Каждая пятая компания в РФ пострадала от дипфейков, самое опасное - подделка голоса начальника. Как защититься?

Названы четыре способа защиты от дипфейков - подделки голоса или изображения

Преступники осваивают технологии искусственного интеллекта (ИИ) не менее активно, чем легальные пользователи. Каждая пятая российская компания подверглась успешной атаке с применением дипфейков - технологии, когда преступники с помощью ИИ подделывают голос или изображение и выдают себя за доверенных лиц с целью получения выгоды. Об этом говорят результаты совместного исследования MTS AI и Б1, предоставленные "Российской газете".

Согласно данным исследования, наиболее потенциально опасным каналом в этом отношении являются мессенджеры, а наименее опасным - социальные сети. Наибольшей проблемой стал именно аудиоспуфинг, то есть поддельный голос коллеги или руководителя, сгенерированный ИИ.

79% представителей российского бизнеса, участвовавших в исследовании, отметили, что подмена голоса начальника является самой серьезной угрозой. И это не случайность: звонки (в особенности через мессенджеры) и голосовые сообщения - самый популярный вид деловой коммуникации в России. Социальные сети бизнесом практически не используются, а корпоративные почтовые сервисы, как правило, надежно защищены сервисами служб безопасности.

Дипфейки - относительно новый вид угроз, а любая новая угроза особенно опасна. Примеров успешных атак на бизнес с использованием дипфейков в минувшем году накопилось немало. В 2024 году транснациональная компания, работающая в Гонконге, потеряла 25,6 млн долларов из-за мошенничества при проведении видеоконференции. В ОАЭ с помощью имитации голоса одного из руководителей банка было похищено 35 млн долларов, а в Китае зафиксированы случаи хищений в размере сотен тысяч долларов с помощью поддельных видеоконференций.

В России также участились случаи атак через мессенджер Telegram, когда мошенники создают поддельные аккаунты руководителей компаний для получения конфиденциальной информации и осуществления несанкционированных переводов средств. Помимо этого, есть отдельные случаи, когда злоумышленники создают дипфейк-видео, якобы записанные от лица коллеги, и рассылают их с целью выманивания денег у других сотрудников.

Уровень защиты компаний от подобных угроз остается крайне низким - только 3% представителей бизнеса полностью уверены в безопасности своих предприятий, 13% признают, что не смогут защититься в случае спуфинг-атак, а 38% испытывают сомнения в готовности к ним

"Дипфейки становятся реальной проблемой, и результаты исследования показывают, что на текущий момент российские компании не готовы к ее решению. По мере развития технологий количество атак с дипфейками будет только расти, поэтому представителям бизнеса очень важно вдумчиво подойти к созданию систем защиты против спуфинга. В этом процессе особое значение приобретает развитие open-source решений, так как именно эти технологии выступают драйвером для всей индустрии, а не только для ее лидеров", - считает партнер практики форензик группы компаний Б1 Василий Самсонов.

Главный эксперт "Лаборатории Касперского" Сергей Голованов отмечает, что дипфейки вместе с социальной инженерией стали серьезной и актуальной проблемой не только для бизнеса, но и для частных лиц.

"В прошлом году злоумышленники уже массово использовали дипфейки, ведь так им проще убедить жертву в своей легенде. В таких атаках чаще всего подделывают голосовые сообщения знакомых жертвы. Среди наиболее распространенных схем - случаи, когда злоумышленники создают в Telegram поддельные аккаунты руководителей различных компаний и пытаются с их помощью обмануть сотрудников, чтобы вынудить их перевести деньги на счета атакующих, а часто также взять кредит. Для этого мошенники могут заранее собирать информацию о компании и персонале. В подобных аудиосообщениях голос, похожий на голос руководителя, обычно предупреждает о скором звонке от "регулятора" или "правоохранительных органов". После чего следует уже стандартная схема со звонком якобы от "представителей банка" с предложением перевести средства на "безопасный счет", - говорит Голованов.

По словам руководителя портфеля продуктов VisionLabs Татьяны Дешкиной, речь идет о десятках тысяч атак на корпоративный сектор и физлиц в 2024 году, которые в текущем году могут превратиться в сотни тысяч, потому что данная технология, как и остальной генеративный искусственный интеллект, стремительно развивается. Качество созданного контента растет, а получить доступ к программам генерации голоса и видео становится проще и проще.

"Ущерб начинается от нескольких десятков тысяч и достигает нескольких миллионов рублей в каждом отдельном случае. Еще одна проблема - создание порнографических дипфейков - ущерб от которых сложно определить. Из-за этических аспектов пострадавшие не всегда готовы обратиться в правоохранительные органы, поэтому злоумышленники безнаказанно могут совершить тысячи таких действий, прежде чем их обнаружат", - говорит Дешкина.

Специалисты уже начали разрабатывать способы выявления фальшивых голосов, опираясь на то, что при генерации звуков часто не учитываются особенности реального речевого аппарата (связки, язык, челюсти и губы)

Ведущие технологические и торговые площадки внедряют меры по защите и проверке подлинности данных. Однако, по словам руководителя Trust&Safety Wildberries & Russ Игоря Сомова, пока самая надежная защита - это соблюдение принципов киберосознанности, то есть культуры безопасного поведения, в которой человек ежедневно осознает свою ответственность за сохранность денег и данных и предпринимает необходимые действия для их защиты.

Эксперт советует придерживаться четырех правил, которые помогут избежать ущерба от кибермошенников.

• Использование альтернативного канала связи. Если вам пришло голосовое сообщение или позвонили от лица знакомого человека либо компании с неожиданной просьбой, лучше связаться с этим человеком (или организацией) через другой сервис - например, позвонить с другого номера или написать в мессенджере. Так вы сможете убедиться, действительно ли звонок был от них.

• Контрольные вопросы. Если вам звонит знакомый, но что-то кажется подозрительным, попросите его ответить на личный вопрос, ответ на который точно известен только вам двоим. Например, о конкретном событии из прошлого.

• Коммуникация только по официальным каналам. При общении с компаниями (банками, интернет-магазинами, службами доставки и т. д.) пользуйтесь только официальными контактами, указанными на их официальных сайтах или в официальных приложениях.

• Ограничение доступа к личным материалам. Старайтесь не выкладывать в свободный доступ видео, аудиозаписи и другие материалы, по которым может быть сгенерирован ваш образ или голос. Если это нужно по работе или для общения в соцсетях, настраивайте приватность и доступ только для близких или проверенных людей.

Дипфейки - не временная проблема, а устойчивый тренд, который будет развиваться. Поэтому крайне важно сохранять бдительность и формировать навыки кибербезопасности, чтобы в любых сомнительных ситуациях быстро проверять информацию и не поддаваться на уловки мошенников.

Дмитрий Бевза

Российская газета - Федеральный выпуск: №5(9544)
Российская газета - Столичный выпуск: №5(9544)

Фото: Сергей Михеев/ РГ