Direktørsvindlerne har fått nye våpen
Kunstig intelligens har gitt direktørsvindlerne nye våpen. Hvordan skal man kunne vite at personen i Teams-møtet er en AI-generert deepfake?
Og det må slett ikke være noen direktører involvert i det hele tatt. Bare en person som utgir seg for å ha lederansvar – og en stakkar som blir lurt.
Kortversjon
- Kunstig intelligens har gitt direktørsvindlerne nye muligheter til å lure ansatte ved å bruke AI-genererte deepfakes under nettmøter, noe som gjør det vanskeligere å oppdage svindel.
- Svindlere kartlegger virksomheter grundig og bruker AI-verktøy som ElevenLabs og Resemble AI for å lage overbevisende kopier av ledere, noe som øker risikoen for uautoriserte økonomiske overføringer.
- For å beskytte seg mot direktørsvindel bør virksomheter begrense offentlig deling av informasjon, heve ansattes bevissthet om svindelmetoder og implementere sikkerhetsrutiner som totrinnsverifisering og verifikasjon av betalinger.
Direktørsvindel, også kalt CEO-svindel eller BEC-svindel (Business Email Compromise), er langt fra noe nytt. Ansatte med myndighet til å foreta betalinger er lenge blitt lurt til å betale en falsk faktura eller foreta en uautorisert overføring fra selskapets konto.
Men de nye verktøyene som kan skape avatarer – eller deepfakes – som det nærmest er umulig å skille fra den reelle personen, har gitt svindlerne helt nye muligheter. DNB meldte i slutten av januar om at banken ble utsatt for et avansert bedrageriforsøk. Svindlerne satte opp et falskt videomøte der de manipulerte opptak av konsernsjef Kjerstin Braathen og finansdirektør Ida Lerner.
Disse to skal ha gitt ordre om å gjennomføre en utbetaling til en falsk konto på nærmere 24 millioner kroner.
Det går lynraskt nå, og det skal heller ikke veldig mye til for å lage en troverdig deepfake.Thomas Tømmernes, Atea
Men heldigvis for banken ringte det en bjelle, i dette tilfellet for en ansatt ved DNBs kontor i Singapore, som fattet mistanke. Svindelen ble derfor avverget.
Deepfake-svindel på fremmarsj
Allerede i 2021 ble det første tilfellet av svindelforsøk med AI-manipulering av både videobilde og lyd gjennomført, og nå er ikke lenger datavirus eller skadelig programvare involvert. Det svindlerne derimot trenger, er et AI-verktøy som kan skape troverdige kopier av mennesker – og grundig forarbeid for å gjøre seg kjent med alt fra bedriftens strukturer og organisering til kroppsspråket til en direktør eller beslutningstager.
– Det går lynraskt nå, og det skal heller ikke veldig mye til for å lage en troverdig deepfake, sier Thomas Tømmernes.
Han leder arbeidet med IT-sikkerhet i børsnoterte Atea og ber oss se for oss den første arbeidsdagen i en ny måned.
– Du logger deg på det første nettmøtet med avdelingen, men midt i møtet blir du avbrutt av en telefon på Teams fra daglig leder.
– Selvfølgelig avbryter du Teams-møtet og svarer. Sjefen forteller at det må utføres en betaling på 750.000 kroner så raskt som mulig. Det haster, og vi skal få detaljene umiddelbart etter samtalen.
For Tømmernes heises det her mange røde flagg.
– Men utviklingen av direktørsvindel går vanvittig raskt nå. Ikke minst takket være hjelpen de kriminelle får fra kunstig intelligens.
AI-genererte deltagere
Han henter frem et annet eksempel, fra Asia.
– Bare én av deltagerne i et Teams-møte var ekte, de andre var AI-genererte. Men den ekte var dundrende sikker på at han satt og snakket med toppledelsen, og han utførte betalingen han ble beordret til uten å nøle.
– Det er ikke noe virus involvert her, men det er nødvendig med en programvare, et verktøy?
– Ja, og det finnes massevis av både gratismotorer og betalte løsninger. Du kan få kjøpt veldig gode motorer på nettet som hjelper deg med å lage deepfakes eller AI-karikaturer av deg selv.
Tømmernes lister raskt opp verktøy som ElevenLabs, Resemble AI og DeepFaceLab.
– Mye ligger gratis på nettet, men som kriminell vil du sikkert kjøpe eller utvikle egne verktøy som er mye bedre enn det som er fritt tilgjengelig. Det som alltid er viktig å merke seg, er at disse folkene lykkes fordi de bruker tid og penger på det.
– Forutsetningen for et godt resultat er uansett at man har tilgang på tale og/eller video for å trene modellene. Men først går de kriminelle inn og sjekker, kartlegger virksomheten. De gjør seg kjent med den organisatoriske strukturen, de finner ut hvem som har beslutningsmyndighet, får kanskje tak i eposter. De bruker lang tid på å gjøre seg kjent med offeret sitt, med bedriften de ønsker å svindle.
De identifiserer nærmest døgnrytmen, dagsrytmen.
Thomas Tømmernes, Atea
– Svindlerne utnytter at mange selskaper legger ut alle detaljer om organisasjonen på nettet?
– Ja, veldig mye ligger tilgjengelig på nettsider eller andre medier som er disponert av virksomheten. Et sikkerhetstiltak er jo å være noe mer tilbakeholden på hvordan personell i sentrale roller eksponeres, og hvor mye innhold man eksponerer. Men det vil naturligvis være vrient for mange virksomheter, sier Tømmernes.
Stadig mer sofistikert
I en vanlig arbeidsdag har man gjerne dårlig tid, og man kan bli tatt litt off guard.
