ШІ на службі у шахраїв: розмовляє, пише, копіює обличчя та голос – як не потрапити у пастку
Прогрес не стоїть на місці – разом із технологіями прогресують і способи відбирання грошей у населення. Коротко про продовжує розповідати про найпопулярніші методи шахраїв, цього разу – про те, як на кримінальну стежку з подачі лиходіїв став штучний інтелект.
Крадуть голоси та обличчя
Останніми днями набирає «популярність» шахрайство з Telegram-«кружечками» – короткими відеоповідомленнями. Після злому облікового запису шахраї за допомогою нейромереж підробляють голос і обличчя власника телеграм-каналу і записують відео з проханням позичити грошей.
Аналогічно працюють і "голосовухи" - голосові записані повідомлення в соцмережах. Зразки голосу також отримують зі зламаних облікових записів, а якщо ще накладається і фоновий шум – наприклад, рух автомобілів або шум річки, то розпізнати голос буває вкрай важко. ШІ генерує аудіо з урахуванням особливостей мови жертви, а вже розіслати за контакт-листом таку «голосовуху» - справа кількох секунд.
Вершина шахрайської майстерності – дипфейки-відео для обману працівників. Справді, якщо в робочому чаті з'являється схвильоване обличчя керівника, який просить колектив «скинутися» на термінові потреби або взяти участь у благодійному зборі, скинувши не менше такої суми на такий номер карти, - як зрозуміти, що це не шановний шеф, а підробка з нейромережі? Так само працюють дипфейки співробітників поліції та інших органів.
Не піддавайтеся спокусі, не дивіться відео, що надійшло від невідомих. Фото: ФБ Центр протидії дезінформації
Пишуть ідеальні листи
Штучний інтелект не лише гарно імітує голос і обличчя, а й пише без помилок і за всіма правилами граматичної науки. Саме він розсилає «листи з банку» з вимогами «Підтвердити обліковий запис» або «Оновити дані», послужливо додаючи посилання для «підтвердження» та «оновлення». Тільки це фішингове посилання веде не на сторінку банку, а прямо на банківський рахунок жертви, звідки списується все повністю.
Можна припустити, що співробітники банків – аси в правописі, але все ж таки краще всі процедури проводити на офіційному банківському сайті, адреса якого набирається руками або знаходиться в закладках на панелі браузера.
Іноді шахрайський лист виглядає як ввічливе повідомлення від техпідтримки з тією самою пропозицією – пройти за посиланням та верифікувати обліковий запис.
Знають, на що натиснути
Шахраям не потрібен ШІ, щоб знати наші слабкі місця. Ми всі переживаємо за своїх дітей, багато хто з нас хотів би поміняти роботу або знайти спосіб заробітку, щоб при цьому не дуже напружуватися.
І вуаля! У месенджері вже лежить повідомлення від «друга» зі списку контактів із проханням проголосувати за доньку на співочому конкурсі чи за сина – на спортивному, чи за «дитину мого друга, якого знаю особисто». І посилання одразу веде на фішинговий сайт, де потрібно ввести код із СМС. І замість «Ваш голос зарахований» на гаджет прийде повідомлення про чужий вхід у зламаний аккаунт. І далі за вже описаними схемами.
А ось і канали у соцмережі з обіцянками «гарантованого доходу» від інвестицій у криптовалюту. Не треба напружуватися, просто перерахувати невелику суму і чекати, коли вона збільшиться вдесятеро. Чекати можна довго, не підозрюючи, що вже увійшов до складу фінансової піраміди, бо кожне спілкування з гарантами вкладень передбачає перерахування невеликих додаткових сум.
Можна ще потрапити на вудку з рекламою напрочуд високого кешбеку від якогось банку. Купив на тисячу - кеша прийде на дві!.. Це ШІ тисне на нашу больову точку, яка називається "брак грошей". І ось пильність дає збій, і хтось уже йде за посиланням у далеке "далеко", де дані його карти вже переписані і з неї почали зніматися гроші.
Окремий вид шахрайства – підроблені вакансії з анкетами. Шахраї розміщують оголошення про роботу, створені ШІ, та просять заповнити анкету з особистими даними (паспорт, номер картки). І хоча цей метод вже вважається застарілим, знаходяться унікуми, які відправляють незнайомим людям свої персональні дані. Після цього кіберполіція розводить руками разом із представниками банку: що вони можуть зробити, якщо громадянин сам, без тиску та погроз, передав невідомо кому серію та номер паспорта, ІПН, номер картки та ті три цифри, які нікому не слід говорити? І чим займається його вкрадена особистість – хто скаже?
Як "родзинка" – СМС з текстом «Ви записані на прийом». До кого, куди – деталі за посиланням, звичайно, фішинговим. Ми так часто кудись записуємося – хто в лікарню, хто на миття авто – що у нас ця есемеска напевно не викличе підозр. Хіба що невиразну думку: «О, щось я не пам'ятаю про те, що записаний».
