Каждая пятая компания в РФ пострадала от дипфейков, самое опасное - подделка голоса начальника. Как защититься?

Каждая пятая компания в РФ пострадала от дипфейков, самое опасное – подделка голоса начальника. Как защититься?

Преступники осваивают технологии искусственного интеллекта (ИИ) не менее активно, чем легальные пользователи. Каждая пятая российская компания подверглась успешной атаке с применением дипфейков – технологии, когда преступники с помощью ИИ подделывают голос или изображение и выдают себя за доверенных лиц с целью получения выгоды. Об этом говорят результаты совместного исследования MTS AI и Б1.

Согласно данным исследования, наиболее потенциально опасным каналом в этом отношении являются мессенджеры, а наименее опасным – социальные сети. Наибольшей проблемой стал именно аудиоспуфинг, то есть поддельный голос коллеги или руководителя, сгенерированный ИИ.

79% представителей российского бизнеса, участвовавших в исследовании, отметили, что подмена голоса начальника является самой серьезной угрозой. И это не случайность: звонки (в особенности через мессенджеры) и голосовые сообщения – самый популярный вид деловой коммуникации в России. Социальные сети бизнесом практически не используются, а корпоративные почтовые сервисы, как правило, надежно защищены сервисами служб безопасности.

Дипфейки – относительно новый вид угроз, а любая новая угроза особенно опасна. Примеров успешных атак на бизнес с использованием дипфейков в минувшем году накопилось немало. В 2024 году транснациональная компания, работающая в Гонконге, потеряла 25,6 млн долларов из-за мошенничества при проведении видеоконференции. В ОАЭ с помощью имитации голоса одного из руководителей банка было похищено 35 млн долларов, а в Китае зафиксированы случаи хищений в размере сотен тысяч долларов с помощью поддельных видеоконференций.

В России также участились случаи атак через мессенджер Telegram, когда мошенники создают поддельные аккаунты руководителей компаний для получения конфиденциальной информации и осуществления несанкционированных переводов средств. Помимо этого, есть отдельные случаи, когда злоумышленники создают дипфейк-видео, якобы записанные от лица коллеги, и рассылают их с целью выманивания денег у других сотрудников.

Уровень защиты компаний от подобных угроз остается крайне низким – только 3% представителей бизнеса полностью уверены в безопасности своих предприятий, 13% признают, что не смогут защититься в случае спуфинг-атак, а 38% испытывают сомнения в готовности к ним.

«Дипфейки становятся реальной проблемой, и результаты исследования показывают, что на текущий момент российские компании не готовы к ее решению. По мере развития технологий количество атак с дипфейками будет только расти, поэтому представителям бизнеса очень важно вдумчиво подойти к созданию систем защиты против спуфинга. В этом процессе особое значение приобретает развитие open-source решений, так как именно эти технологии выступают драйвером для всей индустрии, а не только для ее лидеров».

Василий Самсонов

Партнер Б1, Форензик

Главный эксперт «Лаборатории Касперского» Сергей Голованов отмечает, что дипфейки вместе с социальной инженерией стали серьезной и актуальной проблемой не только для бизнеса, но и для частных лиц.

«В прошлом году злоумышленники уже массово использовали дипфейки, ведь так им проще убедить жертву в своей легенде. В таких атаках чаще всего подделывают голосовые сообщения знакомых жертвы. Среди наиболее распространенных схем – случаи, когда злоумышленники создают в Telegram поддельные аккаунты руководителей различных компаний и пытаются с их помощью обмануть сотрудников, чтобы вынудить их перевести деньги на счета атакующих, а часто также взять кредит. Для этого мошенники могут заранее собирать информацию о компании и персонале. В подобных аудиосообщениях голос, похожий на голос руководителя, обычно предупреждает о скором звонке от «регулятора» или «правоохранительных органов». После чего следует уже стандартная схема со звонком якобы от «представителей банка» с предложением перевести средства на «безопасный счет», – говорит Голованов.

По словам руководителя портфеля продуктов VisionLabs Татьяны Дешкиной, речь идет о десятках тысяч атак на корпоративный сектор и физлиц в 2024 году, которые в текущем году могут превратиться в сотни тысяч, потому что данная технология, как и остальной генеративный искусственный интеллект, стремительно развивается. Качество созданного контента растет, а получить доступ к программам генерации голоса и видео становится проще и проще.

«Ущерб начинается от нескольких десятков тысяч и достигает нескольких миллионов рублей в каждом отдельном случае. Еще одна проблема – создание порнографических дипфейков – ущерб от которых сложно определить. Из-за этических аспектов пострадавшие не всегда готовы обратиться в правоохранительные органы, поэтому злоумышленники безнаказанно могут совершить тысячи таких действий, прежде чем их обнаружат», – говорит Дешкина.

Специалисты уже начали разрабатывать способы выявления фальшивых голосов, опираясь на то, что при генерации звуков часто не учитываются особенности реального речевого аппарата (связки, язык, челюсти и губы).

Ведущие технологические и торговые площадки внедряют меры по защите и проверке подлинности данных. Однако, по словам руководителя Trust&Safety Wildberries & Russ Игоря Сомова, пока самая надежная защита – это соблюдение принципов киберосознанности, то есть культуры безопасного поведения, в которой человек ежедневно осознает свою ответственность за сохранность денег и данных и предпринимает необходимые действия для их защиты.

Эксперт советует придерживаться четырех правил, которые помогут избежать ущерба от кибермошенников.

Использование альтернативного канала связи. Если вам пришло голосовое сообщение или позвонили от лица знакомого человека либо компании с неожиданной просьбой, лучше связаться с этим человеком (или организацией) через другой сервис – например, позвонить с другого номера или написать в мессенджере. Так вы сможете убедиться, действительно ли звонок был от них
Контрольные вопросы. Если вам звонит знакомый, но что-то кажется подозрительным, попросите его ответить на личный вопрос, ответ на который точно известен только вам двоим. Например, о конкретном событии из прошлого
Коммуникация только по официальным каналам. При общении с компаниями (банками, интернет-магазинами, службами доставки и т. д.) пользуйтесь только официальными контактами, указанными на их официальных сайтах или в официальных приложениях
Ограничение доступа к личным материалам. Старайтесь не выкладывать в свободный доступ видео, аудиозаписи и другие материалы, по которым может быть сгенерирован ваш образ или голос. Если это нужно по работе или для общения в соцсетях, настраивайте приватность и доступ только для близких или проверенных людей

Дипфейки – не временная проблема, а устойчивый тренд, который будет развиваться. Поэтому крайне важно сохранять бдительность и формировать навыки кибербезопасности, чтобы в любых сомнительных ситуациях быстро проверять информацию и не поддаваться на уловки мошенников.