Connect with us

Er Deepfakes De Nye Spamopkald? Her Er, Hvordan Du Kan Beskytte Dig Imod Dem

Tankeledere

Er Deepfakes De Nye Spamopkald? Her Er, Hvordan Du Kan Beskytte Dig Imod Dem

mm
Published
Updated

Hvis du så en deepfake af din virksomheds administrerende direktør, ville du være i stand til at se, at det ikke var ægte? Dette er en bekymrende udfordring, som organisationer over hele verden har at kämpe med på en hyppig basis. Faktisk, lige for nylig, var en reklamegigant målet for en deepfake af dets administrerende direktør. Et offentligt tilgængeligt billede af direktøren blev brugt til at opsætte en Microsoft Teams-møde, hvor en stemmeklon af direktøren – fra en YouTube-video – blev anvendt. Selvom dette specifikke angreb var mislykket, tegner det et større billede af de nye taktikker, som cyberkriminelle bruger med offentligt tilgængelige oplysninger – og dette er kun toppen af isbjerget.

Teknologien er blevet så avanceret, at kun omkring halvdelen af IT-cheferne i dag har stor tillid til deres evne til at opdage en deepfake af deres administrerende direktør. Det gør sagen værre, at cyberkriminelle ikke kun efterligner administrerende direktører, men hele ledelsesholdet, med CFO’er som populære mål, også. Deepfakes bliver mere og mere lette at lave. Faktisk kan en hurtig Google-søgning på “hvordan man laver en deepfake” producere forskellige artikler og YouTube-tutorials om, hvordan man laver en. Omkostningerne bliver næsten ubetydelige, hvilket betyder, at deepfakes i princippet er de nye spamopkald.

Spamopkald er alt for almindelige i dag. Faktisk hævder Federal Communications Commission (FCC), at amerikanske forbrugere modtager ca. 4 milliarder robocalls om måneden, og fremgangen i teknologien gør dem ekstremt billige og meget lukrative, selv med en lav succesrate. Deepfakes følger samme mønster. Cyberkriminelle vil bruge deepfake-teknologi til at narre uvidende medarbejdere endnu mere, end de gør i dag, og deepfakes vil til sidst blive en hverdagsforeteelse for den gennemsnitlige forbruger. Lad os udforske strategier, som ledere kan implementere for bedst at beskytte deres organisation, medarbejdere og kunder mod disse trusler.

Etabler Stærke Retningslinjer

Først og fremmest skal ledere etablere stærke retningslinjer inden for deres organisation. Disse retningslinjer skal komme fra toppen og kommunikeres hyppigt. For eksempel skal administrerende direktøren fast beskedent meddele hele virksomheden, at de aldrig vil stille en underlig eller tilfældig anmodning til en medarbejder, såsom at købe flere $100-gavekort – en hyppig phishing-taktik. Disse angreb er ofte succesfulde, fordi de kommer fra en ledelsesposition og ikke bliver stillet spørgsmål ved. Men da CEO-deepfakes bliver mere almindelige, bliver vi mere bevidste om, at de faktisk ikke er ægte. Derfor forventer jeg, at de vil arbejde sig ned gennem organisationen og omfatte vicepræsidenter, direktører, frontlinjechefer og endda kolleger.

Tænk blot: at have en kollega eller din nærmeste chef bede om en anmodning er ret almindeligt. Hvorfor skulle du have en grund til at stille spørgsmål ved det? Retningslinjerne kan også relateres til brugen af disse deepfake-værktøjer inden for organisationen, herunder at forbyde brugen af dem på virksomhedsejet teknologi. At fastlægge disse retningslinjer og sikkerhedsforanstaltninger er kun det første skridt.

Bekræft Anmodninger Gennem Flere Kanaler

Andet, når anmodninger skal stilles, skal der være en strategi på plads til at bekræfte dem via flere kommunikationskanaler. Et eksempel kunne være, hvis en anmodning kommer fra administrerende direktøren, skal anmodningen deles via e-mail og også inkludere en opfølgning via en øjebliksbesked-platform, der bruges på arbejdspladsen. Hvis der ikke er nogen opfølgning, skal medarbejderen enten ignorere anmodningen eller proaktivt bekræfte den via Slack selv og derefter underrette interne sikkerhedshold i overensstemmelse med deres sikkerhedsprocedure. Ligeså, hvis en anmodning stilles via en Teams-møde, ligesom den taktik, der blev brugt til reklamevirksomhedens deepfake. Denne anmodning skal derefter have en e-mail-bekræftelse og/eller en Slack-bekræftelse. Endnu bedre, bekræftet via et hurtigt telefonopkald, hvis det ikke er muligt at gå over til deres fysiske skrivebord. Disse processer skal kommunikeres ofte og til hele organisationen for at holde dem øverst i sindet. Så, når et forsøg er kendt, etabler en proces til at dele eksemplet bredt gennem hele organisationen for at skabe mønstergenkendelse af de typer af trusler, alle skal være opmærksomme på.

Afhold Hyppige Uddannelser

Tredje, organisationer skal implementere hyppige virksomhedsomfattende uddannelser for at holde deepfakes og andre typer af identitets-svindelangreb øverst i medarbejdernes sind. Disse er nyttige af flere grunde. En medarbejder må ikke engang vide, hvad en deepfake er, eller kende til, at stemmer og videoer kan være falske. Derudover kan medarbejdere følge “udenfor synsvidde, udenfor sind” – hvis deepfakes ikke er øverst i sindet, kan de let falde offer for et angreb. Forskning viser, at medarbejdere, der modtog cybersikkerhedsuddannelse, demonstrerede en betydeligt forbedret evne til at genkende potentielle cybertrusler.

Deepfakes er ikke på vej væk, og de bliver mere og mere hyppige og svære at opdage. Men ved at etablere retningslinjer, verificere anmodninger via flere ruter og implementere konsekvent uddannelse på tværs af organisationen, kan vi være bedre forberedt og beskytte os mod disse trusler. I en stigende digital verden vil vores flid til at stole mindre og verificere mere være afgørende for at opretholde sikkerheden og integriteten af vores digitale identitet.

mm

Jason Oeltjen er Vice President of Product Management hos Ping Identity. Over de sidste 20 år har Jason ledet ingeniør-, support- og produktorganisationer i virksomheder fra tidlige startups til Fortune 500. Senest har han arbejdet med cloud identity-løsninger, fokuseret på at skabe simple cloud-løsninger til at løse komplekse virksomhedsidentitets-sikkerhedsudfordringer.