Deepfakes có phải là cuộc gọi spam mới không? Đây là cách để bảo vệ chống lại chúng

Nếu bạn nhìn thấy một bản deepfake về CEO của công ty mình, liệu bạn có thể nói rằng nó không có thật không? Đây là một thách thức đáng lo ngại mà các tổ chức trên toàn cầu đang phải đối mặt thường xuyên. Trên thực tế, chỉ gần đây, một gã khổng lồ quảng cáo đã trở thành mục tiêu của một trò deepfake của CEO của nó. Một hình ảnh có sẵn công khai của giám đốc điều hành đã được sử dụng để thiết lập cuộc họp Microsoft Teams, trong đó bản sao giọng nói của giám đốc điều hành nói trên – có nguồn gốc từ một video trên YouTube – đã được triển khai. Mặc dù cuộc tấn công cụ thể này không thành công nhưng nó vẽ ra một bức tranh lớn hơn về các chiến thuật mới nổi mà tội phạm mạng đang sử dụng với thông tin có sẵn công khai – và đây chỉ là phần nổi của tảng băng trôi.

Công nghệ đã trở nên phức tạp đến mức chỉ có khoảng một nửa số nhà lãnh đạo CNTT ngày nay có sự tin tưởng cao vào khả năng phát hiện hành vi deepfake của CEO của họ. Tệ hơn nữa, tội phạm mạng không chỉ mạo danh các CEO mà còn cả đội ngũ lãnh đạo, với CFO trở thành mục tiêu phổ biến, cũng. Deepfakes ngày càng trở nên dễ dàng để tạo ra. Trên thực tế, một tìm kiếm nhanh trên Google về “cách tạo deepfake” sẽ tạo ra nhiều bài viết và hướng dẫn trên YouTube về cách tạo chính xác. Chi phí đang trở nên không đáng kể, có nghĩa là các cuộc tấn công sâu về cơ bản là các cuộc gọi spam mới.

Cuộc gọi rác ngày nay quá phổ biến. Trên thực tế, Ủy ban Truyền thông Liên bang (FCC) tuyên bố rằng người tiêu dùng Hoa Kỳ nhận được khoảng 4 tỷ cuộc gọi tự động mỗi thángvà những tiến bộ trong công nghệ khiến chúng trở nên cực kỳ rẻ và sinh lời cao, ngay cả khi tỷ lệ thành công thấp. Deepfakes đang theo sau. Tội phạm mạng sẽ sử dụng công nghệ deepfake để lừa những nhân viên không nghi ngờ thậm chí còn nhiều hơn hiện nay và deepfake cuối cùng sẽ trở thành chuyện xảy ra hàng ngày đối với người tiêu dùng bình thường. Hãy cùng khám phá các chiến lược mà các nhà lãnh đạo có thể thực hiện để bảo vệ tốt nhất tổ chức, nhân viên và khách hàng của họ khỏi những mối đe dọa này.

Thiết lập các hướng dẫn mạnh mẽ

Đầu tiên, các nhà lãnh đạo cần thiết lập những hướng dẫn mạnh mẽ trong tổ chức của họ. Những hướng dẫn này cần phải đến từ cấp cao nhất, bắt đầu từ Giám đốc điều hành và được truyền đạt thường xuyên. Ví dụ: Giám đốc điều hành cần giải thích chắc chắn với toàn bộ công ty rằng họ sẽ không bao giờ đưa ra yêu cầu kỳ quặc hoặc ngẫu nhiên với nhân viên, chẳng hạn như mua vài thẻ quà tặng trị giá 100 USD – một chiến thuật lừa đảo thường xuyên. Những cuộc tấn công này thường thành công vì chúng đến từ cấp lãnh đạo và không bị thẩm vấn. Tuy nhiên, khi các hành vi deepfake của CEO trở nên phổ biến hơn, chúng ta ngày càng nhận thức rõ hơn rằng trên thực tế, chúng không có thật. Do đó, tôi dự đoán họ sẽ làm việc theo cách của mình trong tổ chức, bao gồm các Phó Chủ tịch, Giám đốc, người quản lý tuyến đầu và thậm chí cả các đồng nghiệp.

