专家表示,由于缺乏技术和法规来减轻深度学习神经网络和生成式人工智能系统所创建的虚假音频、图像和视频的影响,深度伪造可能会在未来一年给企业带来一些代价高昂的冲击。目前,深度伪造是网络威胁中最为严重的,三分之一的公司认为深度伪造是严重或主要威胁。
威胁预防公司Deep Instinct本周发布的一份报告显示,过去一年,约有61%的公司遭遇了使用深度伪造的攻击。然而,攻击者可能只会创新并更好地利用深度伪造来改进当前的欺诈策略,使用生成式人工智能对金融机构的客户了解(KYC)措施发起攻击,通过对特定上市公司的声誉攻击来操纵股市,以及使用虚假但仍然令人尴尬的内容勒索高管和董事会成员。
金融信息公司穆迪评级数字经济副总裁阿比·斯里瓦斯塔瓦表示,短期内,旨在破坏公司声誉的深度伪造活动的影响可能会非常大,以至于影响公司的整体信誉。
他说:“深度伪造可能会对企业造成巨大而广泛的伤害。金融欺诈是最直接的威胁之一。这种基于深度伪造的欺诈行为对企业信用不利,因为它们可能使企业面临业务中断和声誉受损的风险,如果损失惨重,可能会削弱盈利能力。”
深度伪造已经成为攻击者假冒企业领导人诈骗(过去称为商业电子邮件泄露,BEC)的工具,攻击者利用人工智能生成的公司高管音频和视频欺骗下级员工转账或采取其他敏感行动。例如,在2月份披露的一起事件中,一家跨国公司的香港员工在电话会议中利用深度伪造指示员工进行转账,最终转账约2550万美元。
看到的永远不是最严重的
Deep Instinct首席信息官、金融公司花旗集团前全球基础设施防御主管Carl Froggett 表示,由于金融机构很少会见自己的客户,公司员工越来越多地远程办公,而且深度伪造技术变得越来越容易使用,攻击的数量只会增加,而且变得更加有效。
生成式人工智能大幅增加了欺诈损失,预计到2027年损失将翻倍(资料来源:德勤洞察)
根据Deep Instinct发布的“安全运营之声”报告,总体而言,四分之三的公司发现冒充C级高管的深度伪造有所增加。
“关键人物、首席执行官、董事会成员,他们将成为个人和深度伪造声誉损害的目标,所以我们不能再对他们宽容……让他们绕过安全措施,”弗罗格特说。“目前我们还没有很好的技术解决方案,而且情况只会越来越糟,所以身份和防网络钓鱼技术将非常重要。”
金融机构将感受到最大的痛苦。由于生成式人工智能,金融欺诈损失将加速增长,咨询公司德勤预测,到2027年,银行业的损失可能达到400亿美元,是生成式人工智能出现之前预计损失的两倍。
货真价实的损失
深度伪造也对股市价格产生了影响。一年前,一张五角大楼爆炸的照片通过一个经过验证的推特账户分享,并被多家新闻机构传播,导致标准普尔500指数在几分钟内下跌了1%,后来交易员们发现这很可能是人工智能生成的。今年4月,印度国家证券交易所(NSE)不得不向投资者发出警告,因为一段深度伪造的视频出现了,视频中NSE首席执行官推荐了特定的股票。
不过,网络安全咨询公司Optiv的全球网络安全风险和董事会关系副总裁詹姆斯·图加尔表示,首席执行官推荐股票或发布虚假信息的深度伪造不太可能触发美国证券交易委员会的重大披露规则。
他说:“基于深度伪造视频或语音模仿,美国证券交易委员会的网络披露门槛将很困难,因为从股东的角度来看,必须有证据证明深度伪造攻击对公司的信息技术系统造成了重大影响。”
穆迪的斯里瓦斯塔瓦表示,虽然不能阻止深度伪造欺诈对自身运营的影响的公司可能面临信用处罚,但监管前景仍然模糊。
“如果深度伪造的规模和频率不断增长,并加剧网络攻击,那么适用于网络攻击的现有监管影响也适用于深度伪造,”他说。“然而,当谈到深度伪造作为独立威胁时,似乎大多数司法管辖区仍在考虑是否颁布新立法,或者现有法律是否足够,其中大部分重点是与选举相关的深度伪造和成人内容深度伪造。”
技术是解决方案还是问题?
Optiv 的图加尔表示,不幸的是,深度伪造的技术前景仍然有利于攻击者。
因此,在寻找技术解决方案的同时,许多公司正在加强旨在创建额外检查的流程,以阻止深度伪造诈骗,要求高层领导对超过一定金额的货币交易进行口头认证,并将代码认证发送到受信任的电子设备,他说。一些公司甚至放弃了技术,将人与人之间的互动作为最后的检查。
图加尔表示:“随着深度伪造技术威胁的不断增大,我看到一些公司开始回归传统的人与人之间的互动方式,创建一种低技术的双因素身份验证解决方案,以减轻高科技威胁。”
Deep Instinct的弗罗格特表示,创建可信赖的沟通渠道应该是所有公司的首要任务,而且不仅适用于敏感流程(例如发起支付或转账),还适用于与公众的沟通。
“最好的公司已经在准备,试图考虑各种可能发生的情况。……你需要法律、监管和合规团队——显然还有营销和沟通——来动员起来打击任何错误信息,”他说。“你已经看到,更成熟的金融公司已经做好了准备,并将其作为其DNA的一部分来实践。”
弗罗格特补充道,其他行业也必须发展类似的能力。
参考资源:
1.https://www.darkreading.com/cyber-risk/technology-regulations-cant-save-orgs-from-deepfake-harm
2.https://www.deepinstinct.com/voice-of-secops-reports
3.https://www2.deloitte.com/us/en/insights/industry/financial-services/financial-services-industry-predictions/2024/deepfake-banking-fraud-risk-on-the-rise.html