Lãnh đạo tư tưởng

Liệu Deepfakes Có Phải Là Cuộc Gọi Spam Mới? Dưới Đây Là Cách Bảo Vệ Chống Lại Chúng

mm
Published
Updated

Nếu bạn nhìn thấy một deepfake của CEO công ty mình, bạn có thể xác định được rằng đó không phải là thật không? Đây là một thách thức令人 quan ngại mà các tổ chức trên toàn cầu đang phải đối mặt trên cơ sở thường xuyên. Trên thực tế, chỉ gần đây, một gã khổng lồ quảng cáo đã trở thành mục tiêu của một deepfake của CEO. Một hình ảnh công khai của giám đốc điều hành đã được sử dụng để thiết lập một cuộc họp Microsoft Teams trong đó một bản sao giọng nói của giám đốc điều hành – được lấy từ một video YouTube – đã được triển khai. Mặc dù cuộc tấn công cụ thể này không thành công, nhưng nó vẽ ra một bức tranh lớn hơn về các chiến thuật mới nổi mà các tội phạm mạng đang sử dụng với thông tin công khai – và đây chỉ là phần nổi của tảng băng.

Công nghệ đã trở nên tinh vi đến mức chỉ có khoảng nửa số nhà lãnh đạo CNTT ngày nay có niềm tin cao vào khả năng phát hiện một deepfake của CEO. Việc này trở nên tồi tệ hơn khi các tội phạm mạng không chỉ giả mạo CEO, mà còn toàn bộ đội ngũ lãnh đạo, với CFO trở thành mục tiêu phổ biến, cũng vậy. Deepfakes đang trở nên dễ tạo ra hơn. Trên thực tế, một tìm kiếm nhanh trên Google về “cách tạo deepfake” sẽ cho ra các bài viết và hướng dẫn trên YouTube về cách tạo ra một deepfake. Chi phí đang trở nên không đáng kể, có nghĩa là deepfakes cơ bản là các cuộc gọi spam mới.

Cuộc gọi spam quá phổ biến ngày nay. Trên thực tế, Ủy ban Truyền thông Liên bang (FCC) cho biết người tiêu dùng Mỹ nhận khoảng 4 tỷ cuộc gọi robocall mỗi tháng, và sự tiến bộ của công nghệ làm cho chúng trở nên rất rẻ và có lợi nhuận cao, ngay cả với tỷ lệ thành công thấp. Deepfakes đang đi theo hướng này. Các tội phạm mạng sẽ sử dụng công nghệ deepfake để lừa các nhân viên không nghi ngờ thậm chí còn nhiều hơn so với ngày nay, và deepfakes sẽ cuối cùng trở thành một sự kiện hàng ngày đối với người tiêu dùng trung bình. Hãy cùng khám phá các chiến lược mà các nhà lãnh đạo có thể thực hiện để bảo vệ tốt nhất tổ chức, nhân viên và khách hàng của họ khỏi những mối đe dọa này.

Thiết Lập Hướng Dẫn Mạnh Mẽ

Trước tiên, các nhà lãnh đạo cần thiết lập hướng dẫn mạnh mẽ trong tổ chức của mình. Những hướng dẫn này cần đến từ rất cao, bắt đầu từ CEO, và được truyền đạt thường xuyên. Ví dụ, CEO cần giải thích rõ ràng cho toàn công ty rằng họ sẽ không bao giờ thực hiện một yêu cầu kỳ lạ hoặc ngẫu nhiên cho một nhân viên, chẳng hạn như mua một số thẻ quà tặng 100 đô la – một chiến thuật phishing phổ biến. Những cuộc tấn công này thường thành công vì chúng đến từ một vị trí lãnh đạo và không bị质疑. Tuy nhiên, khi deepfake của CEO trở nên phổ biến hơn, chúng tôi đang trở nên nhận thức rõ hơn rằng chúng không phải là thật. Do đó, tôi dự đoán chúng sẽ làm việc theo cách của họ xuống tổ chức, bao gồm cả phó chủ tịch, giám đốc, quản lý tuyến đầu và thậm chí cả đồng nghiệp.