Варто зупинитися та подумати – куди? І згадати, що нікуди...
Ще одна «родзинка» – фальшиві квитанції ЖКГ. ШІ генерує реалістичні рахунки за комунальні послуги з QR-кодами, які ведуть на шахрайські сайти, де жертви вводять дані карток. Розпізнати складно, але… Але тільки тому, хто розбирається хоча б трохи. Що робити бабусям та дідусям, акуратним платникам за всіма квитанціями, які вони знаходять у поштових скриньках?
Останніми днями шахраї розсилають повідомлення «з секретом» «Ви записані на… ». Фото: ФБ Центр протидії дезінформації
І що робити?
Навіть розумні та освічені люди стають жертвами кібершахраїв, бо штучний інтелект бере на себе лише технічну частину роботи, а от психологічну розробляють поки що люди. Які знають, як і які кнопки нашої психіки натискати.
Причина 1: емоції переважують логіку. Шахраї експлуатують страх (загроза блокування акаунту), жадібність (вигідні пропозиції) або співчуття (прохання про допомогу). Ну як не проголосувати за дочку друга? Чи не виконати прохання начальника?
Причина 2: довіра до технологій. ШІ робить фальшивки настільки реалістичними (голос, відео, текст), що їх важко відрізнити від справжніх.
Причина 3: брак часу. У поспіху люди не перевіряють деталі (наприклад, адреса посилання), клацають у гаджеті на бігу, не особливо замислюючись над тим, що саме вони натискають і на що погоджуються.
Причина 4: соціальна інженерія. Шахраї використовують особисті дані із соцмереж, щоб викликати довіру. Життя напоказ та бажання похвалитися кращою стороною свого життя – наприклад, фотографіями з відпустки, з гарним букетом, з новою зачіскою та дітьми – виходять нам боком.
Ці прості поради допоможуть мінімізувати збитки від дій шахраїв та штучного інтелекту:
- Не говоріть «так» у телефонних розмовах. Це слово може бути записано та використано для підробки голосу. "Алло", "слухаю", "угу", "можливо" - можна додати і свої безпечні варіанти згоди.
- Перевіряйте усі посилання. Наведіть курсор на URL, щоб побачити цю адресу.
- Використовуйте двофакторну автентифікацію. Це ускладнить зламування акаунтів.
- Не ділитесь особистими даними навіть у «нешкідливих» анкетах, опитуваннях, петиціях. Згадайте, скільки документів «Згода на передачу особистих даних» ви підписували, наприклад, у поліклініці – і подумайте, чому тут не дають гарантії їхньої безпеки.
- Перевірте ще раз через інші канали: Якщо «друг» просить гроші в Telegram, зателефонуйте йому безпосередньо.
- Обмежте голосові повідомлення. Чим менше записів – менше матеріалу для ШІ-підробок. Або хоча б видаляйте вже прослухані повідомлення.
- Встановіть хоча б якийсь антивірус.
Як пояснити бабусі та дитині
Навряд чи людина поважного віку зрозуміє слова «двофакторна автентифікація» і чого хоче від неї ввічливий «працівник безпеки банку». І чому дочка дзвонить не як завжди, по телефону, а навіщось записує відео в соцмережі.
Звичайно, можна умовити людей похилого віку відразу класти трубки і не відповідати на підозрілі прохання. Але не всі пам'ятають правила цифрової безпеки. Тому варто написати великими літерами на видному місці щось на зразок пам'яток:
- «Банк ніколи не дзвонить першим без твого запиту. Не розмовляй з ними, скинь дзвінок і подзвони мені звичайним телефоном».
- «Якщо у слухавці хтось каже, як робот, – це робот. Не розмовляй з ними, скинь дзвінок і подзвони мені».
- «Просять код із СМС або кажуть, що зламаний твій пенсійний рахунок – нічого не роби. Клади трубку і дзвони мені, я розберуся».
- «Наше кодове слово – паляниця (або будь-яке інше). Якщо «я» тобі дзвоню не по телефону, а по соцмережі – запитай, яке наше кодове слово. Якщо «я» не відповім – скидай дзвінок. Якщо «я» прошу грошей – скидай дзвінок та дзвони мені по телефону».
- «Прийшло посилання від подруги на листівку до Великодня – не відкривай. Має прийти листівка, а не посилання на неї. Закривай соцмережу та дзвони мені».
Так само варто навчити і дітей, особливо їм сподобається вибирати кодове слово.
Варто пам'ятати: ШІ розвивається дуже швидко. Ось-ось він заговорить регіональними мовами та діалектами, видаючи себе за місцевих чиновників чи родичів. Можливо, скоро навчиться інтонувати та робити паузи у розмові. Про дипфейки і говорити не доводиться - ми ще сьорбнемо з ними горя. Тому увага та зібраність – те, що допоможе нам не потрапити на цифрову вудку шахраїв.
