社会工程学攻击变得越来越复杂
视频会议平台的使用越来越多,以及在covid中也采用的各种形式的远程工作使得人际协作越来越虚拟。毫无疑问,这种情况必须迫使组织做好充分准备,以便能够识别基于社会工程学攻击的假冒尝试,由于深度伪造技术的快速发展,这些攻击也被证明越来越复杂。
Deepfake技术,到底是什么?
deepfake 一词源自“深度学习”和“假冒”这两个词的组合,指的是通过人工智能 (AI) 创建的数字音频/视频产品,可以让人们在视频中模仿具有相似性和声音的个体对话。这是通过深度学习方法来完成的,例如生成对抗网络 (GAN),即一组用于机器学习的神经网络模型,旨在教计算机如何通过模拟人脑来处理信息。
Deepfake和网络钓鱼
Deepfake 技术的可访问性和有效性导致网络犯罪将其用于复杂的社会工程攻击,目的是勒索、欺诈或造成声誉损害。考虑复制公司利益相关者的声音以说服员工采取一系列可能损害安全和隐私的行动的语音网络钓鱼攻击的影响,或者为了说服员工采取模拟语音电话的有效性将资金发送到离岸银行账户。
加重因素
使情况进一步恶化的还有两种 deepfake 工具的可用性,这些工具在秘密网络论坛上作为服务提供,这使得技术技能有限的犯罪分子更容易和更方便地设置这些欺诈计划,以及大量图像以及社交媒体平台用户发布的视频,可以通过深度学习算法进行处理,以生成精确的 deepfake 内容。
减轻
尽管仍然没有简单安全的方法来检测 deepfakes,但仍然可以采用一些最佳实践:
- 添加额外的安全和保护流程。拥有二级验证方法,例如金融交易的双重审批流程、通信监控和 2FA,应始终被视为不可或缺的预防解决方案;
- 使用人工智能本身来识别 deepfakes。人工智能系统可能能够通过快速将音频/视频内容与已知的原始参考样本进行比较或将音轨转换为文本来识别可能的不当行为并决定是否批准支付交易,从而识别音频/视频内容是否已被操纵;
- 将 deepfake 的概念融入风险评估过程和可能的危机情景规划中;
外表
尽管技术会不断发展,检测深度造假会变得越来越困难,但幸运的是,检测技术也会不断改进。但是,内部人员要更好地保护自己和他们的组织免受各种网络攻击,他们的任务不仅是跟上不断发展的反击技术并及时实施,而且最重要的是,提高他们的意识通过专注于培训各级员工的组织。
人为因素必须始终被视为防御的第一堡垒,甚至是抵御最复杂的网络攻击。
