Обман нового поколения. Как мошенники используют ИИ и как не попасть на их крючок

За пару последних лет произошел не только колоссальный скачок качества контента, сгенерированного с помощью нейросетей, но также доступности и скорости его производства. Чатботы, генераторы изображений, видео на базе ИИ и другие нейросетевые технологии активно осваивают не только обычные пользователи, но и разнообразные мошенники.

Присоединяйтесь к нам Facebook и принимайте участие в дискуссиях

Конечно, к вам не придет гуманоидный робот с историей о новой выгодной финансовой пирамиде или наследстве нигерийского принца. Ну, по крайней мере, пока. Тем не менее нейросети уже сделали много привычных мошеннических схем более дешевыми и убедительными, а значит – и более опасными. Liga.Tech разобралась в том, как технологическое продвижение совершил апгрейд обмана и как не попасть на крючок.

Голосовые клоны друзей и родственников

Звуковой монтаж для подделки голосов практикуется уже по меньшей мере пару десятилетий. Однако раньше для этого потребовался профессионал, специальное оборудование и долгие часы работы – и даже в таком случае результат часто получался неидеальным и подделка быстро раскрывалась.

Сейчас же достаточно одной короткой аудиозаписи, чтобы нейросеть смогла генерировать целые речи голосом, почти не отличающимся от оригинала. При необходимости, ее даже можно перевести на разные языки. Технологию мгновенно взяли на вооружение создатели юмористического контента для генерирования фейковых монологов или диалогов политиков и звезд разного уровня остроумия.

Достаточно древней и отвратительной схемой выдуривания денег были звонки якобы от родственников или друзей, оказавшихся в беде и срочно нуждающихся в деньгах. Обычно мошенники звонили поздно ночью или ранним утром из расчета, что растерянный человек будет более податлив и не сразу поймет обман. Потеря определенной суммы денег была не наихудшим, что приносило подобные звонки. Есть много случаев, когда пожилых людей после подобных звонков с "плохими новостями" хватал сердечный приступ.

ИИ позволил вывести эту схему на качественно новый уровень. Если пользователь хоть раз выкладывал в открытый доступ видео или аудиозапись с его голосом, то он может быть "клонированным". Далее мошенники от его имени создают аудиосообщение с драматической историей о попадании в больницу/полицейский участок или кражу вещей.

Последний вариант наиболее популярен, поскольку позволяет объяснить, почему сообщение было отправлено с незнакомого номера – мол, это добрый человек позволил отправить сообщение со своего телефона. Но всегда эти подставные звуковые сообщения сводятся к одному – просьба срочно переслать определенную сумму денег.

Рекомендуемые контрмеры

Первым делом не стоит даже пытаться определить подделку на слух: технологии генерации голоса постоянно улучшаются, его синтетичность маскируют за счет добавления звуков окружающей среды и других эффектов и часто даже эксперты попадают в заблуждение.

Лучший подход – считать все, что посылается с неизвестного номера или электронной почты, автоматически подозрительным. Также нужно связаться с человеком, от которого пришло тревожное голосовое сообщение.

Однако мошенники нередко комбинируют этот метод со взломом аккаунта в мессенджере. По сути, часто именно так они получают образец голоса для клонирования и базу контактов для рассылки фейка. Также они могут следить за соцсетями жертвы, чтобы подгадать момент, когда куда-то поедет и оперативно связаться с ней будет сложно.

В таком случае лучше запросить информацию, которую может знать только адресант сообщения. А еще лучше – заранее придумать общий "пароль" или секретную фразу на случай подобных ситуаций.

Также, после получения сообщения следует выждать какое-то время. Мошенники, как правило, берут числом и рассылают сообщения большому количеству адресатов в надежде, что кто-то "клюнет". Часто они не следят за тем, было ли оно прочитано, в то время как близкий человек, действительно попавший в беду, обязательно это заметит и напишет снова.

Индивидуальный спам и фишинг

Спам – явление такое же старое, как и электронная почта в принципе. Однако чатботы вместе с утечками из соцсетей и других платформ вывели его на совсем другой уровень. Одно дело получить письмо с содержанием "Уважаемый nadija1969, ваш троюродный дядя в Австралии умер и завещал вам ранчо близ Мельбурна, уплатите $1000 юридического сбора, иначе его конфискуют в пользу государства" . В таком случае определить сомнительность письма и отправить его в помойку достаточно просто.

Однако стоит добавить лишь немного персональной информации, собранной с помощью ИИ – подлинное имя получателя, город проживания, покупки, привычки и т.д. – как письмо начинает выглядеть более правдоподобным. Например, "Приветсвуем, Надежда, это команда онлайн-магазина Белые Ножки. Вы недавно просматривали крем для рук и на него сейчас действует скидка в 75% и бесплатная доставка в Житомир. Для участия в акции вам нужно только пройти по ссылке". При такой формулировке на крючок может попасть даже опытный пользователь сети. Нейросеть на основе анализа всего нескольких фактов может генерировать подобные письма в промышленных масштабах.

Рекомендуемые контрмеры

Здесь работает ровно тот же подход, что и с обычным спамом и фишингом – нужно быть внимательным. Пусть сгенерированные нейросетью письма выглядят более индивидуальными и правдоподобными, принцип остается все тот же – мишень мошенников должна открыть вложения или пройти по ссылке, иначе ничего не сработает. Поэтому делать это можно, только если вы на 100% уверены в его достоверности.

В первую очередь нужно всегда проверять адрес отправителя. У официальных email магазинов будет простой и в то же время идентичный названию магазина адрес. Например white_legs@support.com, в то время как у мошенников будет не уникальный и запутанный адрес, вроде whiteleg492@gmail.com . То же и со ссылкой, на которую они приглашают перейти.

