CYBERATTACKERNA
Polisen larmar om fejkade videosamtal – din chef kan vara en bedragare
Nu kommer en ny våg av bedrägerier mot företag. Klonade vd-röster är redan här och innan året är slut kan du inte längre lita på att videosamtalet med chefen är på riktigt, varnar flera experter. ”Det kommer att ställa till väldigt stora bekymmer”, säger Jan Olsson på Polisens Nationella operativa avdelning till TN.
I mitten av januari ringde telefonen hos flera demokrater i delstaten New Hampshire, där det första primärvalet gick av stapeln. På andra sidan linan hördes USA:s president Joe Biden.
– Det är viktigt att du sparar din röst till valet i november. Att rösta på tisdag främjar endast republikanernas önskan att återigen välja Donald Trump, löd budskapet från Vita huset.
Problemet? Samtalet var fejkat. Under senare år har deepfakes, där rösten eller ansiktet förvrängts för att likna en känd person, blivit allt vanligare. Även om det går att rycka på axlarna åt att en fejkad Tom Hanks används i reklam för dentalprodukter eller påhittade intervjuer med Tom Cruise, väntas tekniken snart bli ett allvarligt problem för företag.
– Teknikerna med klonade röster och fullständig deepfake är i sin linda. Men ju längre tiden går, desto snabbare, billigare och mer lättillgänglig blir programvaran. Så det finns absolut en oro för utvecklingen som komma skall, säger Jan Olsson, kriminalkommissarie och verksamhetsutvecklare på Nationellt it-brottscentrum inom Noa.
Redan 2019 ledde den nya bedrägerimetoden till att ett brittiskt energibolag blev bestulet på två miljoner kronor, rapporterar Wall Street Journal. Två år senare kunde Forbes berätta om ett företag i Förenade Arabemiraten där chefens röst hade klonats. Bedragarna lyckades komma undan med 300 miljoner kronor.
Under de senaste åren har hackerattacker blivit ett fenomen som företag tvingats förhålla sig till, senast drabbades bland annat Rusta, Stadium och Granngården. När det gäller deepfakes har svenska företag varit skonade. Hittills.
– Om man ser till ren deepfake är det inget problem just nu. Tittar man på klonade röster är det ett problem, det har kommit till Sverige. Jag kallar röstkloning för den fjärde vågen i vilseledande taktik och den femte är deepfake. När deepfake väl kommer – och det kommer den att göra – kommer det att ställa till väldigt stora bekymmer, eftersom den du talar med på företaget, ekonomiavdelningen eller liknande, ser att den talar med vd:n på FaceTime och det är vd:ns telefonnummer. Dessutom hör den anställde på hans röst att det är han, så varför skulle man inte gå på det och efterfölja de instruktioner man får? Det är ju ganska uppenbart, säger Jan Olsson
”Det här är det som nu stundar för företag.”
Säkerhetsspecialisten Karl Emil Nikka, grundare av Nikka Systems och krönikör i Aktuell Säkerhet, använde tekniken under en medarbetarträning av anställda på ett större börsbolag.
– Jag tog, med tillstånd, och klonade deras vd:s röst och la in mitt eget budskap istället. När jag spelade upp det tyckte medarbetarna att det var väldigt likt, säger han.
– Vi vet att det sker många vd-bedrägerier där vd:n skickar ett mejl till ekonomichefen och säger att ”vi har ett akut ärende där vi behöver överföra pengar från det kontot till det kontot så snart som möjligt”. Den typen av bedrägerier har vi sett länge, där angriparen kapar antingen vd:ns epostkonto eller skickar mejl från en adress som ser ut att vara vd:ns.
Bedragarnas tillvägagångssätt har blivit alltmer sofistikerade. Karl Emil Nikka berättar om en privatperson som drabbades av deepfakes.
– En mamma hade fått ett sms från sin dotter om att hon hade bytt telefon med ett nytt nummer och behövde lite pengar. Därefter fick mamman ett röstmeddelande där bedragare hade klonat dotterns röst och sa att hon måste föra över pengar. Det här är det som nu stundar för företag och organisationer.
Svårt att skydda sig med traditionella metoder
IT-säkerhetsföretaget Barracuda Networks har arbetat med deepfakesproblematiken under fyra års tid och har ännu inte sett farhågorna besannas. Men det är ett exempel på avancerad teknologi där det kan vara svårt att skydda sig med traditionella metoder, enligt Peter Graymon, ansvarig för Barracuda Networks verksamhet i Norden.
– AI-baserade skyddsmekanismer och processer som förhindrar att man begår misstag är viktiga för att möta framtida attacker. Ofta kan man upptäcka mönster och avarter i olika konversationer. Det som vi har jobbat med hos oss i över sex år är ett komplement för att förstå mönster och beteenden som kanske inte är helt uppenbara för en själv, eftersom man inte hinner analysera det så noga, berättar han.
Han fortsätter:
– En AI kan på egen hand sätta ihop flera olika sammanhang på ett ögonblick och se om något sticker ut. Det kan handla om kommunikation, typ av språk, och en kombination av var det kommer ifrån. Det kan man aldrig sätta upp regler kring utan du måste greppa ett sammanhang och en historik hos den enskilda kunden.
Tipsen: rutiner, kontrollringning och tillåtande kultur
Tydliga policies – som efterlevs – och en tillåtande kultur är några nycklar för att förbereda sig för hotet, menar Jan Olsson, kriminalkommissarie och verksamhetsutvecklare på Nationellt it-brottscentrum inom Noa.
– Oavsett storlek på företaget är det viktigt att ha en tillåtande kultur. Om jag har råkat göra något dumt ska jag inte känna att jag behöver dölja det. Det måste finnas någonstans att vända sig om det sker. Det vinner man mycket på.
Kontrollringningar och korta regelbundna utbildningar av personalen minimerar också risken för att bli drabbad.
– De företag som har klarat sig när det gäller klonade röster har haft en stark policy som gör gällande att så fort det handlar om större summor, utlandstransaktioner eller liknande så ska man kontrollringa efter samtalet. De har lyckats stoppa brottet från att ske. Det är den stora rekommendationen.
– Företag som anordnar nanoutbildningar ser en minskning på 90 procent av riskerna när det kommer till social manipulation genom sms och mejl, till exempel. Utbildningarna kostar nästan ingenting att jämföra och har otroligt stora positiva effekter för företagets säkerhet, säger Jan Olsson.
Ansvaret framöver vilar inte bara på de som tillverkar programvaran som kan användas i attacker, betonar han.
”Innan året är slut är jag övertygad om att den tekniken kommer att vara tillgänglig för allmänheten.”
– Mobiltelefontillverkare, operatörer och operativsystembyggare måste se till att våra mobiltelefoner inte kan användas i det här syftet. De här programvarorna ska inte vara tillåtna i våra telefoner eller ens gå att ladda ner, säger han.
Även säkerhetsspecialisten Karl Emil Nikka understryker vikten av rutiner för hur pengar ska få överföras i företag och att alla som har en nyckelroll i organisationen inser hur lätt det är att klona röster i dag.
– En gång i tiden fick vi lära oss att vi inte kan lita på allt som skrivs, så det är bäst att vi bara förlitar oss på bilder. Sedan fick vi lära oss att vi inte kan lita på bilder, för de kan photoshoppas. Nu har vi lärt oss att vi inte ens kan lita på ljud utan bara på filmer, men innan året är slut kan vi inte heller göra det. Just nu krävs det lite för att deepfakea en video så att den blir bra, men innan året är slut är jag övertygad om att den tekniken kommer att vara tillgänglig för allmänheten, säger han.