Business

De Deepfake Boss ontmaskerd: hoe AI-gestuurde bedrijfsfraude zijn slachtoffers kan overtuigen

deepfake
© iStock

Dit artikel werd geschreven door Pieter Molen, Technical Director Benelux bij Trend Micro.


Recent verloor een multinational maar liefst 24 miljoen euro door een deepfake. Dat berichtte de Hong Kong Free Press. Het slachtoffer dacht tijdens een videocall in gesprek te zijn met zijn baas, maar besefte niet dat het om een deepfake ging. Klinkt vreemd? Het is nochtans niet de eerste keer dat een zogenaamde Deepfake Boss een bedrijf voor miljoenen oplicht.

Voorlopig zijn dit nog redelijk geïsoleerde gevallen. Meer mensen laten zich vangen door CEO-fraude of BEC-fraude via e-mail. Maar in principe is de aanpak identiek. Een werknemer, bij voorkeur iemand van de financiële dienst, krijgt van de bedrijfsleiding in alle vertrouwelijkheid de opdracht om geld over te maken naar een andere rekening. Dat kan gaan om de afronding van een deal, een bedrijfsovername, of de aankoop van kerstcadeaus voor alle collega’s. Maar wat telkens terugkomt, is dat het om een overboeking gaat. En die moet telkens snel en in het grootste geheim gebeuren. Dat wekt wat argwaan, maar wie zou tegenover zijn baas nu een opdracht weigeren als hem dat in een videomeeting gevraagd wordt? Precies…

Vertrouwen

De Boss-fraude valt onder de categorie “vertrouwensfraude” – fraude waarbij een slachtoffer telkens overtuigd wordt. Het verhaal en de algemene indruk moeten overeenkomen. Vaak is alleen een e-mail die verstuurd wordt vanaf het account van de leidinggevende (of een account die erop lijkt) al overtuigend genoeg. Een deepfake-video is dat nog meer, want je krijgt de andere persoon direct te zien en je hoort zijn stem. En als werknemer accepteer je wat je door je baas wordt opgedragen, zeker als die gehaast is. Door die haast is er geen tijd voor echte interactie, en net dat is cruciaal voor het succes van de methode.

State of the Art – Deepfake

Deepfakes zijn video- en audio-opnames van een persoon die met behulp van kunstmatige intelligentie digitaal in een afbeelding worden ingevoegd. In het geval van een video of foto kunnen de gezichtskenmerken van de ene persoon over een andere worden gelegd. Onlangs circuleerden er nepfoto’s van Taylor Swift. Dichter bij huis experimenteerde CD&V recent met een deepfake van oud-premier Jean-Luc Dehaene. Voor een campagne van de Rode Duivels werden oud-bondscoaches Raymond Goethals en Guy Thys in een deepfake-video verenigd. En Vlaming Chris Umé zette in 2022 America’s Got Talent op zijn kop door niemand minder dan Elvis Presley weer tot leven te wekken. De resultaten zijn zo overtuigend dat de gemanipuleerde persoon bijna alles kan zeggen. Video en audio kunnen perfect gesynchroniseerd worden, zolang er genoeg archiefmateriaal van deze persoon bestaat. Van interviews en toespraken tot foto’s en geluidsopnames.

Het creëren van een live-optreden van de kunstmatig gegenereerde persoon in een vergadering is echter anders. Proberen om een kunstmatig gegenereerd beeld met een kunstmatig gegenereerde stem te laten verschijnen in een formaat dat een onmiddellijke reactie vereist, is theoretisch mogelijk. Het resultaat is echter niet bijzonder overtuigend. Er zijn langere pauzes, terwijl gezichtsuitdrukkingen en toon niet overeenkomen met de woorden. Dat ziet er al snel fake uit, en dat voelt vreemd aan.

Bescherming tegen de Boss-fraude

De beste bescherming tegen de Boss-fraude (of BEC) is om interne processen voor betalingen zo te structureren dat ze niet kunnen worden geautoriseerd door een eenvoudig verzoek of instructie van

specifieke personen. In plaats daarvan moeten ze een complexer goedkeuringsproces doorlopen. In het verleden werd hier vaak het principe van “dubbele” bevestiging benadrukt. Als de instructie via e-mail kwam, werd er gebeld en geverifieerd. Als de instructie via de telefoon kwam, vroeg men om een bevestiging per e-mail. Dit geldt vandaag de dag nog steeds. Deepfake-aanvallen leren herkennen is echter cruciaal. Vond er een video- en audiobevestiging plaats, maar was er geen echte interactie? Kon de medewerker alleen maar kijken en luisteren? Dan kan het zijn dat er een deepfake-video werd afgespeeld, waardoor de werknemer misleid werd.

Om te voorkomen dat zulke aanvallen succesvol zijn, moeten werknemers de kans krijgen, of zelfs aangemoedigd worden, om hun bazen effectief te ondervragen over dergelijke activiteiten. Zo wordt het moeilijker voor aanvallers. Maar zolang de mogelijkheid blijft bestaan dat geld wordt uitbetaald in opdracht van één persoon, kunnen we BEC-achtige aanvallen zoals de Deepfake Boss nooit volledig uitsluiten.


Dit artikel werd geschreven door Pieter Molen, Technical Director Benelux bij Trend Micro en valt buiten de verantwoordelijkheid van de redactie.

Pieter Molen, Trend Micro

Gerelateerde artikelen

Volg ons

Ga jij apps uit alternatieve appstores installeren?

  • Nee, App Store of Play Store is goed genoeg (57%, 109 Votes)
  • Alleen als ik een app écht nodig heb (29%, 56 Votes)
  • Ja, ik wil apps van andere bronnen installeren (14%, 27 Votes)

Aantal stemmen: 194

Laden ... Laden ...
69% korting + 3 maanden gratis

69% korting + 3 maanden gratis

Bezoek NordVPN

Business