Если вас заинтересовала "акция", но у вас есть подозрения — не будет лишним связаться с менеджером магазина по телефону или почте, указанным на сайте, и спросить, действительно ли такая акция. Так или иначе, не торопитесь с действиями. Главный друг мошенников – импульсивные решения их жертв. Посоветуйтесь с близкими по поводу письма и узнайте их мнение.

Двойники для верификации

Одним из самых древних и популярных схем в арсенале мошенников было выдавание себя за другое лицо с целью получить доступ к его банковским счетам или другим ценностям. Правда, учитывая его огромную сложность и трудоемкость, мошенники, как правило, ограничивались только "жирными" целями – бизнесменами и их семьями. Однако развитие нейросетей принесло с собой новые угрозы.

Сегодня ИИ вместе с рядом слитых в сеть фактов, видеозаписей и аудио может создать очень убедительного цифрового двойника для обмана основных методов верификации.

Что делает пользователь, когда забыл пароль и не может авторизироваться в банке? Звонит в службу поддержки, где подтверждает свою личность такими фактами, которые могут узнать опытные хакеры: имя, дата рождения или идентификационный код. Даже более продвинутые методы типа анализа голоса или лица могут обмануть нейросети. Тем более что некоторые службы поддержки используют ботов, которые вполне могут "поверить" фальшивому двойнику и изменить пароль или предоставить доступ.

Главная опасность заключается даже не в уровне реалистичности подобных двойников, а скорее в простоте использования и, как следствие, массовости и кратности. Можно без проблем наладить огромную ботоферму, которая будет в преимущественно автономном режиме предпринимать попытки сломать доступ ко всем известным аккаунтам человека или даже создавать новые.

Рекомендуемые контрмеры

Надо отталкиваться от того, что джинна уже не загнать обратно в лампу и смириться с тем фактом, что часть вашей личной информации в любом случае будет гулять по просторам даркнета. Поэтому следует обеспечить своим аккаунтам защиту от наиболее ожидаемых мошеннических атак.

Наиболее очевидный и действенный способ — включить двухфакторную аутентификацию. При попытке любой подозрительной авторизации или изменения пароля на ваш телефон будут поступать уведомления с просьбой подтвердить действие или сообщить, что это не вы. Правда, с подобными письмами тоже нужно быть внимательными — подобные формы могут присылать и мошенники, чтобы вы перешли по ссылке.

Неприличные дипфейки для шантажа

Это, пожалуй, самый неприятный способ ШИ-мошенничества. До недавних пор основным хлебом многих хакеров был слом облачных хранилищ людей с целью завладения их интимными фото или видео. Далее, они требовали выплатить выкуп, иначе разошлют украденное друзьям, семье и коллегам. Чаще всего от таких атак страдали известные люди, однако не пренебрегали хакерами и шантажом рядовых граждан.

Прыжок в развитии нейросетей сделал взлом облачных хранилищ просто ненужным. Собственно, едва ли не первым применением дипфейков стали попытки делать фальшивую "клубничку" со знаменитостями.

Мошенники берут лицо человека и с помощью ИИ накладывают его на изображение или видео порнографического содержимого. Далее связываются с жертвой и угрожают, что их креатив будет послан их близким и никто не будет сомневаться в подлинности ролика. Эти изображения или видео имеют низкое качество, однако некоторые пользователи так боятся даже намека на секс-скандал со своим участием, что соглашаются заплатить. Тем более что в таких случаях сумма, как правило, не очень велика. Но часто первый платеж оказывается далеко не последним.

Рекомендуемые контрмеры

Здесь тоже нужно принять тот факт, что искусственный интеллект уже с нами навсегда, а сервисы, где можно сделать фейковые порнофото и видео с любым человеком – это уже реальность. К тому же со временем эта технология будет только развиваться и становиться более доступной.

ИИ может попытаться убедительно наложить лицо или даже попытаться полностью сгенерировать непристойное видео. Однако он работает только на основе информации, которую ему дали. Поэтому фальшивость видео могут выдать отсутствие некоторых нюансов типа татуировок, родинок, пирсинга и других особенностей.

Также можно сыграть на опережение: рассказать друзьям и родственникам о сложившейся ситуации и предупредить о возможном появлении такого контента в сети. Это если не лишит шантаж смысла полностью, то значительно снизит возможный вред. Ведь именно на чувстве стыда и нежелании попасть в скандал часто и играют злоумышленники.

Поддельные веб-сайты

Мошенники и раньше делали поддельные сайты, но ИИ позволили ускорить этот процесс и сделать их более убедительными. Наиболее распространенная схема – фейковые онлайн-магазины с колоссальными скидками (которые вот-вот закончатся) на популярные товары. Пользователь считает, что сорвал джекпот и вводит на таком сайте данные своей кредитной карты, которые затем становятся инструментом мошенников.

Поддельные сайты могут являться частью большей мошеннической схемы. Например, мошенники могут узнать, какой товар вы искали в сети, и быстро сгенерировать фейковую страницу с неприлично большой скидкой.

Рекомендуемые контрмеры

В таких случаях опять же нужно проявлять бдительность и проверять сайт, на котором вы вводите свои банковские данные. Посмотрите название магазина или продавца, проверьте отзывы, позвоните по номеру (фейковые сайты ставят несуществующие номера "поддержки").

Внимательно присмотритесь к адресу сайта – они могут мимикрировать под популярные маркетплейсы, но подмену легко заметить.

А главное помните: бесплатный сыр бывает только в мышеловке.