روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ دیپفیک نام فناوریای است که کارش ساختن کپیهای قانعکنندهای از تصاویر، ویدیوها و صداها با استفاده از هوش مصنوعی است. فناوریهای دیپفیک طی پنج سال گذشته بسیار پیشرفته شدهاند. ایده ساخت موارد جعلی با ترکیب کردن دادههای واقعی و تولیدشده ایدهی جدیدی نیست اما کاربردش در شبکههای عصبی و یادگیری عمیق[1] است که باعث شده این تکنیک روی عکسها، ویدیو و صدای ضبطشده پیاده شود. در گذشته، کیفیت چنین موارد فیکی کم بود و خیلی راحت با چشم غیرمسلح میشد آنها را شناسایی کرد اما حالا شناختن و تشخیص آنها بسیار دشوار شده است. حال حساب کنید کاهش هزینههای ذخیره داده و پردازش و نیز پیدایش نرمافزارهای منبع باز میتواند چقدر به این اتفاق دامن بزند. همه اینها دست به دست داده تا دیپفیک به یکی از خطرناکترین فناوریهای آینده تبدیل شود. با ما همراه باشید تا توضیح دهیم چطور میشود خود را برای تهدیدها دیپفیک آماده کنیم.
چقدر میتواند واقعی به نظر بیاید؟
جولای 2021 مشتاقان، ویدیوی دیپفیکی از مورگان فریمن[2] منتشر کردند که از دریافت ما از واقعیت حرف میزد. ویدیو خیلی واقعی به نظر میرسید اما او مورگان فریمن نبود. حالات صورت، مو و همه جزئیات با کیفیت بالا طراحی شده بود و هیچ نشان واضحی هم از جلوههای ویژه دیده نمیشد. دیپفیکی تمام عیار بود و این نشان میدهد چقدر راحت میشود برداشتمان از واقعیت دستکاری شود.
خطر کجاست؟
اولین خاستگاه دیپفیک صنعت پورن است. مشاهیر و چهرههای برجسته اولین قربانیها هستند اما این حتی برای افراد کمتر شناختهشده هم میتواند پیش آید و برای همین باید خیلی نگران بود. خیلی سناریوها وجود دارد: قلدری در مدرسه، تماسهای کلاهبردارانه با درخواست انتقال پول، اخاذی از مدیران شرکت با بلکمیل یا خرابکاری صنعتی. اوایل شبیه به تهدیدی احتمالی میآمد و حالا دیگر واقعیِ واقعی شده است! اولین مورد شناختهشده حملهای بود به یک شرکت در سال 2019. اسکمرها از فناوری تغییر صدا برای سرقت شرکت انرژی در بریتانیا استفاده کردند. مهاجم خودش را جای مدیرعامل اجرایی زده بود و سعی داشت مبلغ 220 هزار یورو سرقت کند. دومین پرونده معروف سال 2020 در امارات اتفاق افتاد وقتی مهاجمین –با استفاده از دیپفیک- تصمیم گرفتند مدیر بانک را فریب داده و 35 میلیون دلار سرقت کنند! اسکمرها دیگر از خیر ایمیل و پروفایلهای رسانههای اجتماعی گذشتهاند و به متودهای پیشرفتهتر حمله روی آوردهاند: استفاده از دیپفیک صوتی. سناریوی مشابه دیگر سال 2022 رخ داد وقتی اسکمرها سعی داشتند بزرگترین پلتفرم رمزارز را –که Binance نام دارد- فریب دهند. مدیر Binance وقتی شروع کرد به گرفتن پیامهای تبریک در مورد نشست زومی که هرگز در آن شرکت نکرده بود شوکه شد. مهاجمین با تصاویر عمومی او تصمیم گرفتند دیپفیک درست کنند و با موفقیت از آن در طول یک نشست آنلاین استفاده کردند! از این رو علاوه بر تکنیکهای کلاهبرداری سایبری سنتی مانند فیشینگ اکنون با کلاهبرداری دیپفیک هم مواجهیم. دیپفیک برای ارتقای نقشههای سنتی مهندسی اجتماعی نیز استفاده میشود؛ همینطور برای دادن اطلاعات غلط، بلکمیل و جاسوسی. طبق هشدار افبیآی، مدیران منابع انسانی همین الانش با دیپفیکهایی مواجه هستند که مجرمان سایبری از آنها موقع دورکاری استفاده میکردند. مهاجمین میتوانند برای درست کردن دیپفیک از عکس افراد در اینترنت استفاده کنند و بعد دادههای شخصی سرقتی را برای استخدام شدن توسط مدیران منابع انسانی استفاده کنند. این باعث میشود آنها به دادههای کارفرما دسترسی پیدا کرده و حتی در زیساخت سازمانی اقدام به توزیع و پخش بدافزار کنند! بالقوه هر کسب وکاری میتواند در معرض چنین کلابرداری قرار گیرد. تازه این موارد واضحترین و ملموسترین موارد هستند و جالب است بدانید مهاجمین همواره در حال ایجاد روشهای مبتکرانه برای استفاده از چنین حملاتی هستند.
