Один співробітник британської інженерної компанії приєднався до рутинної відеоконференції з його фінансовим директором та 5 колегами у 2024 році

Він авторизував переказ на суму 25,6 мільйонів доларів США на основі обговореного, але він не знав, що кожна людина на цій конференції, крім нього, була глибокимфейком штучного інтелекту
Компанія була Arup. Британська компанія з дизайну та інженерії з 18 500 співробітниками у 34 офісах
Ця вся атака почалася з одного електронного листа
Фінансовий працівник у офісі Arup у Гонконгу отримав повідомлення, яке стверджувало, що воно від фінансового директора компанії з Великобританії
У листі йшлося про «таємну транзакцію», яку потрібно терміново та конфіденційно обробити
Працівник подумав, що це фішинг. Він був правий у своїй підозрі, але тоді зловмисники активізувалися
Вони запросили його на відеоконференцію, щоб перевірити, чи запит справжній. Він приєднався, очікуючи підтвердити, що це шахрайство
Фінансовий директор був на зв’язку. Також були кілька інших старших колег, яких він впізнав. Вони привітали його по імені
Вони обговорювали транзакцію детально, використовуючи внутрішню термінологію компанії. Вони згадували поточні проєкти, про які знають лише внутрішні співробітники
Їхні обличчя рухалися природно, їхні голоси звучали ідеально, і вони мали справжні розмови один з одним і з ним
Він перестав сумніватися, і, слідуючи інструкціям на конференції, він зробив 15 окремих переказів на загальну суму 200 мільйонів гонконгських доларів (25,6 мільйонів доларів США) на п’ять різних банківських рахунків у Гонконгу протягом наступних днів
Шахрайство було виявлено лише тоді, коли він звернувся до реальної головної офісу у Великобританії щодо проєкту. Реальний фінансовий директор ніколи не чув про цю транзакцію. Інші колеги на конференції ніколи не були на ній
Кожне обличчя на екрані було глибокимфейком
Гонконгська поліція розслідувала... Зловмисники створили складні глибокіфейки всіх керівників, зібравши публічно доступне відео та аудіо з онлайн-конференцій, віртуальних зустрічей компанії та звітних дзвінків
Arup мав години публічно доступного відео зі своїм керівництвом
Глибокіфейки не були попередньо записані, вони працювали у реальному часі. Кожен фейковий учасник міг говорити, реагувати, відповідати та вести несплановану розмову з жертвою
Один фішинговий лист зазвичай ловлять. Голосові клони телефонних дзвінків мають вищий рівень успіху, але все ще провалюються, коли жертва просить письмове підтвердження
Мультиучасні відеоконференції з глибокимифейками вирішують обидві проблеми одночасно. Ви не можете просити підтвердження, коли вже підтверджуєте власними очима
У тому ж розслідуванні гонконгська поліція виявила пов’язану операцію. Вісім викрадених гонконгських посвідчень особи були використані для подання 90 заявок на позики та реєстрації 54 банківських рахунків
Глибокіфейки штучного інтелекту успішно обійшли системи розпізнавання облич у щонайменше 20 випадках, щоб підтвердити ці особистості як легітимні
Технологічний стек тепер достатньо зрілий, щоб обдурити як людське підтвердження (відеодзвінки), так і машинне підтвердження (KYC-фейс-розпізнавання)
Головний інформаційний директор Arup Роб Грейг пізніше підтвердив, що компанія зазнала атак «різко зростаючих» масштабів, і він оцінив, що глобальні витрати на шахрайство з використанням штучного інтелекту сягнуть 40 мільярдів доларів до 2027 року
Збитки Arup склали 25,6 мільйонів доларів від одного фінансового працівника на одному дзвінку. Це найуспішніше одне шахрайство з глибокимфейком, коли-небудь зафіксоване публічно
Розслідування залишається відкритим, і арештів не було. Гроші були розподілені між кількома рахунками протягом кількох годин після переказів, і більшість уже були відмивані з банківської системи Гонконгу
Щоб бути у безпеці, краще:
Попросіть людину на зв’язку повернути голову і показати повний профіль, оскільки модель глибокогофейку зазвичай ламається під екстремальними кутами
Попросіть їх змінити освітлення у кімнаті, оскільки глибокіфейки важко справляються з раптовими змінами освітлення
Попросіть їх взяти випадковий предмет і показати його на камеру, оскільки модель часто глючить при інтеграції реальних об’єктів у синтетичне обличчя
Ці перевірки працюють сьогодні. Вони не працюватимуть надовго
Більша історія полягає в тому, що цей напад доводить про наступне десятиліття корпоративних фінансів
Кожен керівник у кожній публічній компанії має години записаного відео на YouTube, LinkedIn, у звітних дзвінках та панельних конференціях. Ці матеріали є навчальним набором для будь-якого зловмисника, який хоче створити глибокийфейк з ними
Щось, про що варто турбуватися