Rząd walczy ze spoofingiem, a oszuści wykorzystują już DeepFake
Prawdziwą plagą jest podszywanie się przez oszustów pod cudze numery telefonów (spoofing). Oszuści w tym celu wykorzystują oprogramowanie (trochę jak bramka SMS), gdzie ustawiają z numer, z którego chcą wykonać połączenie. W efekcie mogą dzwonić „z mojego numeru” i grozić innym osobom lub podszywać się pod pracownika banku, aby wyłudzić dane / pieniądze. W ciągu ostatniego roku zgłosiło się do mnie bardzo wiele osób, które padło ofiarą spoofingu. Przy pierwszym scenariuszu, często dowiadywali się o wykorzystaniu ich numeru, w momencie otrzymania od Policji wezwania na przesłuchanie w sprawie gróźb karalnych. Udowodnienie, że to ktoś inny wykonał połączenie jest proste – wystarczy pokazać historię połączeń.
W drugim przypadku, oszustwa „na numer z banku” były bardzo skuteczne i dużo ludzi w ich wyniku utraciło kontrolę nad swoimi danymi i/lub poniosło straty finansowe. Najbardziej oburzające w tym wszystkim jest to, że aktualna technologia pozwala na takie oszustwa. Skala tych działań jest tak duża, że doczekaliśmy się ustawy o zwlaczaniu nadużyć w komunikacji elektronicznej. Popularnie zwalnej ustawą antyspoofingową. Nakłada ona na telekomy obowiązek podjęcia aktywnych działań, żeby wykrywać spoofing i mu przeciwdziałać. Poza tym mają być także działania przeciwko smishingowi (phishing przez SMS). Ustawa wymaga także od dostawców poczty elektronicznej, wprowadzenia rozwiązań, które uniemożliwią podszywanie się pod cudzy adres e-mail. Wszyscy operatorzy mają współpracować z CERT, który będzie na podstawie swoich baz danych, przekazywać im wzorce ataków oraz fałszywych wiadomości, w celu ich blokowania.
Sam kierunek zmian, brzmi bardzo pozytywnie. Oczywiście mam pewne obawy, czy nie będzie to ustawa, która pozwoli tylnymi drzwiami na naruszanie prywatności obywateli. Łatwo wyobrazić sobie scenariusz, gdy wykorzysta się uprawnienia CERT do blokowania wzorca wiadomości, który będzie dotyczył tematów niewygodnych dla rządzących, szczególnie gdyby były to wiadomości rozsyłane przez organizacje pożytku publicznego (jak zwykle powstaje pytanie: kto pilnuje strażników? Czyli jak jest zapewniona kontrola tych działań).
Niestety, nowa technologia idzie do przodu i opisane metody niedługo mogą odejść do lamusa. Dzisiaj oszuści korzystają z pomocy AI, która potrafi sklonować wizerunek oraz głos wybranej osoby i w czasie rzeczywistym wygenerować odpowiedni obraz i dźwięk. Kilka dni temu dowiedziałam się o szokującym oszustwie, które polegało na dołączeniu do firmowego spotkania online, prezesa wygenerowanego przez AI. Twarz i głos były zgodne, ale „mimika jakaś trochę dziwna”. Prezes miał dość radykalne postulaty, miał też możliwość uzyskania dostępu do poufnych informacji omawianych na spotkaniu. Strach pomyśleć, jakie mógłby zrobić szkody oszust, gdyby pracownicy firmy dali się nabrać. I tak, to było w Polsce, a nie gdzieś daleko, na planie filmowym.
Czy takie działanie jest legalne? Oczywiście, że nie. Stanowi naruszenie wielu przepisów, zaczynając od naruszenia dóbr osobistych prezesa (Kodeks Cywilny), wykorzystania jego wizerunku i danych bez zgody (RODO, prawo autorskie), przez działanie na szkodę firmy (tu zapewnie przepisy karne).
Żyjemy w czasach, gdy hasło „ufaj, ale sprawdzaj”, nabiera nowego znaczenia. Inną drogę komunikacji powinniśmy teraz stosować nie tylko do przesyłania haseł, ale także do potwierdzania istotnych działań (jak polecenie nietypowego przelewu, zmiana numeru konta, duży zakup, itp.). Warto także w takim wypadku zadać tej osobie pytania, na które odpowiedź zna tylko prawdziwy rozmówca. W przypadku podrabiania twarzy (DeepFake), często wystarczy, że poprosimy, aby ta osoba spojrzała w bok. Profil rzadko udaje się AI, bo ma zazwyczaj za mało danych. Zresztą podobnie jest z zębami i uszami, jeśli ludzie ich nie pokazują na co dzień.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.