Hãy nghĩ về nó: có một người đồng nghiệp hoặc người quản lý trực tiếp của bạn yêu cầu một yêu cầu từ bạn là khá phổ biến. Tại sao bạn lại có lý do để质疑 nó? Hướng dẫn cũng có thể liên quan đến việc sử dụng các công cụ deepfake trong tổ chức của bạn, bao gồm cả việc cấm sử dụng chúng trên công nghệ thuộc sở hữu của công ty. Việc thiết lập những hướng dẫn và rào cản này chỉ là bước đầu tiên.

Xác Nhận Yêu Cầu Qua Nhiều Kênh

Thứ hai, khi yêu cầu cần được thực hiện, nên có một chiến lược để xác nhận chúng qua nhiều chế độ giao tiếp. Một ví dụ có thể là nếu một yêu cầu đến từ CEO, yêu cầu đó sẽ được chia sẻ qua email và cũng bao gồm một cuộc gọi lại qua một nền tảng nhắn tin tức thời được sử dụng trong nơi làm việc. Nếu không có cuộc gọi lại, nhân viên nên bỏ qua yêu cầu hoặc chủ động xác nhận nó qua Slack mình, sau đó thông báo cho các nhóm bảo mật nội bộ theo chính sách bảo mật của họ. Tương tự, có thể một yêu cầu được thực hiện qua một cuộc họp Teams, tương tự như chiến thuật được sử dụng cho deepfake của công ty quảng cáo. Yêu cầu này sau đó cần có xác nhận qua email và / hoặc xác nhận qua Slack. Thậm chí tốt hơn, xác nhận qua một cuộc gọi điện thoại nhanh nếu đi bộ đến bàn làm việc của họ không phải là một lựa chọn. Những quá trình này nên được truyền đạt thường xuyên và đến toàn tổ chức để giữ chúng ở mức cao.

Tổ Chức Đào Tạo Thường Xuyên

Thứ ba, các tổ chức nên thực hiện đào tạo thường xuyên trên toàn công ty để giữ deepfakes, và các loại tấn công gian lận danh tính khác, ở phía trước của tâm trí nhân viên. Những điều này hữu ích vì một số lý do. Một nhân viên có thể không biết gì về deepfake hoặc biết rằng giọng nói và video có thể bị làm giả. Ngoài ra, nhân viên có thể tuân theo tư duy “không thấy, không biết” – nếu deepfakes không ở phía trước của tâm trí, họ có thể dễ dàng trở thành nạn nhân của một cuộc tấn công. Nghiên cứu cho thấy rằng nhân viên đã nhận được đào tạo về an ninh mạng đã thể hiện khả năng nhận biết mối đe dọa mạng đáng kể.

Deepfakes không đi đâu cả, và chúng đang trở nên phổ biến và khó phát hiện hơn. Tuy nhiên, bằng cách thiết lập hướng dẫn, xác nhận yêu cầu qua nhiều tuyến đường, và thực hiện đào tạo nhất quán trên toàn tổ chức, chúng ta có thể chuẩn bị tốt hơn và bảo vệ chống lại những mối đe dọa này. Trong một thế giới số ngày càng tăng, sự cẩn thận của chúng ta để tin ít hơn và xác minh nhiều hơn sẽ là điều cần thiết để duy trì bảo mật và tính toàn vẹn của danh tính số của chúng ta.

mm

Jason Oeltjen là Phó Chủ tịch Quản lý Sản phẩm tại Ping Identity. Trong 20 năm qua, Jason đã dẫn dắt các tổ chức kỹ thuật, hỗ trợ và sản phẩm tại các công ty từ các công ty khởi nghiệp sơ bộ đến Fortune 500. Gần đây nhất, ông đã làm việc về các giải pháp danh tính đám mây, tập trung vào việc tạo ra các giải pháp đám mây đơn giản để giải quyết các thách thức bảo mật danh tính doanh nghiệp phức tạp.