این خطر چقدر واقعی است؟
بله چیزهایی که گفتیم ترسناک است اما چقدرش واقعی است؟ باید بگوییم نه همهاش. ایجاد یک دیپ فیک با کیفیت بالا خیلی هزینهبردار است. اول اینکه برای ساخت دیپفیک دادههای زیادی مورد نیاز است: هرچه مجموعه دادهای که استفاده میشود متنوعتر باشد، میتوانیم دیپفیک را قانعکنندهتر کنیم. اگر در مورد تصاویر ثابت صحبت میکنیم، به این معنی است که برای کیفیت ساختگی، عکسهای اصلی باید از زوایای مختلف، با تنظیمات مختلف روشنایی و نور، و حالات چهره متفاوت سوژه گرفته شوند. همچنین، یک عکس فوری جعلی باید به صورت دستی تنظیم شود (اتوماسیون در اینجا خیلی کارا نخواهد بود). دوم اینکه اگر میخواهید یک جعل حرفهای بسازید، به نرم افزار تخصصی و ظرفیت محاسباتی زیادی نیاز دارید. بنابراین، به بودجه قابل توجهی نیاز دارید. یافتن نرمافزار رایگان و تلاش برای ساختن یک دیپفیک روی کامپیوتر خانگی شما منجر به نتایج غیرواقعی میشود. تماسهای زوم دیپفیک فوق به پیچیدگی این فرآیند میافزایند. در اینجا افراد شرور نه تنها باید دیپفیک بسازند، بلکه باید آن را "آنلاین" بسازند، در حالی که کیفیت تصویر بالا را بدون آثار قابل توجه حفظ میکنند. در واقع، برنامههای کاربردی خاصی در دسترس هستند که به شما امکان میدهند جریان ویدیویی دیپفیک را به طور درلحظه ایجاد کنید، اما میتوان از آنها برای ساختن یک کلون دیجیتالی از شخص از پیش برنامهریزیشده استفاده کرد، نه برای ایجاد هویت جعلی جدید. و انتخاب پیش فرض معمولاً محدود به بازیگران مشهور است (چون تعداد زیادی از تصاویر آنها در اینترنت وجود دارد).
به عبارت دیگر، در حال حاضر یک حمله دیپ فیک کاملاً محتمل است، اما چنین کلاهبرداری هزینه بالایی دارد. در عین حال، ارتکاب انواع دیگر کلاهبرداری معمولاً ارزانتر و در دسترستر بوده بنابراین کلاهبرداری دیپ برای تعداد بسیار کمی از مجرمان سایبری در دسترس است (به خصوص اگر در مورد جعلیهای با کیفیت بالا صحبت میکنیم).
البته، نباید از این بابت خیالمان راحت باشد. این فناوری ثابت نمیماند و در عرض چند سال ممکن است سطح تهدید به طور قابل توجهی افزایش یابد. قبلاً تلاشهایی برای ایجاد دیپفیک با استفاده از مدلهای مولد محبوب مدرن، مانند انتشار پایدار[3]، صورت گرفته است. و چنین مدلهایی به شما امکان میدهند نه تنها چهرهها را تغییر دهید، بلکه بتوانید اشیاء موجود در تصویر را با تقریباً هر چیزی که دوست دارید جایگزین کنید.
راههای مبارزه با دیپفیک
آیا میشود از خودمان و سازمان خود در برابر دیپفیک محافظت کنیم؟ متأسفانه راهحل صد در صدی وجود ندارد. فقط میشود میزان خطر را کاهش داد. مانند هر متود مهندسی اجتماعی دیگری، دیپفیک هم انسانها را هدف میگیرد. و عامل انسانی همیشه ضعیفترین پیوند امنیت یک سازمان بوده است. پس اول از همه ارزش دارد کارمندان خود را در خصوص امکان نین حملاتی آموزش دهید؛ این تهدید تجدید را به همکاران خود توضیح دهید؛ نشان دهید دیپفیک از چه راههایی رخنه میکند و حتی شاید بد نباشد سناریوهای معروف دیپفیک را نشان داده و تحلیل کنید.
نکاتی که باید در تصاویر و عکسها به آنها دقت کنیم:
- حرکت غیرطبیعی چشم
- حرکات و حالات غیرطبیعی صورت
- رنگ غیرطبیعی پوست و مو
- وضعیت عجیب قرارگیری اعضای صورت
- کم بودن حرکت صورت
- حرکت کند اعضای صورت
- دوشاخه شدن ابروها
شاید بد نباشد وقت بگذارید و پروسههای کلی امنیت را تقویت کنید. برای همه فرآیندها احراز هویت دوعاملی به کار ببرید (شامل انتقال دادههای حساس). پیادهسازی فناوریهایی که ناهنجاریها را تشخیص میدهند نیز به شما اجازه میدهد دیپفیک را شناسایی کرده و به رفتارهای نامعمول کاربری واکنش نشان دهید. همچنین دیپفیک با ابزارهایی که ساخت آنها را موجب شدند نیز مهار میشود: یادگیری ماشین. شرکتهای بزرگ مانند توییتر یا فیسبوک از پیش ابزارهایی برای خود ساختهاند که شناسایی دیپفیک را میسر میکند اما متأسفانه هنوز اینها برای دسترس عموم موجود نیستند. و این نشان میدهد جامعه امنیت سایبری اهمیت تهدید دیپفیک را درک کرده و در حال ابداع یا ارتقای روشهایی برای مبارزه با آن است.
[1] deep learning
[2]بازیگر سیاهپوست مشهور هالیوودی
[3] stable diffusion
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
