и так ничего не выкладывает, в остальных случаях можно что-то пропустить.
Ну а неестественные интонации и шумы на записи можно не заметить, если человек в этот момент находится на улице или в другом шумном месте.
В тех примерах, которыми жертвы поделились в СМИ, видны совсем короткие голосовые записи — до 10 секунд.
В коротких записях гораздо меньше погрешностей на тембр, интонацию и особенности речи, в длинных же записях больше шансов не попасть в исходный голос.
Кажется, что логичным в этом случае было бы попросить прислать длинное голосовое сообщение, но под влиянием ситуации жертва не вспомнит о такой опции, к тому же не захочет показаться бестактной, когда человек просит о помощи.
Вот что предлагают:
свяжитесь с отправителем сообщения по альтернативному каналу связи.
Если человек не может принять аудио/видеозвонок, напишите в другом мессенджере, отправьте СМС или свяжитесь через общих знакомых или коллег.не бойтесь упустить время.
Неважно, получили вы голосовое сообщение с просьбой отправить деньги на работе или от близких, лишние 10–20 минут на верификацию не приведут к катастрофе.
Лучше взять паузу и перестраховаться.сделайте свои соцсети приватными.
Да, часть данных о вас уже в сети, но вы можете ограничить доступ к образцам вашего голоса и к списку друзей через настройки приватности в соцсетях.
«Дипфейк — идеальный инструмент для мошенников».
С развитием интернета, социальных сетей и т.д., возникли новые виды психических растростройсств.
Несмотря на то что это совсем недавнее явление их последствия являются очень серъезныными.
Среди наиболие примечательных синдромов одним из самых опасных является тот , который принято называть «троянским».
Суть в следующем: когда к вам в сети, обращается незнакомец/незнакомка, тон вашего общения очень быстро становится фамильярным.
Это новое средство общения увеличивает степень доверия между незнакомыми людьми.
Но человек, с которым вы откровенничаете, вполне вероятно, движим не самыми лучшими намерениями ему лишь хочеться, только, рассположить вас к себе, и он, подобно знаменитому коню из древнегреческого мифа, тайно проникает в вашу доселе защищеную крепость.
Вы рассказываете ему о своих пристрастиях и привычках, показываете личные, иногда интимные фотографии.
Порой вы прислушиваетесь к его суждениям и советам.
Но в сущности вы открываете «дверь» абсолютно незнакомоу человеку.
Как он может использовать свою власть над вами ?
Вы этого даже предствить не можете.
нам то что
Не нам а тебе.
Я как раз внимательно отношусь к безопасности в интернете.
В статьях всё написано правильно и то не все.
Пример, ты знаешь с кем общаешься в сети ?
Например, кто такой я ?
Вообще то это дело индивидуальное.
Ну как - баня дело добровольное... .
Про тех кто возле нас.
1. Жалобщик
Вы точно знаете таких людей.
Это для них ланч слишком дорогой, музыка чересчур громкая, никто вокруг ни черта не делает и вообще жизнь — страдание.
Жалобщик — как раз тот человек, который считает, что жизнь несправедлива к нему.
Как научиться нормально взаимодействовать с таким вором хорошего настроения.
2. Спорщик
Вы говорите, что сегодня хороший день. Он говорит, что слишком жарко.
Вы прочитали отличную книгу, но для него она худшая из всех, которые он когда-либо читал.
Вы говорите о том, что он специально вам противоречит.
Но он на чистом глазу заявляет, что это вам только кажется.
Спорщик — как вечный оппонент, тот, кто просто любит спорить.
Иногда диалог с ним может веселить, но чаще раздражает и вызывает агрессию.
Вечный оппонент не всегда может отделить одно от другого.
Так что пока вы спорите, чтобы доказать свою правоту, он спорит ради спора и поэтому всегда выигрывает.
Как лучше вести себя во время такой битвы?
Спорщику нужен сам спор, поэтому тщательно подбирайте возражения.
Если тема спора незначительна лучше всего согласиться. Это не означает, что вы должны лгать.
Попробуйте сказать по какому-то конкретному вопросу: «Я с тобой в этом согласен» или «Я прекрасно понимаю твою точку зрения», — если вы вдруг не согласны ни с одним аргументом спорщика. А потом смените тему.
Когда вы хотите отстоять свою позицию, лучше всего спорить, сфокусировавшись на деталях. Иногда вы. можете отвлечь человека от спора, спросив о чем-то, что касается его личного опыта в данной сфере.
Задавая вопросы вроде «Как вы пришли к такому мнению?» или «С вами когда-нибудь случалось что-то подобное?», вы сможете перевести разговор из плоскости соревнования мнений к личным историям.