深度伪造是新的垃圾电话吗？以下是如何保护自己

如果你看到一段公司CEO的深度伪造视频，你能否判断出它不是真实的？这是一个令人担忧的挑战，全球各地的组织都在频繁地面临着这种情况。事实上，最近，一家广告巨头就成了其CEO深度伪造诈骗的目标。利用公开的CEO图像，在Microsoft Teams会议中设置了一个CEO的声音克隆——该声音来自YouTube视频。虽然这次攻击没有成功，但它揭示了网络犯罪者使用公开信息的新型手段——而这只是冰山一角。

技术已经变得如此先进，以至于只有大约半数的IT领导者对自己检测CEO深度伪造的能力充满信心。更糟糕的是，网络犯罪者不仅仅是在冒充CEO，还包括整个领导团队，CFO也成为了热门目标。深度伪造的制作越来越容易。事实上，快速搜索“如何制作深度伪造”就会产生各种文章和YouTube教程，介绍如何制作深度伪造。成本变得可以忽略不计，这意味着深度伪造基本上就是新的垃圾电话。

垃圾电话如今已经非常普遍。事实上，美国联邦通信委员会（FCC）声称，美国消费者每月接收大约40亿个自动电话，技术进步使得它们非常廉价，即使成功率很低也很有利可图。深度伪造也将遵循同样的趋势。网络犯罪者将利用深度伪造技术欺骗毫无防备的员工，甚至比现在更频繁。最终，深度伪造将成为普通消费者日常生活中的一部分。让我们探讨一下领导者可以实施的策略，以最佳方式保护他们的组织、员工和客户免受这些威胁。

建立强有力的指南

首先，领导者需要在他们的组织内建立强有力的指南。这些指南需要来自组织的最高层，首先是CEO，并且需要经常被传达。例如，CEO需要明确地告诉整个公司，他们永远不会向员工提出奇怪或随机的请求，例如购买多张100美元的礼品卡——这是常见的钓鱼诈骗手段。这些攻击之所以成功，是因为它们来自领导层，并且不会被质疑。然而，随着CEO深度伪造变得更加普遍，我们变得更加意识到它们实际上并不是真实的。因此，我预计它们将逐渐扩散到整个组织，包括副总裁、董事、前线经理，甚至同事。

仅仅因为同事或直接上司要求你做某事是很常见的，所以你没有理由质疑它。指南还可以与在组织内使用这些深度伪造工具有关，包括禁止在公司所有的技术上使用它们。建立这些指南和防护措施只是第一步。

通过多个渠道确认请求

第二，当需要提出请求时，应该有一个策略来通过多种通信方式确认这些请求。例如，如果请求来自CEO，该请求将通过电子邮件共享，并且还将通过工作场所使用的即时消息平台进行跟进。如果没有跟进，员工应该忽略该请求或主动通过Slack确认，然后通知内部安全团队按照他们的安全政策。同样，如果请求是通过Teams会议提出，类似于针对广告公司的深度伪造诈骗的策略。然后，该请求需要通过电子邮件或Slack进行确认，甚至可以通过快速电话确认，如果不能亲自前往他们的物理桌子。这些过程应该经常被传达给整个组织，以保持警惕。当知道有尝试时，应该建立一个过程来在整个组织中广泛分享该示例，以创建对所有人都应该意识到的威胁类型的模式识别。

定期进行培训

第三，组织应该实施公司范围内的定期培训，以保持深度伪造和其他类型的身份盗窃攻击始终处于员工的脑海中。这些培训很有帮助，原因有几点。员工可能根本不知道什么是深度伪造，或者不知道声音和视频可以被伪造。另外，员工可能会采用“视而不见”的心态——如果深度伪造不在他们的脑海中，他们可能很容易成为攻击的受害者。研究表明，接受网络安全培训的员工在识别潜在的网络威胁方面表现出显著的改善。

深度伪造不会消失，它们变得越来越频繁且难以检测。然而，通过建立指南，通过多种方式验证请求，并在整个组织中实施一致的培训，我们可以更好地准备和保护自己免受这些威胁。在数字世界不断增长的今天，我们对信任的态度——少信任，多验证——将在维护我们数字身份的安全和完整性方面至关重要。通过建立强有力的指南，通过多个渠道验证请求，并在整个组织中实施一致的培训，我们可以更好地准备和保护自己免受这些威胁。在数字世界不断增长的今天，我们对信任的态度——少信任，多验证——将在维护我们数字身份的安全和完整性方面至关重要。