روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ محققین تهدید سایبری مدت‌هاست در خصوص خطرات رو به افزایش دیپ‌فیک‌ها هشدار می‌دهند. مشخصاً آن‌ها توصیه می‌کنند حتی به گوش‌های خود نیز اعتماد نکنید: در عصر دیجیتال هوش مصنوعی صدای آن سوی خط ممکن است متعلق به کسی که فکر می‌کنید نباشد. مردمان چند صد سال پیش هم نمی‌توانستند به گوش‌های خود اعتماد کنند. باور نمی‌کنید؟  سرقت هویت از اکانت بانکی در فیلمی در همین سال به زیبایی به تصویر کشیده شد. به دنیای مجموعه فیلم های صامت فرانسوی Les Vampires (ومپایرها) خوش آمدید.

ومپایرها

یک اسپویلر سریع: اگر دنبال دیوها فراطبیعی هستید که خون می‌مکند مأیوس خواهید شد. کاراکتر اصلی خبرنگاری است به نام فیلیپ گراند که با گنگی بزهکار آشنا می‌شود که نام خود را گذاشته‌اند خون‌آشام‌ها! این فیلم باوجود قدمتش از لحاظ امنیت سایبری هنوز هم ایده‌های جدیدی برای ارائه دارد. همین بس که در سکانس اول فیلم نشان داده می‌شود چرا دسترسی افراد خارجی به داکیومنت‌های کاری قدغن است. خود فیلم ومپایرها به دلیل استفاده از متودهای های‌تکِ آن زمان معروف است. بخش اعظمی از اپیزود سوم (به نام کدبوکِ قرمز) بستری است برای تحلیل کریپتویی: گراند به دنبال الگوهایی در یادداشت‌های رمزگذاری‌شده‌ی اشرار است. و در اپیزود هفتم (به نام ساتاناز[1]) تلاش شده تا هویت دیگری کپی شود. اما چطور کسی می‌تواند با تجهیزات اوایل قرن بیستم دست به سرقت هویت بزند؟

سرقت هویت در سال 1915

خلاصه بگوییم: نقشه مجرمان اینطور پیش رفت: ومپایرها متوجه می‌شوند که جورج بالدوین سرمایه‌دار آمریکایی قرار است به پاریس سفر کند؛ جایی که آن‌ها تصمیم می‌گیرند پولش را بدزدند. برای انجام این کار آن‌ها دست به اجرای حمله‌ای چندمرحله‌ای می‌کنند. ابتدا، ترتیب مصاحبه‌ای با این میلیونر می‌دهند. خبرنگاری که از او مصاحبه می‌کند رفیق خودشان لیلی فلاور هست که جعل هویت کرده (خبرنگاری برای مجله زن مدرن). او به بالدوین می‌گوید این مجله هر ماه سخن یک چهره مشهور را چاپ می‌کند و بعد از او می‌خواهد در دفتری چند خطی یادداشت بگذارد؛ سپس تاریخ بزند و امضا کند. سپس فروشنده‌ای ادعا دارد از شرکت جهانی پورن است که آمده با این میلیونر دیداری داشته باشند و از جدیدترین فناوری صحبت کند: اولین دستگاه مخصوص ضبط و بازتولید صدا. او به بالدوین توضیح می‌دهد که خط مشی شرکت او چنین است که صدای افراد مشهوری که از پاریس دیدن می‌کنند ضبط می‌شود. میلیونر آمریکایی که حالا خام این دسیسه شده تنها کلمه‌ای را که به فرانسوی بلد است ادا می‌کند: «زنان پاریسی جذاب‌ترین زنانی هستند که تا به حال دیده‌ام». و بعد در ادامه توضیح به انگلیسی می‌گوید «بسیار خوب!». طبیعت کلی این اسکم سپس برای تماشاگر برملا می‌شود. هدف از این مرحله اول البته که سرقت امضای این سرمایه‌دار بود. زیر برگه‌ای که امضای بالدوین پایش خورده بود کاغذ کاربونی گذاشته بودند که تاریخ و شکل امضا را کپی می‌کرد. بالای آن هم مجرمان سفارش جعلی می‌زنند که بانک New American را مجاب می‌کند به لیلی (خبرنگار قلابی) مبلغ 100 هزار دلار آمریکا (همین الانش این مبلغ زیاد است؛ چه برسد به یک قرن پیش!) پول پرداخت کند.

سپس اپراتور تلفن هتل بالدوین را جعل کرده که البته مدیریت هتل دست مجرمان را خوانده و توضیح می‌دهد اپراتور جعل شده و کار تیم خودش نیست. در همین حین لیلی با دستور پرداخت جعلی به بانک می‌رود. صندوقدار تصمیم می گیرد که مشروعیت معامله را بررسی کند و با هتلی که بالدوین در آن اقامت دارد تماس بگیرد. در آنجا، اپراتور تلفن جعلی صدای ضبط شده میلیونر را پخش می‌کند که در آن تکیه کلام خود را به زبان می‌آورد، که صندوقدار را متقاعد می‌کند پول را پرداخت کند.

این ترفند چقدر امکان‌پذیر است؟

بیشترش چرند است! چطور می‌شود صندوق‌دار پاریسی در بانک آمریکا سال 1915 امضا را بلد باشد؛ تازه محال‌تر اینکه صدای این میلیونر آمریکایی را نیز بداند. این را هم نگوییم که خطوط تلفنی آن زمان طوری بود که اصلاً نمی‌شد صدای فرد پشت خط را تشخیص داد. پس نتیجه می‌گیریم که این نقشه شاید پیاده‌سازی کلاسیک آنچه اکنون بدان حمله مرد میانی می‌گوییم است- صندوق‌دار مطمئن است صدا به بالدوین تعلق دارد. افزون بر این، فیلم نشانگر دور زدن احراز هویتی دوعاملی است: سرقت امضا و تأیید صدای فیک. مطمئناً همه اینها با استفاده از فناوری‌های دیجیتال قابل انجام است اما سناریوی اصلی حمله یکی است. در نتیجه راه‌های مقابله را می‌توان از یک قرن پیش تدوین کرد:

•         به خارجی‌ها اجازه دسترسی به کانال‌های ارتباطی ندهید.
•         اطلاعات شخصی و محرمانه را با هیچ‌کس به اشتراک نگذارید (حتی بیومتریک‌های صدا و امضا)
•         اگر شک داشتید با دقت مشروعیت دستورالعمل را بررسی کنید (عبارت: زنان پاریسی جذاب‌ترین زنانی هستند که تا به حال دیده‌ام) تأیید محکمی نیست.

امروز می‌توانید براحتی فیلم را در ویکی‌پیدا جستجو کنید. اما اگر کارمندانتان از فیلم صامت درس‌های امنیت سایبری نمی‌گیرند توصیه می‌کنیم در عوض از پلت‌فرم تعاملی Kaspersky Automated Security Awareness استفاده کنید.

[1] Satanas

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.