Het is niet de eerste keer dat een zogenaamde Deep Fake Boss een organisatie voor miljoenen bedriegt. E-mailgebaseerde CEO scams of BEC-fraude komen steeds vaker voor en de aanpak is altijd hetzelfde: een medewerker – bij voorkeur iemand van de financiële afdeling – wordt geïnstrueerd door iemand in een leidinggevende positie om geld over te maken naar een ander account. Dit alles is natuurlijk allemaal ‘vertrouwelijk’. Het kan te maken hebben met het afronden van een deal, een corporate takeover of, op kleinere schaal, het aanschaffen van kerstcadeaus voor collega’s. Wat deze situaties gemeen hebben is de noodzaak voor een snelle afhandeling zonder het tegen iemand te zeggen. Zo’n plots verzoek via e-mail zou nog best als verdacht aangemerkt kunnen worden. Maar hoe zit dat als het verzoek wordt gedaan in een video meeting? Precies…
Vertrouwen
De Boss scam valt in de categorie vertrouwensscams. Vaak is alleen een e-mail die gestuurd wordt vanuit het emailadres van iemand met een leidinggevende positie al overtuigend genoeg. In dit recente geval, waarbij 26 miljoen dollar buit is gemaakt, lijkt naast een e-mail ook een deep fake video gebruikt te zijn. Het zien en horen van een persoon kan erg overtuigend zijn. Als medewerker zou je stilzwijgend akkoord kunnen gaan met een verzoek, zeker als de leidinggevende een ‘luister, ik heb haast’-attitude heeft. Dat lijkt tenminste het geval bij dit voorbeeld omdat de echte interactie volgens het artikel niet plaatsgevonden heeft. Dit is cruciaal voor het succes van de methode.
Deep Fake: een state of the art scamtechniek
Deep Fakes zijn video- en audio-opnamen van een persoon die met behulp van kunstmatige intelligentie digitaal in een beeld worden ingevoegd. In het geval van een video of foto kunnen de gelaatstrekken van de ene persoon over andere heen worden gelegd. Een voorbeeld: er circuleren de laatste tijd valse foto’s van Taylor Swift en zelfs een digitaal verjongde Harrison Ford verscheen onlangs in een Indiana Jones-film die zich afspeelt tijdens de Tweede Wereldoorlog. De resultaten zijn enorm overtuigend. Video en audio kunnen perfect gesynchroniseerd worden. Om dit te realiseren zijn echter wel voldoende opnames van een persoon nodig, zoals interviews of toespraken, foto’s en audio-opnamen.
Het creëren van een live optreden voor een kunstmatig gegenereerd persoon in een vergadering is anders. Het is theoretisch mogelijk om zo’n beeld met een kunstmatig gegenereerde stem te laten verschijnen in een formaat dat een directe reactie vereist. Het resultaat is alleen niet bijzonder overtuigend. Er zijn langere pauzes, gezichtsuitdrukkingen en toon komen niet overeen met de woorden die gezegd worden en het ziet er over het algemeen gewoon nep uit.
Bescherming tegen de Boss scam
De beste bescherming tegen de Boss scam is om interne betalingsprocessen zo te structureren dat ze niet kunnen worden geautoriseerd door een eenvoudig verzoek of instructie van specifieke personen. In plaats daarvan zouden ze een complexer goedkeuringsproces moeten doorlopen. In het verleden werd hiervoor vaak de nadruk gelegd op het ‘double confirmation’ principe. Als de instructie via e-mail kwam, zou men bellen om dit verzoek te verifiëren. Als het via de telefoon kwam, werd er om een e-mailbevestiging gevraagd. Dit geldt vandaag de dag nog steeds. We moeten echter blijven leren van recente deepfake-aanvallen. In het eerdergenoemde voorbeeld vond er wel video- en audiobewerking plaats, maar er was er geen echte interactie; de medewerker luisterde en keek alleen. Als gevolg kon een eerder gemaakte Deep Fake-video worden afgespeeld. De medewerker werd succesvol bedrogen en het geld werd overgemaakt. Om te voorkomen dat dergelijke aanvallen in de toekomst succesvol zijn, moeten medewerkers bewust worden gemaakt van dit gevaar en aanleren om kritische vragen te stellen als het gaat om financiële verzoeken, ook als het gaat om iemand in een leidinggevende positie. Dit maakt het voor aanvallers lastiger om een succesvolle Deep Fake te creëren. BEC-achtige aanvallen zoals de Deep Fake Boss kunnen niet volledig worden uitgesloten als de mogelijkheid blijft bestaan dat geld kan worden uitbetaald of overgemaakt op instructie van één persoon.