Ferrari is recent bijna slachtoffer geworden van een deepfake-aanval. Een cybercrimineel deed zich met behulp van geavanceerde kunstmatige intelligentie voor als de CEO van het bedrijf, Benedetto Vigna. Doordat een manager persoonlijke controlevragen stelde om zijn identiteit te bevestigen, viel de crimineel door de mand. Dit bewijst dat organisaties hun beveiligingsprocedures moeten aanscherpen om zich te wapenen tegen cybercriminelen die deepfakes gebruiken.
De manager die te maken kreeg met de deepfake werd argwanend toen ‘zijn CEO’ een ongebruikelijk financieel verzoek deed. De manager wist niet alleen dat cybercriminelen frauderen met deepfake-technologie, maar wist ook hoe hij de authenticiteit van de aanvaller kon verifiëren. De cybercrimineel faalde duidelijk voor de test van een persoonlijke vraag.
Organisaties moeten beveiligingsmaatregelen nemen om zichzelf te wapenen tegen deepfake-stemfraude. Op technisch niveau kunnen oproepfilters helpen om spambellers te identificeren. De beller-ID moet ook zichtbaar zijn op telefoons. Op procesniveau moeten organisaties extra eisen stellen voor transacties boven een drempelwaarde. Dit kan een veilig woord of een eenmalig wachtwoord zijn.
Maar bij de minste twijfel over een verzoek is het belangrijk dat mensen een persoonlijke controlevraag stellen over iets dat niet op social media te vinden is. Nog beter is om de desbetreffende persoon terug te bellen op het nummer dat in de officiële systemen van de organisatie staat, een e-mail terug te sturen op een bekend en vertrouwd e-mailadres of om desnoods even langs het bureau te lopen als dat mogelijk is.
Het incident bij Ferrari benadrukt de kracht van training in beveiligingsbewustzijn. Aangezien deepfakes steeds geavanceerder worden en moeilijker van echte video’s te onderscheiden zijn, is het belangrijk dat mensen een gezond gevoel van scepticisme ontwikkelen en niet elk verzoek dat ze krijgen in een videocall voor waarheid aannemen.
Dr. Martin J. Krämer, Security Awareness Advocate, KnowBe4