– Svindlerne kan også sjekke rutinene til nøkkelpersoner. De identifiserer nærmest døgnrytmen, dagsrytmen. Jo mer de vet, jo enklere er det å finne en måte å lure ofrene.
– Det vil derfor bli lettere og lettere for kriminelle å utgi seg for å være en direktør. Etter å ha kartlagt virksomheten går de ut for å finne lyd og bilder. Når de først vet hvem disse personene er som de skal angripe, finner de kanskje videoer på de stedene som alle nå bruker og følger. På Facebook eller Instagram, TikTok eller Snapchat – eller YouTube. YouTube kan ha innspillinger av en leder som har holdt et foredrag. Svindlerne finner videoer der de er tilgjengelige, sier Tømmernes.
Men bilder og lyd er ikke nok når svindlerne skal lage deepfakes for å lure til seg penger. Det vi hører mest om, er det som egentlig er ferdige opptak av personer, der de uttaler seg om temaer på en uventet måte.
Her er det altså ferdig innspilte og redigerte videoer det er snakk om, men disse egner seg dårlig hvis en svindler skal lure til seg penger via et nettmøte.
Tømmernes henter frem et annet eksempel der en finansarbeider i et multinasjonalt selskap ble lurt til å overføre totalt 25,6 millioner dollar.
– Fremgangsmåten var ganske lik som hos DNB, da offeret ble lurt inn i en videokonferanse hvor han trodde han snakket med selskapets finansdirektør og flere kolleger. Alle deltakerne i videomøtet viste seg å være deepfakes av både ansikter og stemmer skapt ved hjelp av kunstig intelligens.
Mellomtittel
– Hver eneste deepfake i møtet må på et eller annet vis trenes opp til å svare på spørsmål og reagere på det som skjer?
– Ja, de blir grundig trent. De har fått oppgaver, og noen kan ha vært trent i hva de skal svare.
Men her har Tømmernes også en forsvarsmekanisme som kan utnytte nettopp denne treningen.
En AI-avatar er neppe programmert til å le.Thomas Tømmernes, Atea
– Teknologien svindlerne bruker er blitt veldig bra. Men det er mulig å avsløre AI ved for eksempel å stille spørsmål som ingen med temmelig normal kunnskap klarer å svare på. Det kan være kompliserte regnestykker, navnet på kona til den femte presidenten i USA eller hvilke land som har tapt de ti siste VM-finalene i fotball.
Noen sikkerhetstips
For å beskytte din bedrift mot direktørsvindel, vurder følgende tiltak:
·Vær varsom med informasjon: Begrens mengden informasjon om bedriften og ansatte som deles offentlig.
·Øk ansattes bevissthet: Sørg for at alle ansatte er informert om potensielle svindelmetoder og hvordan de kan gjenkjenne dem.
·Implementer sikkerhetsrutiner: Etabler klare prosedyrer for betalingsgodkjenninger og bekreftelser, spesielt ved uvanlige forespørsler.
·Bruk totrinnsverifisering: Aktiver totrinnsverifisering på e-postkontoer og andre kritiske systemer for å hindre uautorisert tilgang.
·Verifiser endringer: Ved forespørsler om endring av betalingsdetaljer, kontakt avsenderen direkte gjennom kjente kommunikasjonskanaler for bekreftelse.
– Hvis svarene kommer raskt, er det stor sannsynlighet for at man snakker med AI.
Et annet av Tømmernes’ forslag er å prøve seg med en spøk, si noe morsomt.
– En AI-avatar er neppe programmert til å le. Det vil nok også fortsatt være vanskelig på direkten å etterligne ordvalg, enkelte uttrykk og dialekter.
Vanskelig å avsløre visuelt
– Hvilke andre forsvarsmekanismer har vi? Kan vi se at øyenbrynene er digitale?
– Da skal du se veldig godt etter. Det kommer også an på hvor stor skjerm du sitter på. Du kan kanskje registrere noen avvik, noe du synes er rart på skjermen. Kanskje halsen beveger seg annerledes, eller det er et litt stivt og kunstig blikk. Men på en vanlig PC-skjerm, eller hvis du får samtalen på mobilen, kan det være vanskelig å avsløre slike detaljer.
I møter på Teams kan svindlerne også manipulere bakgrunnen.
– De kan legge inn en litt dus bakgrunn, men de kan også ha filmet deg i møter tidligere. Da bruker de en bakgrunn med kolleger som går forbi – kolleger du kjenner veldig godt.
Men Tømmernes er også fullstendig klar over at det kan være vanskelig å hente frem noen av forsvarsmekanismene.
For eksempel å stille sjefen dustete spørsmål.
– Svindlerne spiller på frykt, fokus på at oppgaven er viktig og kan være veldig tidssensitiv. Men jeg ønsker å være en god ansatt. Jeg ønsker å gjøre det jeg får beskjed om. Da bruker svindlerne dette mot meg – kombinasjonen av at jeg vil være en god ansatt og at jeg er hundre prosent sikker på at dette er noe sjefen min har bedt meg om å gjøre.
– Det er viktig å ikke være redd for å virke mistroisk. En leder vil sette pris på forsiktighet. Utover å bevisstgjøre de ansatte vil det også være vesentlig å sette retningslinjer for hva som er forventet oppførsel fra ledere mot ansatte. Ansatte må vite hvordan de skal agere dersom de opplever brudd på retningslinjene – og de må føle seg komfortable med det.
For Tømmernes er det viktig at virksomheten utformer klare retningslinjer og skaper forutsigbar samhandling mellom ledere og ansatte.
– Retningslinjene må kommuniseres ut, og ansatte må få lov til å utfordre uten at ledere tar seg nær av det. De ansatte gjør jobben sin og er interesserte i å beskytte virksomheten de jobber i, konkluderer Ateas sikkerhetsekspert.