Kaip DI sukčiai apgaudinėja verslą: 5 požymiai ir apsisaugojimo būdai
·
Raudona lemputė. Taip mano draugas apibūdina tą akimirką, kai suvokė, kad jo verslo el. pašto paskyra buvo nulaužta. Keturios dienos duomenys prarasti. Kliento sutartis – nutekinta.
Tai neįvyko per sudėtingą ataką. Kažkas paprasčiausiai paprašė jo darbuotojo pateikti slaptažodį. Per el. laišką, kuris atrodė kaip iš banko.
Dabar tokius el. laiškus rašo DI. Greičiau. Tiksliau. Be gramatinių klaidų.
Kaip DI sukčiai dirba šiandien
Tradicinis sukčiavimas buvo lengvai atpažįstamas: prasta kalba, keisti prašymai, klaidingi logotipai. Šiandien viskas pasikeitė.
DI leidžia sukčiams generuoti šimtus personalizuotų el. laiškų per minutę. Kiekvienas pritaikytas konkrečiam žmogui – su jo vardu, kompanija, netgi paminint paskutinę konferenciją, kurioje jis dalyvavo.
Kaip jie gauna tokią informaciją? LinkedIn, Facebook, kompanijos svetainė. Visi tie duomenys viešai prieinami. DI juos surenka ir apdoroja sekundėmis.
Deepfake skambučiai
2026 metais vienas iš sparčiausiai augančių sukčiavimo būdų – balso klonai.
Principas paprastas. Sukčius paima 30 sekundžių garso įrašą iš, tarkime, direktoriaus LinkedIn video. Naudodamas DI įrankį, sukuria tikslų jo balso kloną. Tuomet skambina finansų direktoriui: „Labas, čia Tomas. Reikia skubiai pervesti 50 tūkstančių. Sandoris. Nieko neskelb.”
Taip praėjusiais metais viena britų kompanija prarado 243 000 svarų sterlingų. CFO manė kalbantis su savo CEO.
Video deepfake’ai – kitas lygis. Jau dabar galima realiu laiku generuoti netikrą veidą vaizdo skambutyje. Technologija kol kas ne tobula, bet sparčiai gerėja.
5 požymiai, kad kažkas negerai
Nesvarbu kiek tobulas el. laiškas ar skambutis, tam tikri signalai vis tiek lieka.
Skubumas. „Reikia dabar.” „Nėra laiko tikrinti.” „Prašau nieko neinformuoti.” Tai klasikiniai manipuliacijos įrankiai. Legitimos situacijos retai reikalauja akimirkos sprendimo be jokio patikrinimo.
Neįprastas kanalas. CEO paprastai nenaudoja asmeninio Gmail kai prašo pervedimo. Jei gauni prašymą iš neįprasto adreso ar numerio – jau yra priežastis sustoti.
Jautrūs duomenys ar pinigai. Kiekvienas prašymas susijęs su slaptažodžiais, banko duomenimis ar pervedimu turėtų sukelti papildomą tikrinimą. Be išimčių.
Klausimai be aiškių atsakymų. Jei sukčius pats negali atsakyti į klausimą, kurį žinotų tikras žmogus – pvz. „Ką aptarėme susitikime antradienį?” – tai signalas.
Per tobulas turinys. DI generuojami el. laiškai dažnai yra per daug formalūs, per daug taisyklingi. Jei kolega paprastai rašo laisvai, bet staiga siunčia oficialų laišką be jokių klaidų – tai gali reikšti, kad rašo ne jis.
Ką gali padaryti šiandien
Pradėk nuo paprastų dalykų. Dviejų žingsnių autentifikacija visoms paskyroms – el. paštui, bankininkystei, darbo įrankiams. Tai nėra prabanga. Tai pagrindas.
Patikrink, ar tavo komanda žino kaip atpažinti sukčiavimo bandymus. Organizuok trumpą aptarimą – ne seminarą, o pokalbį. Parodyk pavyzdžius. Paklausk: „Kaip reagavote?” Dažnai žmonės net nežino apie naujus sukčiavimo metodus, kol jiems nepapasakoji.
Sukurk paprastą protokolą didelėms operacijoms. Pvz., kiekvienas pinigų pervedimas virš tam tikros sumos reikalauja patvirtinimo per kitą kanalą – ne tik per el. paštą. Skambutis. Asmeninis pokalbis. Bet kas, kas nereikia tik rašytinio patvirtinimo.
Ir naudok DI savo gynybai. DI įrankiai gali padėti ir su saugumu – el. pašto filtravimas, neįprastų veiksmų stebėjimas, automatiniai įspėjimai.
Korporacijos ir mažas verslas – skirtingi pavojai
Didelės korporacijos turi saugumo komandas. Automatines sistemas. Reagavimo protokolus.
Smulkus verslas – ne.
Bet pavojus yra abiem. Net didesnis mažoms įmonėms, nes sukčiai žino, kad apsauga silpnesnė ir atakos kaina mažesnė – tiek jų, tiek tavo.
ES DI Aktas nors ir skirtas daugiau didelėms įmonėms, apibrėžia standartus, kurie gali tapti gairėmis ir mažesnėms. Bent jau žinoti, kas yra „didelės rizikos” DI sistema, verta.
Deepfake nėra mokslinė fantastika
2023 metais deepfake vaizdo įrašas Hong Kongų finansininkui buvo parodytas vaizdo konferencijoje. Visi dalyviai – netikri DI generuoti veidai. Jis pervedė 25 milijonus dolerių.
Tai nebuvo Holivudo trileris. Tai buvo realus sukčiavimas realiais pinigais realiai kompanijai.
Ir technologija nuo 2023-ų tik pagerėjo. Smarkiai.
Technologija neapsaugos. Žmonės – gali
Visų pirma, svarbu suprasti: net geriausia antivirusinė ar ugniasienė neapsaugos nuo to, jei darbuotojas pats atiduos slaptažodį.
Dauguma saukmingų atakų įvyksta ne per techninius pažeidžiamumus, o per žmogų. Per pasitikėjimą. Per skubą. Per maloningumą.
Todėl svarbiausias investavimas į saugumą šiandien – tai kultūra. Klausinėjimo kultūra. Tikrinimo kultūra. Ne paranoja, o sveika abejonė.
Na, o pirmas klausimas, kurį galima sau užduoti dabar: ar mano komanda žinotų kaip reaguoti, jei rytoj gautų netikrą skambutį iš „mano” numerio?
