Η τεχνητή νοημοσύνη, η ραγδαία εξέλιξη της οποίας «υπόσχεται» να αλλάξει τον κόσμο, τα έχει ήδη καταφέρει στο πεδίο του ηλεκτρονικού εγκλήματος. Κι αυτό, διότι όλο και περισσότερες μορφές (επιτυχημένης) απάτης βασίζονται στην τεχνητή νοημοσύνη. Η πιο… ανερχόμενη είναι τα deepfakes, δηλαδή αληθοφανείς φωτογραφίες, βίντεο, φωνές ή κείμενα που παράγονται από τεχνητή νοημοσύνη με σκοπό την εξαπάτηση.
Οι ερευνητές του Citi Institute προσφάτως έκρουσαν τον κώδωνα του κινδύνου, υπογραμμίζοντας ότι τα deepfakes έχουν ξεφύγει οριστικά από το επίπεδο της ψυχαγωγίας, απ’ όπου ξεπήδησαν, και έχουν εξελιχθεί σε πραγματικά όπλα στα χέρια των επιτήδειων του διεθνούς ηλεκτρονικού εγκλήματος.
Τα στοιχεία της Citi υπολογίζουν τη συνολική ζημιά στην παγκόσμια οικονομία από το διεθνές κυβερνοέγκλημα στο ιλιγγιώδες ποσό των 10,5 τρισεκατομμυρίων δολαρίων το 2025, έναντι «μόλις» 3 τρισ. δολαρίων το 2015. Οι αναλυτές της Citi περιγράφουν μάλιστα αυτή την εξέλιξη ως μία από τις μεγαλύτερες μεταβολές κόστους ασφάλειας στην ιστορία της παγκόσμιας ψηφιακής οικονομίας, με τις τεχνολογίες τεχνητής νοημοσύνης να τροφοδοτούν ένα τελείως νέο σύμπαν επιθέσεων.
Είναι ενδεικτικό ότι το 2024 σχεδόν το 5% όλων των προσπαθειών απάτης παγκοσμίως περιείχε στοιχεία deepfake. Ένα μόλις χρόνο πριν, το αντίστοιχο ποσοστό ήταν 2,5%, ενώ το 2022 ήταν μόλις 0,10%. Η ταχύτητα με την οποία εξαπλώνεται το φαινόμενο είναι απλώς τρομακτική.
Η πρώτη γενιά deepfake απάτης περιοριζόταν σε ηχητικά αρχεία, δηλαδή παραποιημένες φωνές, αυτοματοποιημένα bot που έδιναν οδηγίες για επείγουσες πληρωμές ή παραπλανητικά μηνύματα επικοινωνίας. Σήμερα η εικόνα είναι διαφορετική. Τα deepfakes έχουν φτάσει στο επίπεδο του real-time βίντεο με φωνή, εκφράσεις προσώπου και χειρονομίες που δύσκολα ξεχωρίζουν από έναν πραγματικό άνθρωπο.
Να μην πιστεύεις (ούτε) στα μάτια σου
Οι… «άνοιξε θεία» του διεθνούς ηλεκτρονικού εγκλήματος στοχεύουν σε κλάδους με υψηλό προσδοκώμενο όφελος, όπως π.χ. η καταναλωτική πίστη. Σε κάθε περίπτωση, το πρόβλημα δεν περιορίζεται σε μεμονωμένα περιστατικά. Μέχρι το τέλος του 2025 η Citi υπολογίζει ότι θα κυκλοφορούν διαδικτυακά έως και 8 εκατομμύρια deepfakes, έναντι μόλις 500.000 το 2023. Ουσιαστικά ο αριθμός τους διπλασιάζεται κάθε έξι μήνες, γεγονός που τροφοδοτείται από την πρόσβαση σε εργαλεία AI υψηλής ισχύος και σε τεράστιες ποσότητες δεδομένων.
Το τελευταίο διάστημα, τεχνολογίες deepfake χρησιμοποιούνται προκειμένου οργανωμένα εγκληματικά δίκτυα να διεισδύσουν σε στοχευμένες εταιρείες, συνήθως (αλλά όχι πάντα) σε μεγάλες πολυεθνικές. Deepfake υποψήφιοι εργαζόμενοι υποβάλλουν αιτήσεις για θέσεις που συνήθως αφορούν τηλεργασία, κατασκευάζοντας ψεύτικές ταυτότητες, ψεύτικά βιογραφικά, ακόμα και ψεύτικες φωτογραφίες και βίντεο. Μάλιστα, συμμετέχουν ακόμα και σε real-time συνεντεύξεις πρόσληψης μέσω τηλεδιάσκεψης, χωρίς κανείς να μπορεί να διακρίνει, τουλάχιστον όχι άμεσα, ότι συζητά με ένα κατασκευασμένο, ανύπαρκτο πρόσωπο. Στόχος τους είναι να προσληφθούν και να αποκτήσουν, σε πρώτο στάδιο, πρόσβαση στο οικοσύστημα της επιχείρησης, μέσα από εταιρικούς υπολογιστές, εφαρμογές επαλήθευσης κωδικών κλπ. Το επόμενο βήμα τους είναι να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα και υποδομές.
