Deepfake, voice cloning, ChatGPT: de laatste weken zijn ze voortdurend in het nieuws. Vaak niet in positieve zin: oplichters lijken dankbaar gebruik te maken van de snelle ontwikkeling van AI (Artificial Intelligence). Deze ontwikkeling is voor de Fraudehelpdesk reden om in gesprek te gaan met onze deepfake-expert Jeroen Hovenga.
Twee jaar geleden kwam hij binnen als stagiair van de opleiding Security Management bij Saxion Hogeschool. Hij deed onderzoek naar deepfakes en hoe deze gebruikt kunnen worden om fraude te plegen. Tijdens zijn onderzoek zette hij ook zelf een deepfake-video in elkaar.
Sindsdien is er veel veranderd: was het maken van een deepfake twee jaar geleden nog iets waarvoor je op allerlei obscure forums een vage handleiding moest ophalen, tegenwoordig kan iedereen voor een tutorial ‘deepfake maken’ terecht op YouTube.
In dit blog gaan we in op de gevaren van deepfake en andere vormen van AI voor bedrijven en natuurlijk vooral op het voorkomen van schade door fraude via deepfake/AI.
Wat is deepfake?
Wikipedia omschrijft deepfake als volgt: Deepfake (een samentrekking van de Engelse woorden deep learning en fake) is een techniek voor het samenstellen van menselijke beelden op basis van kunstmatige intelligentie.[1]
Anders gezegd: deepfake is een digitale aanpassing van gezicht en/of lichaam, waarbij het beeld dat zo gecreëerd wordt, overeenkomt met een andere, al dan niet bestaande persoon. De technieken achter deepfake zijn inmiddels zo goed, dat het vrijwel niet meer mogelijk is om met het blote oog te zien dat het om een vervalsing gaat.
De software achter deepfakes heeft een grote hoeveelheid beeldmateriaal nodig om een overtuigende deepfake te creëren: met het beschikbare beeldmateriaal traint het programma net zo lang tot de deepfake niet meer van echt te onderscheiden is. Dit kost honderden uren.
Deepfake en CEO-fraude
Hoewel deepfake ook legaal wordt ingezet, in b.v. de film- en amusementsindustrie, duikt deepfake helaas in toenemende mate op in fraudezaken. Met name CEO-fraude leent zich goed voor het gebruik van deepfake: de CEO van een bedrijf wordt overtuigend in beeld gebracht en geeft opdracht tot een grote betaling. Het geld dat te goeder trouw wordt overgemaakt verdwijnt naar de oplichters achter de deepfake.
Oplichters gebruiken publiciteitscampagnes, interviews en wat zij verder maar aan beeldmateriaal van een CEO (of andere beslisser) kunnen vinden om tot een geloofwaardige deepfake te komen. In het slechtste geval wordt met behulp van hacking of een datalek ook nog toegang verkregen tot beeldmateriaal dat alleen binnen het bedrijf beschikbaar is.
Het gebruik van deepfake lijkt zich vooralsnog met name te richten op grotere bedrijven: er moet immers voldoende beeldmateriaal zijn en dat is er vaak vooral van zeer grote bedrijven. En er moet bij een bedrijf wel genoeg te halen zijn voor een oplichter, want hij heeft zeer veel tijd gestoken in het maken van een geloofwaardige deepfake. De ontwikkelingen rond AI gaan echter snel en het is een kwestie van tijd voor de techniek makkelijker en goedkoper inzetbaar wordt.
Het is waar dat lang niet alle bedrijven te maken zullen krijgen met deepfake. Dat wil niet zeggen dat ze daarmee ook geen last hebben van CEO-fraude: ook kleine bedrijven, stichtingen en verenigingen krijgen te maken met deze vorm van oplichting. Daarvoor worden andere AI-middelen ingezet, zoals voice cloning en ChatGPT. Een telefoontje, WhatsAppberichtje of e-mailtje van de baas met daarin een betaalverzoek wordt zo goed nagebootst dat het niet van echt te onderscheiden is. Bovendien kan met behulp van hacking zo’n appje of e-mail daadwerkelijk vanaf het account van de leidinggevende verstuurd worden.
Welke maatregelen nemen?
Dat roept de vraag op of er dan nog wel iets te doen is tegen een fraudevorm als CEO-fraude. Weten dat het bestaat is belangrijk, maar deepfake voorkomen is onmogelijk, is de stellige overtuiging van Jeroen Hovenga. Ook voice cloning en het uitstekend vervalsen van e-mails of appjes zal eerder toenemen dan verdwijnen. Daarom pleit Jeroen ook niet zozeer voor het leren herkennen van deepfakes en andere vervalsingen. Veel zinvoller is het om te investeren maatregelen rond cyberveiligheid. Zodat er drempels opgeworpen worden die het oplichters lastiger maken schade aan te richten.
Het eerste dat daarvoor moet gebeuren is dat ondernemers cyberveiligheid serieus nemen. Het hoort een terugkerend onderwerp te zijn in het opzetten en uitbouwen van het bedrijf. Zoals nagedacht wordt over het inrichten van de administratie of de website, zo moet ook een plan gemaakt worden rond cyberveiligheid. Hoe richten we onze ICT-systemen in, hoe beschermen we onze data, wat doen we bij een cyberaanval of een datalek? Maar ook: welke gegevens delen we met wie en waar doen we dat? De Fraudehelpdesk heeft een aantal handige sites en hulpmiddelen op een rijtje gezet die kunnen helpen bij het ontwikkelen van een gedegen plan rond cyberveiligheid.
Daarnaast zijn er een paar simpele, maar doeltreffende maatregelen die particulieren en ondernemers veel ellende kunnen besparen. Jeroen noemt er drie:
- Maak gebruik van sterke en unieke wachtwoorden voor al je accounts.
- Stel waar mogelijk 2-stapsinlog in.
- Klik niet op linkjes en downloads zonder gecontroleerd te hebben of ze betrouwbaar zijn.
Wie zo bewust omgaat met cyberveiligheid hoeft niet meteen te schrikken van de snelle ontwikkeling van AI, maar kan met vertrouwen blijven ondernemen!