Deepfake gjør svindel stadig mer troverdig – nå advarer Økokrim
Når «sjefen» eller «drømmedama» ringer og spør om penger, kan det bli langt vanskeligere å skjønne at det dreier seg om svindel.
Midt i bølgene av investeringssvindel, postpakke-lureri og alle de andre nettsvindlene som vi blir utsatt for nå om dagen er det lett å spørre seg hva som blir det neste. Svaret kan, som med så mye annet i våre dager, synes å være «kunstig intelligens».
I takt med teknologiens fremvekst begynner nemlig historier om spektakulære KI-støttede millionsvindler å dukke opp i mediene. Og det er spesielt ett begrep som da går igjen: Deepfake.
Men hva er deepfake ... og hvordan kan vi egentlig bli lurt av det?
Falske ansikter og stemmer med deepfake
– Svindel som fag endrer seg i bunn og grunn aldri, sier Thorbjørn Busch, senior sikkerhetsrådgiver i Telenor.
– Den viktigste faktoren er og blir troverdighet. De fleste av oss har solide sperrer mot å bli lurt, så for å svindle oss må svindleren finne veier rundt disse.
Og nettopp dette er mulig med deepfake-teknologi, som enkelt forklart gjør det mulig å bytte ut både ansikter og stemmer i alt fra videoer til telefonsamtaler.
Slik kan fremmede kriminelle «maskere» seg som en venn, et familiemedlem eller en kollega, og slik lure deg til å tro at du snakker med noen du allerede har tillit til.
Ifølge Busch er utvikles deepfake-teknologien i høyt tempo, og blir slik stadig mer moden og tilgjengelig for misbruk.
– Vi er jo vant til å tro våre egne øyne og ører. Men når den vi tror er en bekjent egentlig er en med onde hensikter, betyr det at tillitsbåndene vi har til andre mennesker enkelt kan brukes mot oss.
Hva er deepfake?
Ordet «deepfake» brukes som et samlebegrep på bilder, video og lyd fremstilt ved hjelp av maskinlæring, altså kunstig intelligens.
Typiske bruksområder er å bytte ut ansikter (tenk Snapchat-filter, men mer avansert) eller å lage syntetiske stemmer som til forveksling ligner personen de er kopiert fra.
For å lage en troverdig deepfake er kildematerialet viktig. Jo mer høyoppløselig bilde, video eller lydmateriale man har av personen som skal forfalskes, jo bedre utgangspunkt for å bygge den digitale modellen.
Når den kunstige intelligensen er trent opp med kildematerialet, kan den gis instruksjoner og spytte ut et mer eller mindre troverdig resultat, avhengig av teknologiens kvalitet.
Økokrim advarer: – Et samfunnsproblem
For bare et par år siden var ideen om å bruke deepfakes i svindelforsøk først og fremst teoretisk. Selv om det ennå ikke er spesielt utbredt blant kriminelle flest, begynner vi nå å se en del praktiske eksempler – først og fremst i angrep rettet mot bedrifter.
Spesielt gjelder dette tilfeller av direktørsvindel. Her lures ansatte til å tro at de snakker med en overordnet, for eksempel selskapets direktør, med formål om at de skal godkjenne en utbetaling til svindlerne. Dette kan skje både via lyd og bilde, gjerne i kombinasjon.
I februar 2024 ble det kjent via CNN at en ansatt i et firma i Hong Kong hadde godkjent en utbetaling på 25.6 millioner dollar til svindlere. Ifølge nyhetskanalen ble han lurt av et videomøte med selskapets finansielle sjef og en rekke kolleger han dro kjensel på. Alle personene var deepfakede forfalskninger.
Til NRK sier avdelingsdirektør for forebygging og etterretning i Økokrim, Lone Charlotte Pettersen, at bruken av teknologien har økt og nå kan betegnes som et samfunnsproblem.
– Det er forventet at kriminelle vil benytte seg av teknologien i flere bedrageriformer fremover, sier hun.
– Det er ingen grunn til å tro at vi er mindre utsatt for slike bedragerier her enn i Hongkong.
Deepfake åpner for mer troverdig svindel
Der Microsoft-svindel er en klassisk telefonsvindel i dag, kan deepfake kjapt være framtidas kriminelle gründeridé.
Her vil ikke den som plukker opp telefonen møte på en engelsk stemme med indisk aksent – men kanskje en person som tilsynelatende er norsk – og kanskje godt kjent?
– Dette handler om å sette sammen verktøy som allerede eksisterer, og så sko seg, sier Busch.
IKKE ENNÅ, MEN SNART? Thorbjørn Busch, senior sikkerhetsrådgiver i Telenor, ser ikke bort fra at fremtidens svindelforsøk i større grad vil involvere deepfakes, selv om det ikke er et stort problem i dag.
