Indyjski baron tekstylny ujawnił, że został oszukany na 70 milionów rupii (833 000 dolarów) przez internetowych oszustów podszywających się pod śledczych federalnych, a nawet prezesa Sądu Najwyższego.
Oszuści podający się za funkcjonariuszy indyjskiego Centralnego Biura Śledczego (CBI) zadzwonili 28 sierpnia do SP Oswala, prezesa i dyrektora zarządzającego producenta tekstyliów Vardhman, i oskarżyli go o pranie pieniędzy.
Przez następne dwa dni Oswal był pod cyfrowym nadzorem, po czym nakazano mu, aby Skype był otwarty w jego telefonie przez całą dobę, 7 dni w tygodniu, podczas którego był przesłuchiwany i grożono mu aresztowaniem. Oszuści przeprowadzili także fałszywą wirtualną rozprawę sądową, w której cyfrowym podszywał się pod Prezesa Sądu Najwyższego Indii DY Chandrachuda jako sędziego.
Oswal zapłacił tę kwotę po wyroku sądu za pośrednictwem Skype’a, nie zdając sobie sprawy, że padł ofiarą internetowego oszustwa wykorzystującego nowy sposób działania, zwany „aresztowaniem cyfrowym”.
Czym więc jest aresztowanie cyfrowe i jakie środki są wymagane, aby je powstrzymać?
Czym dokładnie jest aresztowanie cyfrowe?
Zatrzymanie cyfrowe to nowa forma oszustwa internetowego, podczas której oszuści przekonują ofiary, że są aresztowani „cyfrowo” lub „wirtualnie”, a ofiarę zmusza się do utrzymywania kontaktu z oszustem za pośrednictwem oprogramowania do wideokonferencji. Następnie oszuści manipulują swoimi celami, tak aby utrzymywały ciągły kontakt wideo, skutecznie trzymając je jako zakładników oszukańczych żądań oszustów.
Podobnie do phishingu, aresztowanie cyfrowe to rodzaj cyberataku polegającego na nakłonieniu osób do ujawnienia poufnych informacji, co może wiązać się z kradzieżą tożsamości, stratą finansową lub kradzieżą danych w złych celach. Techniki te stały się bardziej wyrafinowane wraz z pojawieniem się dźwięku i obrazu generowanego przez sztuczną inteligencję.
Phishing to cyberatak, podczas którego osoba atakująca podszywa się pod legalną organizację lub osobę, aby oszukać tę osobę lub organizację w celu ujawnienia poufnych informacji.
Oszust poniesie ogromne straty, finansowe lub inne konsekwencje prawne, przekonując ofiarę, że „jest tu, aby pomóc”. Wiele ofiar daje się uśpić lub zmusić do opuszczenia czujności i zastosowania się do instrukcji oszusta.
Tym, co sprawia, że wiele z tych oszustw wydaje się uzasadnionych, jest użycie oprogramowania do wideokonferencji. Większość oszustw ma charakter beztwarzowy, a interakcje odbywają się poprzez zwykłą rozmowę telefoniczną. Dzięki oprogramowaniu do wideokonferencji osoba korzystająca z zaawansowanej technologii wideo typu deepfake może wyglądać jak zupełnie inna – często prawdziwa – osoba uczestnicząca w rozmowie wideo.
Co więcej, za pomocą fragmentu dźwięku, na przykład od sędziego lub funkcjonariusza policji wysokiego szczebla, silnik audio AI może odtworzyć głos danej osoby, który może następnie zostać wykorzystany przez oszusta.
„To po prostu nowomodny phishing typu spear, tak bym to ujął, ponieważ jest wysoce ukierunkowany i pokazuje znacznie większą świadomość sytuacji ofiary niż stary phishing, podczas którego jakiś skądś książę twierdzi, że musi przesłać pieniądze w USA i w jakiś sposób tylko dzięki tobie może tego dokonać” – powiedział Al Jazeera VS Subrahmanian, profesor informatyki na Northwestern University.
„Oszustwa typu phishing stały się więc znacznie bardziej wyrafinowane i można je opisać słowami. Vishing to phishing wideo, phishing to łowienie poprzez SMS-y.”
Co wiemy o historii SP Oswala? Czy miały miejsce inne aresztowania cyfrowe?
Według wywiadu dla nowego kanału NDTV, Oswal odebrał telefon od anonimowej osoby, która twierdziła, że na jednym z jego rachunków bankowych wystąpiły nieprawidłowości finansowe, a jednocześnie twierdził, że jego konto jest powiązane ze sprawą przeciwko Nareshowi Goyalowi, byłemu prezesowi Jet Airways, który został aresztowany we wrześniu 2023 r. za pranie 5,3 miliarda rupii (64 mln dolarów).
Po wydaniu fałszywych nakazów aresztowania i fałszywych dokumentów Sądu Najwyższego określających rzekomą należność oszuści zdołali przekonać Oswala do wpłacenia 833 000 dolarów na określone konto bankowe.
Po zdarzeniu Oswal złożył skargę do lokalnej policji. Z pomocą urzędników zajmujących się cyberprzestępczością Oswalowi udało się odzyskać 630 000 z 833 000 dolarów. Według lokalnej policji jest to największa liczba odzyskanych osób w Indiach w tego rodzaju przypadku.