Hãy thử nghĩ xem: việc một đồng nghiệp hoặc người quản lý trực tiếp của bạn yêu cầu bạn một yêu cầu là điều khá phổ biến. Tại sao bạn phải có lý do để đặt câu hỏi? Các nguyên tắc cũng có thể liên quan đến việc sử dụng các công cụ deepfake này trong tổ chức của bạn, bao gồm cả việc cấm sử dụng chúng trên công nghệ do công ty sở hữu. Việc thiết lập các hướng dẫn và rào chắn này chỉ là bước đầu tiên.

Xác nhận yêu cầu qua nhiều kênh

Thứ hai, khi cần đưa ra yêu cầu, cần có sẵn chiến lược để xác nhận chúng thông qua nhiều phương thức liên lạc. Một ví dụ có thể là nếu một yêu cầu đến từ Giám đốc điều hành, yêu cầu đó sẽ được chia sẻ qua email và cũng sẽ bao gồm nội dung theo dõi thông qua nền tảng nhắn tin tức thời được sử dụng tại nơi làm việc. Nếu không có sự theo dõi nào, nhân viên nên bỏ qua yêu cầu hoặc chủ động xác nhận yêu cầu đó qua Slack, sau đó thông báo cho nhóm bảo mật nội bộ theo chính sách bảo mật của họ. Tương tự, có lẽ một yêu cầu được thực hiện thông qua cuộc họp trên Teams, tương tự như chiến thuật được sử dụng cho công ty quảng cáo deepfake. Yêu cầu này sau đó cần phải có xác nhận qua email và/hoặc xác nhận của Slack. Tốt hơn hết, hãy xác nhận qua một cuộc điện thoại nhanh nếu việc đi đến bàn làm việc thực tế của họ không phải là một lựa chọn. Các quy trình này cần được thông báo thường xuyên và tới toàn bộ tổ chức để luôn ghi nhớ chúng. Sau đó, khi biết được một nỗ lực, hãy thiết lập một quy trình để chia sẻ ví dụ này một cách rộng rãi trong toàn tổ chức nhằm tạo ra sự nhận dạng mẫu về các loại mối đe dọa mà mọi người nên biết.

Tổ chức các khóa đào tạo thường xuyên

Thứ ba, các tổ chức nên triển khai đào tạo thường xuyên trên toàn công ty để luôn lưu ý đến deepfake và các loại tấn công gian lận danh tính khác trong tâm trí nhân viên. Đây là hữu ích vì một vài lý do. Một nhân viên thậm chí có thể không biết deepfake là gì hoặc biết rằng giọng nói và video có thể bị giả mạo. Ngoài ra, nhân viên có thể có suy nghĩ “khuất mặt, mất trí” - nếu deepfake không được quan tâm hàng đầu, họ có thể dễ dàng trở thành nạn nhân của một cuộc tấn công. Nghiên cứu chương trình rằng những nhân viên được đào tạo về an ninh mạng đã thể hiện khả năng được cải thiện đáng kể trong việc nhận ra các mối đe dọa mạng tiềm ẩn.

Deepfakes không đi đến đâu và chúng ngày càng trở nên thường xuyên và khó phát hiện. Tuy nhiên, bằng cách thiết lập các nguyên tắc, xác minh yêu cầu qua nhiều lộ trình và triển khai chương trình đào tạo nhất quán trong toàn tổ chức của bạn, chúng tôi có thể chuẩn bị tốt hơn và bảo vệ khỏi những mối đe dọa này. Trong thế giới kỹ thuật số ngày càng phát triển, việc chúng ta nỗ lực ít tin tưởng hơn và xác minh nhiều hơn sẽ là điều cần thiết trong việc duy trì tính bảo mật và tính toàn vẹn của danh tính kỹ thuật số của chúng ta.