Un appel téléphonique Deepfake dupe un employé pour qu'il donne 35 millions de dollars

"Salut Susan, c'est Gene. Désolé d'appeler après les heures, mais je suis en voyage. Pouvez-vous s'il vous plaît transférer 35 000 $ de notre compte courant vers un nouveau fournisseur pour un acompte sur un travail ? Voici leurs coordonnées bancaires… "

Cela ressemble-t-il à un scénario familier ? Cela devrait. Il n'est pas rare que le propriétaire d'une entreprise appelle un directeur financier et demande qu'un transfert d'argent ou un paiement en ligne soit effectué vers un fournisseur ou vers un compte personnel. Est-ce que quelqu'un va remettre en question la demande du patron? Généralement non.

Mais et si ce n'est pas le patron ? Et si c'était juste quelqu'un se faisant passer pour le patron ? Ou, plus inquiétant, et si c'était la vraie voix du patron, mais manipulée pour dire quelque chose de différent ? Ou que la demande s'élevait à 35 millions de dollars ?

C'est exactement ce qui est arrivé au début de 2020 à une banque de Hong Kong.

Connexe : Pourquoi tant de gens mangent-ils encore du spam ?

Selon un rapport de Forbesun responsable de la banque a reçu un appel d'un des administrateurs de la banque lui demandant d'effectuer un transfert de 35 millions de dollars afin de financer une acquisition . Cependant, ce n'était pas le directeur qui appelait. C'était un "deepfake" de la voix du réalisateur. Et au moment où la banque a découvert l'erreur, l'argent était parti depuis longtemps.

Oh, et ce n'est pas la première fois que quelque chose comme ça se produit. Forbes a également rapporté qu'une entreprise énergétique au Royaume-Uni est tombée dans le piège d'une ruse similaire en 2019 et a perdu environ 243 000 $.

"Les deep fakes audio et visuels représentent le développement fascinant de la technologie du 21e siècle, mais ils sont aussi potentiellement incroyablement dangereux, ce qui représente une énorme menace pour les données, l'argent et les entreprises », a déclaré Jake Moore, un expert en cybersécurité, à Forbes. "Nous sommes actuellement sur le point d'avoir des acteurs malveillants qui déplacent leur expertise et leurs ressources vers l'utilisation des dernières technologies pour manipuler des personnes qui ignorent innocemment les domaines de la technologie deep fake et même leur existence."

Ce qui est encore plus terrifiant, c'est que deep fake la technologie se trouve facilement en ligne. Il suffit d'aller sur des sites comme Resemble ou Descriptpuis de voir comment les farceurs amateurs créent des vidéos comme celles-ci qui montrent à quel point nous pouvons facilement être dupés en pensant quelque chose que nous voyons (et entendons) est réel, même quand ce n'est pas le cas. Maintenant qu'elle est disponible, cette technologie est de plus en plus utilisée pour le chantage, la fraude et le vol d'identité. Et il est probable que l'audio sera plus couramment utilisé que la vidéo car, selon Moore, la manipulation de l'audio est "plus facile à orchestrer que la création de fausses vidéos profondes".

Vous pensez peut-être que votre entreprise est trop petite pour être impactée, mais je ne pense pas. En effet, si vous êtes comme la plupart de mes clients, vous avez moins de contrôles financiers que les grandes organisations et vous augmentez probablement votre utilisation des services en ligne pour payer vos factures. Et obtenir une copie de votre voix est facile, en particulier si vous avez publié des vidéos d'entreprise sur votre site Web, fait une présentation publique, fait une apparition dans les médias ou bavardé avec un « représentant commercial » lors d'un appel à froid qui est enregistré à votre insu. . Avec seulement quelques heures de travail, quelqu'un peut probablement duper votre directeur financier parmi des dizaines de milliers et partir avant que vous ne vous en rendiez compte. Mais continuez à écouter.

Alors que faire ? Renforcez vos contrôles internes. Exigez plus de deux autorisations pour tout virement ou paiement bancaire et peut-être trois (et au moins la vôtre) pour les décaissements supérieurs à un certain montant, comme 5 000 $. Engagez votre entreprise informatique ou abonnez-vous à des outils comme KnowBe4 ou Mimecast pour offrir une formation continue à vos employés afin qu'ils puissent repérer les signes avant-coureurs. (Dans le cas de la banque de Hong Kong, des e-mails frauduleux ont également été envoyés confirmant l'appel téléphonique deepfake.) Abolissez toutes les transactions d'une certaine taille qui sont autorisées par téléphone, sauf si la personne qui fait la demande a été rappelée. Impliquez vos directeurs financiers dans les transactions importantes dès le début afin qu'ils soient plus conscients des dollars impliqués. Parce qu'avouons-le : Ce problème ne fera qu'empirer.

« La manipulation de l'audio, qui est plus facile à orchestrer que la création de fausses vidéos profondes, ne fera qu'augmenter en volume », a déclaré Moore à Forbes. "Et sans l'éducation et la sensibilisation à ce nouveau type de vecteur d'attaque, ainsi que de meilleures méthodes d'authentification, davantage d'entreprises risquent d'être victimes de conversations très convaincantes."

Kilito Chan | Getty Images