Det dyker upp allt fler rapporter om både företag och privatpersoner som har utsatts för deepfake-bedrägerier och lurats på stora belopp. Deepfake-tekniken, där AI används för att skapa ljud och rörlig bild som gör att man på ett mycket övertygande sätt kan utge sig för att för att vara någon annan, har tagit stora kliv framåt. Och nu är det bara en tidsfråga innan vi hör talas om svenska företag som drabbats, menar it-säkerhetsspecialisten Karl Emil Nikka.
– Backar man tre år tillbaka så var det här förvisso genomförbart även då, men det kostade tid och pengar. Med den stora boomen av generativ AI har både kunskaps- och kostnadströskeln sänkts rejält, säger han.
Räcker med 60 sekunders inspelning
Numera kan alltså både röster och videoklipp fejkas lätt.
– Om du ska återskapa en röst från någon som talar svenska räcker det med 30 till 60 sekunders inspelning. Den som vill låtsas att det är en börs-vd som ringer upp lär alltså kunna hitta det grundmaterial som behövs från exempelvis en inspelad presentation av den senaste kvartalsrapporten.
I skrivande stund handlar det om förinspelade fejksamtal och -videor, men enligt Karl Emil Nikka ”handlar det om månader” innan det går att göra den här typen av bedrägerier i realtid.
– Det blir nästa stora steg, då kommer det bli ett ännu större hot, säger han.
Distansarbete en säkerhetsrisk
Ytterligare en anledning till att de här brotten har blivit alltmer aktuella är förstås tillgänglighet; vi gör alltmer i olika digitala miljöer.
– Distansarbetet har inneburit en säkerhetsrisk på olika plan, bland annat när det gäller deepfake. Vi är inte vana vid att ifrågasätta vem vi talar med, utan accepterar direkt att det är din chef som ringer dig på Teams när du ser honom eller henne på skärmen. Då är steget inte långt till att du gör det chefen ber dig om, som att föra över pengar eller lämna ut information, säger Eva Ärlebo, Chief customer engagement officer på TNG.
Det finns många personer i ett företag som skulle kunna vara måltavlor för deepfake, menar hon.
– Först och främst är det förstås ledningsgrupper, ekonomifunktionerna, IT och HR. Men det är även en hel del andra som antingen själva sitter med känslig information eller som kan plocka komma åt det vid behov, säger hon.
Karl Emil Nikka konstaterar att den här typen av bedrägerier numera drivs av ytterst professionella organisationer som kan använda intrikata metoder.
– Det kan mycket väl vara så att de lurar en medarbetare som inte är ”relevant”, för att sedan utge sig för att vara den personen när de tar sig djupare in i organisationen. I stort sett vem som helst skulle kunna användas som en väg in, säger han.
Inte bara ekonomiska risker
I likhet med drabbade privatpersoner är det i första hand rent ekonomiska svindlerier som företagen riskerar att råka ut för.
– Men det finns ju även en hel del annat som är värdefullt, som information eller kunddata. Dessutom löper man stor risk att få företagets förtroende skadat, säger Eva Ärlebo.
Det finns mycket att hämta för bedragarna, och med tanke på hur snabbt tekniken utvecklas talar allt för att attackerna kommer att öka. Nya tillvägagångssätt kommer sannolikt också dyka upp, tror hon.
– Inom rekrytering har det börjat talas om risken med deepfake-intervjuer, och det lär ha hänt att företag har anställt fejkade personer som ska jobba på distans. Då kan det ta ett tag innan man märker att man blivit lurad, och bedragarna kan ha hunnit orsaka mycket skada.
– Jag har inte hört talas om något sådant fall i Sverige, men det är långt ifrån orimligt att det skulle ha skett här också.
Kombinera olika skyddsmetoder
Vad kan man då göra för att skydda sig?
Med tanke på hur avancerade bedrägerierna börjar bli gäller det att kombinera olika metoder.
– Det finns olika AI-drivna detekteringslösningar som ska kunna avslöja om det inte är en riktig röst eller video, och det kan vara en bra grund. Även att göra bakgrundskontroller vid anställning är ett annat viktigt hjälpmedel för att säkerställa identiteten och skapa trygga arbetsplatser, säger Eva Ärlebo.
Den mänskliga faktorn är förstås kritisk, så därför gäller det att göra insatser för att öka medvetenheten och kunskapen om vilka åtgärder varje individ kan göra.
– Dels gäller det att ha sådant som multifaktorsautentisering för att öka säkerheten, dels att ha strängare policyer kring vem man ska lita på. Det låter hemskt, men kanske är det en ”zero trust”-policy som behövs.
Det är också viktigt att vara uppmärksam på allt som är på något sätt avvikande, konstaterar hon.
– Det kan vara att någon ber om pengar eller information på ett sätt som känns konstigt, eller att personen i bild har onaturliga rörelser i sitt kroppsspråk. Med den typen av vaksamhet tror jag att vi kan komma rätt långt.
Omodernt och osäkert med mejl
Karl Emil Nikka lyfter fram att det behövs rutiner för att kommunicera på ett säkrare sätt än vad många gör idag.
– Med etablerade kommunikationslösningar som Teams och Slack ska det inte gå att utge sig för att vara någon annan. Om inte personens konto är kapat förstås… Men med mejl och telefoni är det i alla fall betydligt enklare att genomföra ett bedrägeri.
Hans första råd är därför enkelt:
– Sluta mejla internt. Använd modern kommunikationsteknik istället.
Även han understryker vikten av regelbunden medarbetarträning, och påpekar också att det klassiska säkerhetstänkandet kring lösenord fortfarande är aktuellt.
– Se till att medarbetarna vet hur de ska skydda sina konton med starka och unika lösenord. Men se för allt i världen till att samtidigt förse dem lösenordshanterare, annars blir en sådan uppmaning meningslös. Ingen kan minnas en massa unika lösenord, då skulle lösenorden per definition inte vara starka nog, säger han.
Text: Peter Wiklund
Publicerad