Idu izbori, pa bi bilo korisno pozabaviti se ovom temom na vreme. Ako ne vodite računa o svom glasu, možete imati ozbiljnih problema. Neko zlonameran može da „pozajmi" ili preuzme vaš glas i zloupotrebi ga. Ovo je pogotovu bitno za one koji rade u finansijskim institucijama, finansijskim službama i operativi, odnosno onima koji vrše bilo kakva elektronska plaćanja.
Do sada su hakeri često koristili razne inventivne metode da kompromituju poslovnu elektronsku poštu (engl. business email compromise - BEC). Suštinski stvar ide ovako:
- Dobijete mailom ili sličnim načinom fakturu po kojoj nešto treba da platite
- Vaš finansijski operativac sedne za računar i plati elektronski (blagodeti elektronskog bankarstva i digitalne transformacije)
- Zove Vas dobavljač ili poslovni partner i pita kada ćete da mu platite robu ili uslugu
- Vi kažete: „Pa platio sam, evo elektronska potvrda iz banke." (srećom nema više petog primerka)
- Vaš dobavljač - poslovni partner kaže „Nisu mi legle pare".
- Krene provera i...
- Ustanovite da broj računa na koji ste platili nije baš onaj na koji je trebalo.
- Šta se desilo?
- Neko je upao u Vašu komunikaciju, poslao fakturu koja potpuno odgovara stvarnoj, ali je promenio par detalja, recimo broj računa i pare su otišle „negde", ali ne tamo gde treba. Novac je jednostavno „odlepršao" hakerima.
Kako se štiti od ovoga? Tako što kažete svojim ljudima iz finansijske službe da obavezno zovu telefonom i provere sa partnerom detalje, dobro pogledaju sve podatke, pa tek onda plate.
Ovo radi... ili je radilo do skoro.
A sada ide mali zaplet.
Napredak veštačke inteligencije omogućava revoluciju u prevarama sa plaćanjem. Umesto da se oslanjaju samo na gore opisani metod poznat kao BEC, hakeri su počeli da izmišljaju naprednije metode. Oni sada stvaraju baze snimaka glasa generalnih direktora, finansijskih direktora, osnivača firmi i drugih visoko pozicioniranih članova i funkcionera kompanija i koriste tu tehnologiju za lažiranje glasa i traženje bankovnih prenosa upravo glasom.
Ova tehnika je posebno efikasna iz dva razloga:
1. Zbog napretka u tehnologiji, praktično je nemoguće razlikovati glas stvarne osobe i glas generisan mašinski. Ova tehnologija je poznata po nazivom "duboki falsifikati" (engl. deep fakes) i
2. Telefonski poziv kojim se zahteva prenos novčanih sredstava elektronskim putem, ovim načinom zaobiđe tradicionalne rute BEC i igra na svojstveno poverenje koje ljudi polažu na glasovnu komunikaciju.
Pored percepcije potvrđivanja glasa, kao najvažnije metode za proveru autentičnosti nalogodavca, sigurnost smanjuje i verovatnoća da će korisnici ove metode prepoznati moguće bezbednosne rizike. Sadašnja tehnologija omogućava da se sa otprilike tri sata snimljenog stvarnog glasa napravi ubedljiv kvalitet lažiranog glasa.
Osnovni glas (boja, dubina i ostale karakteristike) se može izdvojiti iz različitih izvora kao što su:
- Intervjui
- Javni govori
- Lični video snimci
- Razgovori na javnom mestu ili drugde
- Bilo koji drugi snimak koji je javan ili drugačije dostupan.
Pored toga, tehnologija pravljenja ovih "dubokih falsifikata glasa" brzo napreduje. Količina potrebnog snimljenog glasa znatno opada i uskoro će se meriti u nekoliko minuta, a ne sati. Očekuje se da će učestalost ove tehnike rasti kako tehnologija postaje dostupnija i time i broj prevara na ovaj način će rasti.
Ukratko: više ne možete verovati ni svojim rođenim ušima.
Budite pažljivi, vrlo pažljivi i čuvajte se.
Preventiva i zaštita
Trenutno ne postoji tehnološko rešenje za ovu rastuću pretnju. Umesto toga, problem mora biti rešavan putem promena sigurnosne politike, procedura i podizanjem svesti. Najlakša bi bila praksa koja zahteva da lice, koje prima telefonski poziv, prekine vezu i ponovo nazove tražioca (nalogodavca) na liniji koja je prethodno dogovorena i odobrena za ovu vrstu razgovora (mobilni telefon, telefon u firmi ili kućni telefon itd.). Ova pravila će sprečiti hakera da koristi kombinaciju tehnologije lažiranja glasa i nepoznatog telefonskog (kompromitovanog) telefonskog broja kako bi se izvršila prevara i time i prenos novca.
Da bi uspešno prevazišao ovu metodu zaštite, haker će morati da izvrši zamenu SIM-a na ciljnom telefonu ili da hakuje telefonsku mrežu kompanije o kojoj je reč da bi preusmerio odlazni poziv.
U oba slučaja povećava se barijera za ovu vrstu operacije sprovodeći ovaj jednostavan korak povratnog poziva. Druga bezbednosna praksa koja bi se mogla uspostaviti bi bilo dodavanje tajnih reči ili fraza (odziv, lozinka - kao kod smene straže) kao dodatak praksi povratnog poziva. To može biti i po određenom algoritmu, tako da se stalno menja, što dodaje još jedan stepen sigurnosti.
Zahtevanje provere autentičnosti ovih "kodnih reči" uz povratni poziv će, u velikoj meri, smanjiti verovatnoću da haker može da reprodukuje tačnu frazu i realizuje prenos sredstava.
Napomena: Post sam započeo rečenicama o dolazećim izborima. Pitate se kakve to ima veze sa temom? Pa nema nikakve, ali sam morao nekako da vas zainteresujem dnevnom politikom (koja je popularna tema, a u koju se ne petljam), da bih vas „nagovorio" da nastavite da čitate ovaj tekst. Praštajte.