Chociaż Oswal jest najnowszą ofiarą cyfrowego oszustwa typu phishing, w ostatnich latach w Indiach wzrosła liczba aresztowań cyfrowych. Rozpowszechnianie się wielu z tych aresztowań cyfrowych nabrało tempa około 2020 r., po tym jak wiele usług zostało przeniesionych do Internetu z powodu blokad podczas pandemii Covid-19.
W zeszłym miesiącu pracownik pracujący w Centrum Zaawansowanych Technologii Raja Ramanna (RRCAT) w ramach Departamentu Energii Atomowej został oszukany na kwotę 7,1 miliona rupii (około 86 000 dolarów) w wyniku aresztowania cyfrowego.
W zeszłym miesiącu podczas innego incydentu wyższy rangą urzędnik z National Buildings Construction Corporation został oszukany na 5,5 miliona rupii (około 66 000 dolarów) za pośrednictwem rozmowy wideo WhatsApp po tym, jak został oskarżony o handel fałszywymi paszportami, nielegalnymi kartami bankomatowymi i nielegalnymi narkotykami.
Dlaczego rośnie liczba wyrafinowanych oszustw wideo opartych na sztucznej inteligencji?
Chociaż technologia deepfake istnieje na rynku od 2015 r., jej wykorzystywanie w oszukańczych schematach stało się częstsze i bardziej wyrafinowane ze względu na przyspieszenie uczenia maszynowego i różnych narzędzi sztucznej inteligencji.
Te nowe technologie deepfake pozwalają oszustowi osadzić dowolną osobę na świecie w filmie lub zdjęciu, a nawet dodać dźwięk za pomocą fałszywego strumienia multimedialnego AI, a następnie udawać osobę podczas połączenia wideokonferencyjnego, takiego jak Zoom, Skype lub Teams. O ile gospodarz połączenia nie posiada oprogramowania chroniącego przed deepfake’ami, deepfake może być trudny do wykrycia.
Według artykułu opublikowanego w dzienniku Wall Street Journal (WSJ) w marcu 2019 r. oszuści wykorzystali sztuczną inteligencję głosową do oszukania dyrektora generalnego brytyjskiej firmy energetycznej na kwotę 220 000 euro (243 000 dolarów).
Niektóre programy typu deepfake potrzebują jedynie 10 sekund do minuty dźwięku mówiącej osoby, aby odtworzyć różne wzorce mowy, emocje i akcent tematu. Oprogramowanie głosowe AI uwzględnia nawet naturalne pauzy, fleksję niektórych liter i wysokość głosu, dzięki czemu replika jest praktycznie nie do odróżnienia od dźwięku faktycznie pochodzącego od prawdziwej osoby.
Według „New York Timesa”. artykułw zeszłym miesiącu rozmówca podający się za byłego ministra spraw zagranicznych Ukrainy Dmytro Kuleby podczas rozmowy wideokonferencyjnej z senatorem Benjaminem L. Cardinem, przewodniczącym Komisji Spraw Zagranicznych.
Chociaż nie doszło do oszustwa pieniężnego, stwarza to ryzyko, że oszuści mogą manipulować kluczowymi przywódcami politycznymi, aby wpłynąć na określone wyniki wyborów politycznych lub ważne inicjatywy w zakresie polityki zagranicznej.
Choć aresztowania cyfrowe miały miejsce w różnych krajach na całym świecie, według Subrahmaniana, profesora z Northwestern University, oszustwa te są w Indiach powszechne ze względu na brak świadomości na temat deepfake’ów.
Ponadto Subrahmanian powiedział, że znaczna część populacji Indii korzysta wyłącznie z telefonów komórkowych. „Uważają telefon za coś, czemu powinni zaufać i który zapewnia dobre informacje. Kiedy więc dostają taki telefon, niekoniecznie od razu mu nie ufają.
Dodał, że indyjski sektor telekomunikacyjny nie potraktował poważnie cyberbezpieczeństwa.
Jak można to zatrzymać?
Większość oprogramowania typu deepfake jest tworzona przy użyciu modelu sztucznej inteligencji (AI) zwanego generatywnymi sieciami kontradyktoryjnymi (GAN). Te sieci GAN często pozostawiają unikalny „artefakt” w deepfake’u.
System wykrywania deepfake może wykryć te artefakty. Takie artefakty osadzone w dźwięku można rozpoznać za pomocą systemu wykrywania deepfake.
W miarę jak technologia deepfake staje się coraz bardziej wyrafinowana, systemy wykrywania będą musiały nadążać za tymi innowacjami.
Subrahmanian zasugerował jednak, że poleganie wyłącznie na oprogramowaniu do wykrywania deepfake nie wystarczy. Konieczne będzie budowanie świadomości na temat tych technologii deepfake i być może globalna inicjatywa, podobna do przepisów dotyczących prywatności uchwalonych przez Unię Europejską w ramach ogólnego rozporządzenia o ochronie danych (RODO).
„Jednym z nich jest wykorzystanie istniejących porozumień, które już istnieją. Aby dać wam przykład, Interpol może wystawiać nakazy aresztowania osób dopuszczających się oszustw międzynarodowych, niezależnie od tego, czy oszustwa te opierają się na oszustwach finansowych wykorzystujących generatywną sztuczną inteligencję, czy na czymś innym”.
Organizacje odpowiedzialne za egzekwowanie prawa międzynarodowego i umów o współpracy potrzebują lepszych szkoleń i skuteczniejszych narzędzi, stwierdził.
