Kyberrosvot-podcastin jakso 19 käy läpi 35 miljoonan dollarin deepfake-huijauksen ja sen jälkipyykin.
Tammikuussa 2020 japanilaiskonsernin Hongkongin-konttorin päällikkö saa sähköpostin konsernijohtajalta Tokiosta. Aihe: Yrityskaupan aikataulu, kiireellinen. Viestin sävy on kuiva ja käytännöllinen – sellainen, jonka työntekijä tuntee.
Kun puhelin soi, hän tunnistaa äänen välittömästi. Matala, hieman karhea ja huolellisesti artikuloiva. Johtaja kertoo, että yhtiö on viimeistelemässä yritysostoa. Aikataulu on tiukka ja muutamat siirrot on valtuutettava nopeasti.
Kaikki näyttää täsmäävän. Kokonaisuudessa ei ole mitään epäselvää.
Ensimmäiset siirrot lähtevät iltapäivällä. Yhteensä 35 miljoonaa dollaria – yli 30 miljoonaa euroa...
Kerros kerrokselta uskottavampi suunnitelma
Hongkongin tapaus on yksi ensimmäisistä tunnetuista huijauksista, joissa deepfake-ääntä käytettiin tosielämän rikoksessa. Tapauksesta teki erityisen tehokkaan sen kerroksellisuus. Huijarit eivät ainoastaan imitoineet johtajan ääntä, vaan koko organisaation toimintaa.
Ensin kartoitettiin kohde: yksikkö, jossa siirrot tehdään tavallisestikin nopeasti. Sitten rakennettiin tarina: yritysosto, kiire ja salassapito. Seuraavaksi kerättiin johtajan julkisia esiintymisiä ja koulutettiin niistä malli, joka puhuu hänen äänellään. Lopuksi laadittiin väärennetyt dokumentit, jotka mukailivat olemassa olevaa materiaalia tarkasti.
Jokainen vaihe vahvisti edellistä. Kun jokin tuntuu tulevan useasta luotettavasta lähteestä, epäilykset hiljenevät.
"Perinteisesti on ajateltu, että ihmisen henkilöllisyys voidaan varmistaa soittamalla. Nyt sekin on asetettu kyseenalaiseksi", jaksossa vieraileva kyberasiantuntija ja kansainvälisestikin tunnettu puhuja Antti Kurittu vahvistaa.
Peter Nymanin kanssa deepfake-huijauksista ja varautumiskeinoista saapuivat keskustelemaan kyberasiantuntija Antti Kurittu (keskellä) sekä DNA:n kyberturvallisuuden kehityspäällikkö Katariina Kannus.
Deepfake-teknologia kehittyy räjähdysmäisellä vauhdilla
Hongkongin ovelasta huijauksesta on aikaa jo lähes viisi vuotta, ja tuona aikana tekoäly ja teknologia ovat kehittyneet harppauksin.
“Nykyään tämänkaltaisia huijauksia voidaan toteuttaa vielä paljon uskottavammin, nopeammin ja kustannustehokkaammin ", DNA:n kyberturvallisuuden kehityspäällikkö Katariina Kannus toteaa.
Esimerkisi tehokkaalla näytönohjaimella kasvot ja ääni voidaan vaihtaa reaaliajassa.
“Meidän sisäiseen palaveriin voisi ilmestyä vaikkapa Peter Nyman, jota minä ohjaan", Kurittu havainnollistaa.
Tai videopalaveriin voi osallistua monta kollegaa, joista ainoa oikea ihminen on huijauksen uhri – muut tekoälyllä luotuja. Kun palaverissa näkee useat tutut kasvot, ei helposti tule edes mieleen, että huijataanko minua.
”Palaverissa keskitytään asiaan, ei niinkään siihen, ovatko ihmiset aitoja. Siksi huijaus voi mennä läpi”, Kannus huomauttaa.
Vielä toistaiseksi vastaavat huijausoperaatiot ovat vaatineet melko paljon käsityötä. Tilanne voi kuitenkin muuttua, kun erilaiset tekoälypohjaiset agentit alkavat yleistyä. Tämä huolettaa Kurittua.
“Mikään ei estä luomasta rikolliseen käyttöön tarkoitettuja softa-agentteja. Näitä voidaan skaalata kuin mitä tahansa ohjelmistotuotetta. Pilvessä voi yhtäkkiä pyöriä miljoonia agentteja, jotka yrittävät huijata yksittäisiä ihmisiä”, hän pohtii.
Miten yritykset voivat varautua?
Sekä Kurittu että Kannus painottavat, ettei tilanne ole missään nimessä toivoton. Myös puolustusteknologia kehittyy jatkuvasti. Lisäksi yritysten on pysyttävä valppaina omassa arjessa.
“Kaikki lähtee liikkeelle organisaatiokulttuurista. Organisaatiossa on velvollisuus lisätä tietoisuutta siitä, miten huijauksia voidaan tunnistaa ja miten epäilyksistä raportoidaan organisaation sisällä”, Kannus sanoo.
Toinen tärkeä puolustuskeino koskee prosesseja. Rahasiirroissa on oltava varmistetut kontrollit, jotka kulkevat useamman ihmisen kautta. Hongkongin tapauksessa heikkous oli nimenomaan siinä, että yksi ihminen pystyi siirtämään rahaa ilman kenenkään muun hyväksyntää.
“Tästä näkökulmassa isossa riskissä ovat nimenomaan pienet ja keskisuuret yritykset, joissa laskuja maksetaan niin, että toimari lähettää laskun sähköpostilla ja sitten se maksetaan”, Kurittu varoittaa.
Myös uhrista on pidettävä huolta.
“Se, että joutuu tällaisen uhriksi ja firma menettää rahaa, on ihan painajaismainen tilanne, jossa voidaan tarvita työterveyttä tai muita mielenterveyspalveluja”, Kannus sanoo.
Syyllistämistä ja häpeän aiheuttamista pitää välttää viimeiseen asti, jotta epäilyksistä uskalletaan raportoida jatkossakin.
Kuuntele koko 33 minuutin mittainen jakso alta.
Tutustu Kyberrosvot-podcastin kaikkiin jaksoihin ja tallenna suosikiksi!
