Дипфейки — это новые спам-звонки? Вот как защититься от них

Если бы вы увидели дипфейк генерального директора вашей компании, смогли бы вы сказать, что он ненастоящий? Это тревожная проблема, с которой организации по всему миру часто сталкиваются. На самом деле, просто недавно, рекламный гигант стал объектом дипфейка своего генерального директора. Общедоступное изображение руководителя было использовано для организации собрания Microsoft Teams, на котором был развернут голосовой клон указанного руководителя, полученный из видео на YouTube. Хотя эта конкретная атака оказалась безуспешной, она рисует более широкую картину новой тактики, которую киберпреступники используют в отношении общедоступной информации – и это только верхушка айсберга.

Технология стала настолько сложной, что только около половина ИТ-руководителей сегодня имеют высокую уверенность в своей способности обнаружить дипфейк своего генерального директора. Что еще хуже, киберпреступники выдают себя не только за генеральных директоров, но и за всю руководящую команду. Финансовые директора становятся популярными мишенями, также. Создавать дипфейки становится все проще. Фактически, быстрый поиск в Google по запросу «как создать дипфейк» приводит к появлению различных статей и руководств на YouTube о том, как именно его создать. Затраты становятся незначительными, а это означает, что дипфейки — это, по сути, новые спам-звонки.

Спам-звонки сегодня слишком распространены. Фактически, Федеральная комиссия по связи (FCC) утверждает, что потребители США получают примерно 4 миллиарда роботизированных звонков в месяц, а достижения в области технологий делают их чрезвычайно дешевыми и очень прибыльными, даже при низком уровне успеха. Дипфейки следуют этому примеру. Киберпреступники будут использовать технологию дипфейков, чтобы обмануть ничего не подозревающих сотрудников даже больше, чем сегодня. дипфейки со временем станут повседневным явлением для среднего потребителя. Давайте рассмотрим стратегии, которые лидеры могут реализовать, чтобы наилучшим образом защитить свою организацию, сотрудников и клиентов от этих угроз.

Установите четкие руководящие принципы

Во-первых, лидерам необходимо установить четкие руководящие принципы внутри своей организации. Эти рекомендации должны исходить сверху, начиная с генерального директора, и часто доводиться до сведения. Например, генеральному директору необходимо твердо объяснить всей компании, что они никогда не будут обращаться к сотруднику с нечетными или случайными запросами, например, о покупке нескольких подарочных карт на 100 долларов — частая тактика фишинга. Эти атаки часто бывают успешными, потому что они исходят от руководства и не подвергаются сомнению. Однако по мере того, как дипфейки генеральных директоров становятся все более распространенными, мы все больше осознаем, что они на самом деле нереальны. В результате я ожидаю, что они будут продвигаться по всей организации, включив в себя вице-президентов, директоров, рядовых менеджеров и даже коллег.

Подумайте только: коллега или ваш непосредственный руководитель обращаются к вам с просьбой — это довольно распространенное явление. Почему у вас должна быть причина сомневаться в этом? Рекомендации также могут быть связаны с использованием этих инструментов дипфейков внутри вашей организации, включая запрет на их использование в технологиях, принадлежащих компании. Установление этих руководящих принципов и ограждений — это лишь первый шаг.

Подтверждайте запросы по нескольким каналам

Во-вторых, когда запросы все же необходимо сделать, должна быть разработана стратегия их подтверждения с помощью нескольких способов связи. Например, если запрос исходит от генерального директора, этот запрос будет отправлен по электронной почте, а также будет включать в себя последующие действия через платформу обмена мгновенными сообщениями, используемую на рабочем месте. Если никаких последующих действий не последовало, сотрудник должен либо проигнорировать запрос, либо заранее подтвердить его через Slack, а затем уведомить службы внутренней безопасности в соответствии со своей политикой безопасности. Аналогичным образом, возможно, запрос делается через собрание Teams, аналогично тактике, используемой для дипфейка рекламной компании. Затем этот запрос должен иметь подтверждение по электронной почте и/или подтверждение Slack. Еще лучше, подтвердите это с помощью быстрого телефонного звонка, если подойти к их физическому столу невозможно. Об этих процессах следует часто доводить до сведения всей организации, чтобы они всегда были в центре внимания. Затем, когда о попытке станет известно, начните процесс распространения примера по всей организации, чтобы обеспечить распознавание типов угроз, о которых должен знать каждый.

Проводите частые тренинги

В-третьих, организациям следует проводить частое обучение в масштабах всей компании, чтобы держать в центре внимания сотрудников дипфейки и другие виды атак с целью мошенничества с личными данными. Они полезны по нескольким причинам. Сотрудник может даже не знать, что такое дипфейк, или не знать, что голоса и видео могут быть подделаны. Кроме того, сотрудники могут полагаться на образ мышления «с глаз долой, из головы» — если дипфейки не в центре внимания, они могут легко стать жертвой атаки. Исследовать сериал что сотрудники, прошедшие обучение по кибербезопасности, продемонстрировали значительно улучшенную способность распознавать потенциальные киберугрозы.

Дипфейки никуда не денутся, они становятся все более частыми и их становится все труднее обнаружить. Однако, установив правила, проверив запросы по нескольким маршрутам и организовав последовательное обучение в вашей организации, мы сможем лучше подготовиться и защититься от этих угроз. В растущем цифровом мире наше стремление меньше доверять и больше проверять будет иметь важное значение для поддержания безопасности и целостности нашей цифровой идентичности.