Ενδεικτικό για το πόσο έχει προσχωρήσει η σχετική τεχνολογία, που επιτρέπει στο deepfake να ανταποκρίνεται σε πραγματικό χρόνο σε μια συνομιλία με έναν πραγματικό άνθρωπο, είναι το περιστατικό του 2024 που περιγράφει η Citi. Ένας εργαζόμενος μια βρετανικής πολυεθνικής στο Χονγκ Κονγκ κλήθηκε εκτάκτως σε μια τηλεδιάσκεψη με τον CFO και άλλα διοικητικά στελέχη της εταιρείας. Εκεί ο CFO του ζήτησε να πραγματοποιήσει μεταφορές χρημάτων σε έναν offshore λογαριασμό. Ο εργαζόμενος, ακολουθώντας τις οδηγίες του προϊσταμένου του, μετέφερε 25 εκατ. δολάρια μέσα από 15 διαφορετικές συναλλαγές, έως ότου αποκαλύφθηκε ότι ο μοναδικός πραγματικός άνθρωπος σε εκείνη την τηλεδιάσκεψη ήταν ο… ίδιος. Οι φιγούρες του CFO και των άλλων διοικητικών στελεχών, με τους οποίες είχε συνομιλήσει, ήταν όλες deepfake.
Όλο και πιο εύκολα
Η δημοτικότητα των deepfake εργαλείων αυξάνεται με εκρηκτικούς ρυθμούς. Σύμφωνα με το Citi Institute τα συστήματα και οι εφαρμογές τεχνητής νοημοσύνης που κλωνοποιούν φωνή και εικόνα αυξήθηκαν από περίπου 100-150 πριν έναν χρόνο σε πάνω από 500 σήμερα. Πολλά από αυτά διατίθενται ως ανοιχτού κώδικα, με χαμηλό κόστος και ελάχιστες απαιτήσεις δεδομένων για να δημιουργήσουν ρεαλιστικά αποτελέσματα. Αυτό μειώνει το τεχνικό εμπόδιο για τους επιτήδειους, επιτρέποντάς τους να δοκιμάζουν επιθέσεις μαζικά.
Παράλληλα, έρευνα σε περισσότερα από 100 στελέχη fraud management διεθνών χρηματοπιστωτικών οργανισμών δείχνει ότι οι τράπεζες αναμένουν σημαντική αύξηση των απωλειών από απάτες σε πληρωμές μέσα στα επόμενα τρία χρόνια, κυρίως στις ΗΠΑ. Οι ειδικοί αποδίδουν την αύξηση στον αυξημένο αριθμό deepfake επιθέσεων σε συνδυασμό με χρήση «συνθετικών» ταυτοτήτων, δηλαδή ψηφιακά προφίλ κατασκευασμένα εξ ολοκλήρου από AI.
Η Citi διακρίνει τρεις βασικές κατηγορίες deepfakes:
- Φωνητικά: Ψηφιακά μοντέλα που εκπαιδεύονται σε δείγματα φωνής και μπορούν να μιμηθούν ένα άτομο, ακόμη και με συναισθηματικές αποχρώσεις όπως ενσυναίσθηση ή επείγον. Στις πιο σύγχρονες εκδοχές, τα συστήματα απαντούν σε πραγματικό χρόνο μέσω AI.
- Βίντεο: Αρχικά περιορίζονταν σε προ-ηχογραφημένο υλικό που γινόταν η επεξεργασία του εκ των υστέρων. Σήμερα υπάρχουν τεχνολογίες που μπορούν να παράγουν συνθετικά πρόσωπα live, αντιγράφοντας εκφράσεις, κίνηση χειλιών και μικροχειρονομίες.
- Υβριδικά: Συνδυασμός φωνής και βίντεο με «παραδοσιακή κοινωνική μηχανική» (δηλαδή με κλασικά κόλπα εξαπάτησης που βασίζονται στην ψυχολογία και όχι στην τεχνολογία), κλεμμένα έγγραφα και πλαστά διαπιστευτήρια. Χρησιμοποιούνται κυρίως σε μακροχρόνιες προσπάθειες διείσδυσης, όπου οι δράστες κερδίζουν εμπιστοσύνη πριν επιτεθούν.
Από τα παραπάνω γίνεται βεβαίως ξεκάθαρο ότι η Citi δεν περιγράφει κάποια… φουτουριστική απειλή. Περιγράφει μια παρούσα πραγματικότητα, όπου τα deepfakes γίνονται κομμάτι της καθημερινότητας.
