FBI waarschuwt voor deepfake audioberichten die VS-functionarissen imiteren
De FBI heeft een waarschuwing afgegeven voor een campagne waarbij aanvallers deepfake audioberichten versturen die van Amerikaanse overheidsfunctionarissen afkomstig lijken. De berichten zijn volgens de opsporingsdienst door middel van AI gegenereerd en worden gebruikt om eerst een vertrouwensband met het slachtoffer op te bouwen, waarna er wordt geprobeerd om toegang tot accounts te krijgen.
De aanvallers versturen hiervoor malafide links om het gesprek via een ander chatplatform voor te zetten. Via dat platform wordt dan malware aangeboden of naar een phishingsite gelinkt. Gecompromitteerde accounts zijn weer te gebruiken voor het aanvallen van andere overheidsfunctionarissen. Volgens de FBI vinden de aanvallen sinds april plaats en zijn huidige en voormalige senior functionarissen op staats en federaal niveau het doelwit.
De FBI adviseert om goed te luisteren naar de toon en woordkeuze om zo een legitiem telefoongesprek of voicebericht van een bekende te onderscheiden van een door AI-gegenereerde stem. "Aangezien ze bijna identiek kunnen klinken", aldus de opsporingsdienst. Tevens wordt aangeraden om een geheim woord of zin met familieleden af te spreken om zo hun identiteit te verifiëren. Welke overheidsfunctionarissen de aanvallers nadoen is niet bekendgemaakt (pdf).
Dat is precies wat ik mijn IT security cursisten altijd adviseer. Als voorbeeld neem ik de volgende vraag, wanneer je niet zeker weet of de persoon aan de andere kant de echte is of AI:
"Hoe vaak schijnt de zon?"
Een AI bot zou dat opzoeken en een logisch antwoord geven. Maar ik heb van tevoren afgesproken dat de ander dan zegt:
"Twee keer, namelijk voor de middag en na de middag."
Dat is een absurd antwoord en zou dan ook nooit door een AI bot gegeven worden. Tenzij deze tekst nu gebruikt gaat worden om AI bots te trainen... Daarom moet je jullie afgesproken wachtwoord ook nooit digitaal opslaan en mag die slechts één maal gebruikt worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?