Cyber rady
Głos jako broń - jak cyberprzestępcy wykorzystują deepfake audio i jak się przed tym bronić?
W dobie rosnących możliwości sztucznej inteligencji i powszechnej dostępności narzędzi do syntezowania mowy, cyberprzestępcy zyskali nowe, wyjątkowo niebezpieczne narzędzie - Twój głos.
Wielu z nas słyszało o fałszywych e-mailach od „szefa” z prośbą o pilny przelew. Dziś ta metoda została wzbogacona o kolejny element manipulacji: wiarygodnie podrobiony głos przełożonego, który przez telefon lub komunikator głosowy wydaje polecenie przekazania środków finansowych.
Wielu z nas słyszało o fałszywych e-mailach od „szefa” z prośbą o pilny przelew. Dziś ta metoda została wzbogacona o kolejny element manipulacji: wiarygodnie podrobiony głos przełożonego, który przez telefon lub komunikator głosowy wydaje polecenie przekazania środków finansowych.
Jak działa atak z użyciem syntetycznego głosu?
- Zbieranie danych głosowych
Wystarczy kilkanaście sekund nagrania Twojego głosu - z social mediów, rozmowy online, podcastu czy nawet automatycznej sekretarki - by narzędzia oparte na AI mogły wygenerować syntetyczną kopię, która brzmi niemal identycznie jak Ty.
- Syntezowanie wypowiedzi
Atakujący tworzy dowolny komunikat, np. „Zrób szybki przelew 30 tysięcy złotych na konto dostawcy, nie mogę teraz pisać, ale to pilne”. Taki przekaz może być przekonująco wygenerowany głosem Twojego przełożonego.
- Uderzenie
Osoba z działu finansowego lub administracyjnego otrzymuje telefon lub wiadomość głosową od „szefa”. W stresie, pod presją czasu, często bez weryfikacji - dochodzi do przekazania środków.
Dlaczego to działa? Psychologia ataku
Cyberprzestępcy bazują na:
- autorytecie przełożonego - nie chcemy kwestionować polecenia z góry,
- presji czasu - „to pilne”, „nie mogę teraz rozmawiać”,
- utartym schemacie działania - skoro wcześniej szef dzwonił z takimi prośbami, nie wzbudza to podejrzeń,
- realizmie głosu - syntetyczny głos może zawierać charakterystyczne intonacje, akcenty, a nawet potoczne sformułowania.
Jak się bronić?
1. Wprowadź zasadę weryfikacji dwuskładnikowej
Żadne polecenie finansowe nie powinno być realizowane wyłącznie na podstawie rozmowy głosowej. Każde musi być potwierdzone:
- pisemnie (mail/SMS z wewnętrznego systemu),
- przez inny kanał komunikacji (np. wiadomość w aplikacji firmowej),
- lub przez bezpośredni kontakt z daną osobą.
2. Zgłaszaj nietypowe sytuacje
Jeśli rozmowa wydaje się dziwna, jeśli głos brzmi nienaturalnie lub pojawia się nietypowe zachowanie - nie wykonuj polecenia i zgłoś to do działu bezpieczeństwa.
3. Ogranicz publiczny dostęp do swojego głosu
Unikaj publikowania nagrań głosowych w mediach społecznościowych, podcastach czy na otwartych platformach, jeśli nie jest to niezbędne. W firmie telekomunikacyjnej, gdzie głos to narzędzie pracy, świadomość ryzyka jest kluczowa.
4. Szkolenia z zakresu social engineering
Regularne szkolenia i symulacje ataków pomagają utrzymać czujność i aktualną wiedzę o nowych technikach cyberprzestępców.
5. Technologie anty-deepfake
Firmy mogą wdrażać narzędzia do analizy głosu w czasie rzeczywistym, wykrywające anomalie typowe dla syntezatorów mowy. Choć to wciąż rozwijająca się dziedzina, może stanowić ważny element ochrony.
Nie dajmy się zaskoczyć. Zanim wykonasz polecenie głosowe - zatrzymaj się, pomyśl, zweryfikuj.
Nie dajmy się zaskoczyć. Zanim wykonasz polecenie głosowe - zatrzymaj się, pomyśl, zweryfikuj.
