Winkelmand

Geen producten in de winkelwagen.

Deepfakes komen eraan en zo bescherm je je ertegen

Laatst bijgewerkt: 08-10-2022 19:00:08

Persbericht - Door Jelle Wieringa, Security Awareness Advocate bij KnowBe4 Stel je voor: Je zit in een conference call met je collega’s....

Door Jelle Wieringa, Security Awareness Advocate bij KnowBe4

Stel je voor:

Je zit in een conference call met je collega’s. Je bespreekt de laatste verkoopcijfers; informatie die je concurrenten maar al te graag in handen zouden krijgen. Plotseling knippert het beeld van je collega Willem eventjes. Het trekt je aandacht, en als je ernaar kijkt valt je iets vreemds op: Willem ziet er niet helemaal goed uit. Hij lijkt op Willem en hij klinkt als Willem, maar er is duidelijk iets mis. Als je beter kijkt, zie je dat het gebied rond zijn gezicht lijkt te glinsteren en dat zijn silhouet wazig is. Je doet het af als een technische storing en vervolgt de vergadering zoals gewoonlijk. Een week later besef je dat jouw organisatie een datalek heeft gehad en dat vertrouwelijke informatie die tijdens de vergadering is besproken nu in handen is van de grootste concurrent.

Oké, toegegeven: dit klinkt als een plot uit een slechte film. Maar met de technologische vooruitgang van vandaag, zoals kunstmatige intelligentie en deepfakes, is dat niet eens zo vergezocht. Deepfakes – een combinatie van ‘deep learning’ en ‘fake’ – kunnen bestaan uit video’s, afbeeldingen of audio. Ze worden gemaakt door kunstmatige intelligentie via een complex machine learning-algoritme. Deze deep learning-techniek, Generative Adversarial Networks (GAN) genaamd, wordt gebruikt om kunstmatige content over de daadwerkelijke content te plaatsen of om nieuwe, zeer realistische content te creëren.

Met de toenemende verfijning van GAN’s kunnen deepfakes ongelofelijk realistisch en overtuigend zijn. Ze worden vaak door kwaadwillenden gebruikt voor cyberaanvallen, fraude, afpersing en andere oplichtingspraktijken. Let wel: er zijn ook positieve toepassingen voor deepfakes, zoals deze video van president Obama die gemaakt werd om kijkers te waarschuwen voor online nepnieuws. Of deze van Mark Zuckerberg, die is gemaakt om aandacht van Facebook te vragen juist voor de verwijdering van deepfakes.

De technologie bestaat al een paar jaar en werd aanvankelijk ingezet om pornografische nepcontent te maken van allerlei beroemdheden. Toen was het maken van een deepfake nog een ingewikkelde onderneming en had men honderden uren van bestaand materiaal nodig. De technologie is inmiddels zo vergevorderd dat iedereen, zonder veel technische kennis, hiervan gebruik kan maken. Iemand met de beschikking over een krachtige computer kan programma’s als DeepFaceLive en NVIDIA’s Maxine gebruiken om zijn of haar identiteit in real-time te vervalsen.

Voor audio zijn er programma’s zoals het al sinds 2016 populaire Adobe VoCo beschikbaar. Deze programma’s zijn in staat om stemmen heel nauwkeurig na te bootsen. Dit betekent dat je er tijdens een Zoom- of Teams-vergadering uit kunt zien en kan klinken als een ander. Installeer en configureer de software, kies één van de gegenereerde nepidentiteiten of voer een eigengemaakt exemplaar in en klaar is Kees. Moeilijker is het niet.

Dit gebruiksgemak is één van de redenen waarom organisaties zo op hun hoede zijn voor deepfakes. Het wordt al snel eng als dit gemak gecombineerd wordt met content die bijna niet van echt te onderscheiden is. Hoe zou jij het vinden als een oplichter jouw identiteit zou gebruiken in een deepfake? Wie kan je nog vertrouwen in het huidige digitale tijdperk, waarin zaken net zo makkelijk kunnen worden gedaan via een telefoontje of een videogesprek?

Dit is één van de fundamentele gevaren van deepfakes: als ze worden gebruikt in een aangepaste social engineering-aanval, zijn ze bedoeld om het slachtoffer een zekere mate van vertrouwen te geven. Vanwege dit gevaar heeft de FBI een Public Service Announcement uitgestuurd en gewaarschuwd voor de toenemende dreiging van kunstmatige content, waarbij dit soort aanvallen zelfs een nieuwe naam hebben gekregen: Business Identity Compromise (BIC).

