Stel, je werkt op de financiële afdeling van een groot bedrijf en krijgt een mailtje van de CEO: hij of zij vraagt of je geld wil overmaken van bank a naar bank b. En het liefst zo snel mogelijk. Even later laat diezelfde CEO ook nog een voicemailbericht achter op je telefoon, om te benadrukken dat er echt haast bij is. Voor de goede orde: het email-adres van je baas is echt of lijkt echt, net als de stem. ,,Grote kans dat je zijn of haar verzoek inwilligt’’, zegt Jelle Wieringa. Het is echter niet de CEO zelf die mailt en de voicemail inspreekt: er zit een cybercriminele bende achter. ,,Je krijgt eerst een phishing mail. Wanneer de email-server van je baas niet goed beveiligd is, kunnen criminelen kunnen vrij eenvoudig inloggen op zijn of haar account. Of ze maken een mailadres na. Dat is de eerste stap. Om het verzoek kracht bij te zetten, spreken ze een bericht in op je telefoon. Ze hebben maar een paar video- of audiofragmenten van je baas nodig om te manipuleren. Dat zijn meestal fragmenten die ze van internet plukken. En technisch gezien is het dus prima mogelijk om een voicemailbericht bij iemand in te spreken zonder dat je de telefoon hoort overgaan. Op deze manier worden deepfakes dus gebruikt als een extra laagje geloofwaardigheid bij een cyberaanval.’’
Deepfake – een samentrekking van de Engelse woorden deep learning en fake – kan het beste worden omschreven als een verzamelnaam voor software waarmee je nepvideo’s en -audiofragmenten kunt maken die niet of nauwelijks van echt te onderscheiden zijn
Jelle Wieringa, leverancier security awareness trainingen en phishing simulaties KnowBe4
Toegankelijke technologie
Deepfake – een samentrekking van de Engelse woorden deep learning en fake – kan het beste worden omschreven als een verzamelnaam voor software waarmee je nepvideo’s en -audiofragmenten kunt maken die niet of nauwelijks van echt te onderscheiden zijn. Wieringa: ,,Het is een door de computer gegenereerd beeld op basis van bestaande beelden en audio. Daarbij wordt gebruik gemaakt van kunstmatige intelligentie. Het is een technologie die intussen toegankelijk is voor iedereen. Je maakt dingen niet echt zijn, echt.’’
Speerpunt FBI
Volgens Wieringa heb je niet veel meer nodig dan een krachtige computer met een videokaart. Ook is de software die je nodig hebt, eenvoudig te vinden en te downloaden. ,,Het maken van deepfakes is simpel én toegankelijk. De FBI heeft er niet voor niets een speerpunt van gemaakt. Het is voor jou en mij niet zo moeilijk om als Tom Cruise deel te nemen aan een meeting via Teams of Zoom. Daar kunnen mensen de lol nog van inzien. Waar het mij om gaat is dat deze zeer toegankelijke technologie ook uitermate geschikt is om mis- en desinformatie de wereld in te sturen.’’
Chanteren
Volgens Wieringa kun je met gemanipuleerde beelden op basis van deepfake-technologie vrij eenvoudig politici of opiniemakers dingen laten zeggen die ze nooit gezegd hebben. Je kunt zo de publieke opinie proberen te beïnvloeden, of iemand chanteren. Hoe? ,,Gebruik een acteur en laat hem met een vrouw een hotel binnenlopen. Dan plak je er mijn gezicht overheen, op basis van een paar foto’s of filmpjes die op internet staan. Vervolgens stuur je mij dat filmpje met een dreigmail: als je nu geen bitcoins naar deze rekening overmaakt, komt het filmpje online te staan.’’
Als het om een gemanipuleerde video gaat, moet je letten op vage randen en kleurverschillen die niet lijken te kloppen
Jelle Wieringa, leverancier security awareness trainingen en phishing simulaties KnowBe4
Let op vage randen
Hoewel een deepfake steeds vaker niet of nauwelijks van echt te onderscheiden is, zijn er volgens Wieringa wel een paar manieren om het te herkennen. ,,Als het om een gemanipuleerde video gaat, moet je letten op vage randen en kleurverschillen die niet lijken te kloppen: de haargrens, rondom de ogen, onder de neus en boven de lip. Dat zijn dé plekken op het gezicht waar gerommeld is. Bij geluidsfragmenten moet je vooral letten op tikjes of ruis en zinnen die niet helemaal lekker lopen, dus een beetje hakkelend.’’
Detectiesoftware
Er zijn intussen bedrijven die bezig zijn met de ontwikkeling van detectiesoftware, om deepfakes te herkennen, aldus Wieringa. Tot die tijd raadt hij ondernemers aan om bewustzijn te creëren over de gevaren van deepfakes. ,,Het is geen toekomstmuziek meer, het is er al. Laat mensen zien hoe ze deepfakes kunnen herkennen. Gebruik sprekende voorbeelden, er is op internet meer dan genoeg te vinden. En als je twijfelt aan de echtheid van een mailtje en/of voicemailbericht van je baas: wacht met geld overmaken, maar bel hem of haar voor de zekerheid op. Het kan je een hoop gedoe schelen. En geld.’’
KnowBe4
Als leverancier van security awareness trainingen en phishing simulaties levert KnowBe4 al ruim tien jaar trainingsmateriaal dat mensen de gevaren van internet laat zien en hoe je veilige keuzes kunt maken. Het Amerikaanse bedrijf richt zich op social engineering, de verzamelnaam van trukendozen waarmee cybercriminelen misbruik maken van menselijke eigenschappen als nieuwsgierigheid, vertrouwen, hebzucht, angst of onwetendheid. Deze criminelen, ook wel social engineers genoemd, pakken mensen via onder meer phishing en smishing op de zwakheden van het menselijk brein, om op die manier bepaalde informatie te ontfutselen. De leerstof van KnowBe4 bestaat uit honderden animatiefilmpjes, spelletjes, instructiefilmpjes, quizzen en zelfs tv-series. Verder levert KnowBe4 tools om het gedrag van gebruikers te testen. Wieringa: ,,We zien het echter ook het toenemende gevaar van deepfakes. In onze basistrainingen vertellen we er over. We laten voorbeelden zien en wijzen ze op de gevaren. De kans is groot dat we in de nabije toekomst ook deepfake simulaties gaan maken, om mensen nog beter te trainen. Je leest nu veel over aanvallen met gijzelsoftware, maar wijzen op het gevaar van deepfakes is minstens zo belangrijk.’’
