技术、法规无法拯救组织免受 Deepfake 危害

阅读量85245

发布时间 : 2024-06-07 11:55:10

专家表示,由于缺乏技术和法规来减轻深度学习神经网络和生成式人工智能系统所创建的虚假音频、图像和视频的影响,深度伪造可能会在未来一年给企业带来一些代价高昂的冲击。

目前,深度伪造是网络威胁中最为严重的,三分之一的公司认为深度伪造是严重或主要威胁。威胁预防公司 Deep Instinct 本周发布的一份报告显示,过去一年,约有 61% 的公司遭遇了使用深度伪造的攻击。然而,攻击者可能只会创新并更好地利用深度伪造来改进当前的欺诈策略,使用生成式人工智能对金融机构的了解客户 (KYC) 措施发起攻击,通过对特定上市公司的声誉攻击来操纵股市,以及使用虚假但仍然令人尴尬的内容勒索高管和董事会成员。

金融信息公司穆迪评级数字经济副总裁阿比·斯里瓦斯塔瓦 (Abhi Srivastava) 表示,短期内,旨在破坏公司声誉的深度伪造活动的影响可能会非常大,以至于影响公司的整体信誉。

他说:“深度伪造可能会对企业造成巨大而广泛的伤害。”“金融欺诈是最直接的威胁之一。这种基于深度伪造的欺诈行为对企业信用不利,因为它们可能使企业面临业务中断和声誉受损的风险,如果损失惨重,可能会削弱盈利能力。”

Deepfakes已经成为攻击者假冒企业领导人诈骗(过去称为商业电子邮件泄露 (BEC))的工具,攻击者利用人工智能生成的公司高管音频和视频欺骗下级员工转账或采取其他敏感行动。例如,在 2 月份披露的一起事件中,一家跨国公司的香港员工在电话会议中利用 Deepfakes 指示员工进行转账,最终转账约 2550 万美元。

你还没看到任何东西
Deep Instinct 首席信息官、金融公司花旗集团前全球基础设施防御主管 Carl Froggett 表示,由于金融机构很少会见自己的客户,公司员工越来越多地远程办公,而且深度伪造技术变得越来越容易使用,攻击的数量只会增加,而且变得更加有效。

图表展示了生成式人工智能对欺诈的影响
生成式人工智能大幅增加了欺诈损失,预计到 2027 年损失将翻倍。资料来源:德勤洞察

根据Deep Instinct 发布的“安全运营之声”报告,总体而言,四分之三的公司发现冒充 C 级高管的深度伪造有所增加。

“关键人物、首席执行官、董事会成员,他们将成为个人和深度伪造声誉损害的目标,所以我们不能再对他们宽容……让他们绕过安全措施,”弗罗格特说。“目前我们还没有很好的技术解决方案,而且情况只会越来越糟,所以身份和防网络钓鱼技术将非常重要。”

金融机构将感受到最大的痛苦。由于生成式人工智能,金融欺诈损失将加速增长,咨询公司德勤预测,到 2027 年,银行业的损失可能达到 400 亿美元,是生成式人工智能出现之前预计损失的两倍。

虚假的首席执行官,真实的损失
深度伪造也对股市价格产生了影响。一年前,一张五角大楼爆炸的照片通过一个经过验证的推特账户分享,并被多家新闻机构传播,导致标准普尔 500 指数在几分钟内下跌了 1%,后来交易员们发现这很可能是人工智能生成的。今年 4 月,印度国家证券交易所 (NSE) 不得不向投资者发出警告,因为一段深度伪造的视频出现了,视频中 NSE 首席执行官推荐了特定的股票。

不过,网络咨询公司 Optiv 的全球网络风险和董事会关系副总裁詹姆斯·图加尔 (James Turgal) 表示,首席执行官推荐股票或发布虚假信息的深度伪造不太可能触发美国证券交易委员会的重大披露规则。

他说:“基于深度伪造视频或语音模仿,美国证券交易委员会的网络披露门槛将很困难,因为从股东的角度来看,必须有证据证明深度伪造攻击对公司的信息技术系统造成了重大影响。”

穆迪的斯里瓦斯塔瓦表示,虽然不能阻止深度伪造欺诈对自身运营的影响的公司可能面临信用处罚,但监管前景仍然模糊。

“如果深度伪造的规模和频率不断增长,并加剧网络攻击,那么适用于网络攻击的现有监管影响也适用于深度伪造,”他说。“然而,当谈到深度伪造作为独立威胁时,似乎大多数司法管辖区仍在考虑是否颁布新立法,或者现有法律是否足够,其中大部分重点是与选举相关的深度伪造和成人深度伪造。”

技术是解决方案还是问题?
Optiv 的 Turgal 表示,不幸的是,深度伪造的技术前景仍然有利于攻击者。

因此,在寻找技术解决方案的同时,许多公司正在加强旨在创建额外检查的流程,以阻止深度伪造诈骗,要求高层领导对超过一定金额的货币交易进行口头认证,并将代码认证发送到受信任的电子设备,他说。一些公司甚至放弃了技术,将人与人之间的互动作为最后的检查。

Turgal 表示:“随着深度伪造技术威胁的不断增大,我看到一些公司开始回归传统的人与人之间的互动方式,创建一种低技术的双因素身份验证解决方案,以减轻高科技威胁。”

Deep Instinct 的 Froggett 表示,创建可信赖的沟通渠道应该是所有公司的首要任务,而且不仅适用于敏感流程(例如发起支付或转账),还适用于与公众的沟通。

“最好的公司已经在准备,试图考虑各种可能发生的情况。……你需要法律、监管和合规团队——显然还有营销和沟通——来动员起来打击任何错误信息,”他说。“你已经看到,更成熟的金融公司已经做好了准备,并将其作为其 DNA 的一部分来实践。”

弗罗格特补充道,其他行业也必须发展类似的能力。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66