Wat kan je doen om jezelf en jouw organisatie tegen deepfakes te beschermen? Kan je je eigenlijk wel verdedigen tegen een aanval die speciaal is ontwikkeld om ons voor de gek te houden? Ja, dat kan, maar met het tempo van de technologische ontwikkelingen is dat niet eenvoudig. Dingen die specifiek zijn ontworpen om jouw zintuigen voor de gek te houden, slagen daar meestal in. Er zijn echter aanwijzingen waaraan een deepfake kan worden herkend.

  1. Deepfakes herkennen

Deepfakes kunnen zeer realistisch zijn, maar vertonen vaak toch enkele gebreken of vervormingen en/of andere onvolkomenheden. Deze bestaan uit afwijkende afstanden tussen ogen (aangezien het erg moeilijk is om ogen te vervalsen) en vreemd uitziend haar – met name rond de haarlijnen. Ook komt het geregeld voor dat lip- en gezichtsbewegingen niet synchroon lijken te lopen met audio. Problemen met de belichting zijn ook een goede aanwijzing voor een deepfake. Ga dus na of de belichting en de schaduwen kloppen.

Als het materiaal uit een voorgebakken video bestaat, kan je overwegen om deze op bepaalde plekken te vertragen of te pauzeren. Dit kan helpen met de herkenning van een deepfake. Een andere manier om een deepfake te herkennen is door de bron te beoordelen. Want waar is deze content gepost? Is dit een betrouwbare bron die het materiaal heeft doorgelicht voordat het online werd gezet?

  1. Train jezelf

Security Awareness Training is een must in elk goed beveiligingstraject. Als mensen niet getraind worden in het detecteren van dreigingen en hen niet geleerd wordt hoe ze het beste kunnen reageren, hoe kan jij dan voor de juiste awareness zorgen?

Omdat deepfakes relatief nieuw zijn en veel mensen er nog niet (geheel) van op de hoogte zijn, is het nog belangrijker om hierop door te pakken. Er zijn technologieën beschikbaar die organisaties helpen met de herkenning van deepfakes. Deze technologieën staan echter nog in de kinderschoenen, ze zijn duur en kunnen vaak alleen worden gebruikt om deepfakes te herkennen binnen al bestaande media. Dit maakt ze ongeschikt voor real-time communicatie, zoals met Zoom of Teams – tools die de moderne arbeidskrachten dagelijks gebruiken.

  1. Best practices voor beveiliging en Zero Trust

Zaken die je niet vertrouwt verifiëren is, binnen de security, een belangrijke regel. Voorbeelden hiervan zijn vragen stellen aan iemand die je niet vertrouwt tijdens een conference call of het gebruik van een digitale vingerafdruk of watermerken op afbeeldingen.

Verificatieprocedures zijn een zeer effectief in de strijd tegen deepfakes. Het hangt van de beveiligingseisen van een organisatie af welke procedure er wordt gebruikt. Maar welke procedure je ook kiest: zorg ervoor dat je ze regelmatig test.

Als je een deepfake ontdekt, breng jouw organisatie en beveiligingsteam er dan altijd van op de hoogte. Het zou namelijk zomaar kunnen zijn dat jij niet het enige slachtoffer bent van kwaadwillenden. Onthoud ook dat vertrouwen een fundamentele eis is voor interactie: overdrijf dus niet door alles te wantrouwen. Let op de signalen die je opvangt, en handel er dan naar.

Een andere best practice is het privé houden van meetings. Zorg ervoor dat alle video’s, meetings en webinars (op zijn minst) met een wachtwoord zijn beveiligd, zodat alleen vertrouwde personen toegang hebben.

  1. Begrijp de dreiging

De meest bekende toepassing van deepfake-technologie zijn Hollywood kaskrakers als The Irishman, maar deepfakes worden niet alleen in videovorm gebruikt. Begrijp dat de technologie kwaadwillenden ook in staat stelt om deepfakes van stemmen te gebruiken om je op te lichten. Deepfakes zijn gemaakt met veelzijdige technologie die vele toepassingen kent.

  1. Geef ze geen munitie

Om een deepfake te maken, heb je bestaande content van een slachtoffer nodig. Door het verlangen van velen om het privé- en werkleven te delen op social media, maken we het kwaadwillenden wel erg makkelijk. Beperk dus je publieke aanwezigheid op social media. Maak het een kwaadwillende niet makkelijk om je gelijkenis na te bootsen of jouw stem te stelen op basis van gegevens die voor iedereen beschikbaar zijn.

Hoewel de technologie achter deepfakes zich blijft ontwikkelen, bevindt deze zich nog in de beginfase, wat ons de tijd geeft om voorbereidingen te treffen. Maar één ding is zeker: naarmate de tijd verstrijkt, zullen we steeds vaker zien dat mensen door kwaadwillenden worden misleid en worden opgelicht middels deepfakes. Ze vormen een dreiging die je niet kunt en mag negeren.