Som et tenkt eksempel tegner han opp et callsenter bemannet kun av datamaskiner. Disse driver med automatiserte oppringninger til norske nummer og prøver å få sine offer i tale med et et tilforlatelig formål, for eksempel en spørreundersøkelse. Spørsmålene skal helst gi lange svar som gjør det lett å bygge en digital stemmemodell av offeret.
Neste skritt er å kombinere ulike datalekkasjer fra sosiale medier, som telefonnumre og vennelister, for å kartlegge nettverk og peke ut alle som skal motta samtaler fra offeret.
Ved å forfalske telefonnummeret til offeret (via såkalt spoofing) ringes deretter hele vennelista opp. Har mottakerne nummeret lagret, lyser navnet opp på skjermen.
I den andre enden er en stemme de kjenner fra før, som leser opp et manus. Når offeret svarer, vil maskinen forsøke å reagere i sanntid gjennom stemmegjenkjenning og kunne generere nye svar på sparket.
Eksempel på mobbing og trusler med deepfake:
I starten av 2024 begynte en rekke forfalskede bilder av popstjernen Taylor Swift å spre seg på nett. Bildene viste Swift naken og i seksualiserte situasjoner, og var produsert ved hjelp av kunstig intelligens uten sangerens samtykke.
Dette er et godt eksempel på at en deepfake ikke alltid trenger å lure noen for å være skadelig. Teknologien kan også misbrukes til trakassering og trusler. Tilfellet med Swift er ikke unikt – det finnes allerede mange eksempler at ansikter og kropper til både kjendiser og andre manipuleres inn i pornofilmer og bilder.
En mer uutforsket men vel så skremmende taktikk kan være å gjøre det samme for voldshandlinger med det formål å true mottakeren. Enten med manipulerte bilder av mottakeren selv eller av barn eller øvrig familie.
Det kan også være trusler om å spre ubehagelige videoer av offeret til venner og kjente om et offer ikke betaler penger.
– Selv om du vet det ikke er riktig får du et oppryddingsarbeid, og det kan være lett å føle seg maktesløs, sier Busch.
– Det kan være flaut å sende ut e-poster til gud og hvermann om at «ok, nå vil du motta en melding eller video av meg, og jeg ber deg om ikke å se på den det».
Deepfake-teknologien kan også misbrukes på mange måter i politisk sammenheng, fra propaganda til spredning av disinformasjon og falske nyheter.
I denne videoen kan du se et litt mer uskyldig eksempel på fenomenet, der en liten gutt snakker som president Joe Biden via en kunstig intelligens som har blitt trent opp ved å lytte til opptak av Bidens stemme.
Gamle metoder fungerer fortsatt godt
At disse etterligningene ofte vil være lette å avsløre er helt greit for svindlerne. Det gjør det lettere å luke ut hvem som er troende til å følge svindelen hele veien til sluttpunktet.
– Å gå på en slik svindel vil ikke nødvendigvis handle om naivitet – det kan like gjerne være biologien som jobber mot deg, sier Busch.
– De fleste av oss får dårligere hørsel med årene, og det kan gjøre det vanskeligere for eldre å avsløre at noe er merkelig med stemmen som ringer.
Dette høres unektelig effektivt ut og er allerede teknisk mulig å gjennomføre. Så hvorfor opplever vi ikke en overflod av denne typen svindel allerede?
– Tiden er ikke moden for det, i hvert fall ikke mot privatpersoner. I de tilfellene der vi ser at deepfake-teknologien er brukt mot bedrifter, krever dette stor innsats fra de kriminelle, sier Busch.
– Det er mange enklere og mindre ressurskrevende svindelmetoder som ennå fungerer veldig godt mot mannen i gata – dessverre. Men, vi vet at deepfake vil bli en del av våpenarsenalet til disse aktørene når nok dører er blitt lukket for dem.
Ikke «god» eller «ond» teknologi
Busch understreker at det han snakker om i stor grad er spekulasjoner. Nøyaktige fremtidsspådommer er få forunt, men samtidig handler datasikkerhet nettopp om å ha et øye på mulige scenarier etter hvert som teknologien gjør dem mulig.
– Dette er en utvikling Telenor følger nøye med på, og vi håpe å kunne tilby kundene våre løsninger på dette om det blir et reelt problem i framtiden.
Telenors sikkerhetstjeneste SAFE innholder allerede en svindelforsikring, som dekker alle typer svindelforsøk – også de som eventuelt måtte komme som følge av deepfake-svindel og tilhørende identitetstyverier.
Avslutningsvis er det viktig å minne om at maskinlæring i seg selv ikke er en «god» eller «ond» teknologi.
Den kan ta sportsresultater fra ørten fotballkamper i tredjedivisjon og skrive lange og fine tekster om hver av dem, eller gi oss tidenes latterkrampe ved å gi hele familien katteansikter via et Snapchat-filter.
– Det blir som et hvitt ark, hvor du kan tegne både et hjerte og et hakekors, sier Busch.
– Alt kommer an på bruken.