Fraudeurs gebruiken steeds vaker deepfakes om bedrijven op te lichten – kunnen we ze stoppen?

Deepfakes worden steeds vaker ingezet om bedrijven en hun werknemers op te lichten. Hierbij wordt gebruikgemaakt van volledig valse identiteiten op basis van illegaal verkregen gegevens.
Industries: Werk
  • Wat zijn deepfakes? 
  • Verschillende categorieën deepfake-gerelateerde bedreigingen
  • Een aantal voorbeelden van de risico’s van deepfakes
  • Wat kunnen we doen om misbruik van deepfakes te voorkomen?

De term ‘deepfakes’ doet misschien al een belletje rinkelen, omdat het steeds vaker opduikt in nieuwsberichten en technische rapporten, meestal met betrekking tot nepvideo’s van politici. Een algemeen bekend voorbeeld hiervan is de video waarin voormalig president Barack Obama bepaalde dingen zegt die hij in werkelijkheid nooit heeft gezegd. Veel mensen geloofden destijds dat deze video echt was, wat de gevaren van deze deepfakes laat zien – mits ze overtuigend worden gemaakt, natuurlijk. Deze techniek wordt ook steeds vaker gebruikt voor het oplichten van bedrijven, vooral in de technologiesector.  

Wat zijn deepfakes? 

In een wereld die zich steeds meer online afspeelt is het veel makkelijker om je voor te doen als iemand die je niet bent. Valse identiteiten bestaan al heel lang, sinds voordat het internet zelfs maar werd uitgevonden. Maar dankzij de online databases waar gevoelige persoonlijke gegevens worden opgeslagen, kunnen hackers veel eenvoudiger toegang krijgen tot een enorme hoeveelheid privacygevoelige informatie over vrijwel iedereen. Deze persoonsgegevens maken het voor een cybercrimineel relatief eenvoudig om zich voor te doen als iemand anders, en deepfakes gaan zelfs nog een stapje verder. Een deepfake is gemanipuleerde content waarin bijvoorbeeld de oorspronkelijke opgenomen persoon wordt verwisseld met iemand anders, of iets zegt dat hij of zij normaal nooit zou zeggen. Het concept van deepfakes is een combinatie van de termen ‘deep learning’ (letterlijk ‘diep leren’, een specifieke vorm van machine learning) en ‘fake’ (nep). Om de deepfakes te creëren is een AI-algoritme nodig, dat de verzamelde data op verschillende niveaus kan analyseren. Audio- en video-opnames kunnen bijvoorbeeld op deze manier worden geanalyseerd, en het algoritme leert dan alles dat er te weten valt over de persoon in kwestie. Met deze inzichten kan bestaand beeldmateriaal worden gewijzigd en vervolgens worden gebruikt voor het doel dat de fraudeur voor ogen heeft.

Bedrijven worden steeds vaker doelwit: cybercriminelen maken een deepfake-video van een bepaalde persoon en gebruiken deze vervolgens om bedrijven af te persen, naar banen binnen het bedrijf te solliciteren, of zich voor te doen als een specifieke werknemer

Verschillende categorieën deepfake-gerelateerde bedreigingen

Als een cybercrimineel zich kan voordoen als een andere persoon door deepfakes te gebruiken, zullen ze deze techniek ook voor allerlei verkeerde doeleinden kunnen inzetten. De laatste tijd zijn bedrijven een populair doelwit geworden voor deze fraudeurs. Ze maken een deepfake-video van een bepaalde persoon en gebruiken deze vervolgens om bedrijven af te persen, naar banen binnen het bedrijf te solliciteren, of zich voor te doen als een specifieke werknemer – en dit kan zelfs de CEO in hoogsteigen persoon zijn. Dit kan leiden tot verspreiding van misleidende informatie, identiteitsdiefstal en ook wantrouwen en wangedrag op de werkvloer. Twee concrete voorbeelden van deze risico’s komen verderop in dit artikel aan bod. Er zijn verschillende categorieën deepfake-gerelateerde bedreigingen, die allemaal van toepassing kunnen zijn op de bedrijfssector. Dit zijn: traditionele vormen van cybercriminaliteit (fraude of afpersing), juridische risico’s (het vervalsen van elektronische informatie en materiaal), maatschappelijk wangedrag (het zorgen voor  sociale onrust, en dit kan ook voorkomen binnen een zakelijke setting) en persoonlijke intimidatie (wangedrag op de werkvloer, vaak gericht op vrouwen). Over het algemeen zijn de subtypen van juridische risico’s en traditionele cybercriminaliteit het meest zichtbaar in de context van het oplichten van bedrijven. De fraudeurs proberen de ondernemingen – of beter gezegd, de werknemers – af te persen of te misleiden om hen geld te geven, en ze worden hier steeds inventiever mee. Niet alleen bedrijven zelf, maar ook de federale overheid maken zich steeds meer zorgen over deze ontwikkelingen. Om deze reden zijn er sinds 2020 verschillende wetten van kracht om de slachtoffers van deepfakes te beschermen en te helpen. 

Een aantal voorbeelden van de risico’s van deepfakes

Hier zijn enkele voorbeelden van de verschillende manieren waarop deepfakes worden gebruikt voor oplichting en het stoken van onrust binnen bedrijven.

Intimidatie en wangedrag op de werkvloer 

Zoals eerder beschreven kunnen cybercriminelen zich voordoen als iedereen tot wiens gegevens ze toegang hebben. Met andere woorden, ze zijn in staat om de stem van de CEO van een bepaald bedrijf te gebruiken om op een geloofwaardige manier met de werknemers te communiceren. Dit houdt in dat ze een werknemer kunnen vragen om geld over te maken van de ene rekening naar de andere, en de werknemer zou zich er niet eens van bewust zijn wat er was gebeurd. Dat zou natuurlijk zeer nadelige gevolgen hebben voor het hele bedrijf, en vooral voor de CEO, maar de werknemers kunnen ook zelf een direct doelwit zijn. Adam Forman, arbeids- en arbeidsrechtadvocaat bij het advocatenkantoor Epstein Becker Green, waarschuwt hiervoor. Hij stelt: “Een van de belangrijkste dingen die steeds vaker voorkomen, is dat deepfake-video’s in disproportionele mate tegen vrouwen worden gebruikt. Sommige mensen binnen de werkplek plaatsen het gezicht van een collega op het lichaam van een actrice – bijvoorbeeld in pornografie”. Dit is een voorbeeld dat vooral betrekking heeft op vrouwen, maar ook mannen kunnen hier het slachtoffer van worden. Ze kunnen ook gepest, lastiggevallen en misleid worden. De hamvraag is nu wat de verantwoordelijkheden van de werkgevers zijn in deze gevallen. Moeten ze altijd ingrijpen, en zo ja, op welke manieren? Wat zouden ze kunnen doen tegen zo’n onzichtbare en vaak onvindbare vijand? Forman beaamt dat dit allemaal ernstige zorgen zijn. “Je hebt morele problemen op de werkplek, nalevingsproblemen met je beleid en procedures die allemaal in gang worden gezet vanwege deepfakes”, legt hij uit. Daarom is een speciaal ontworpen wettelijk kader hier zeker geen overbodige luxe.

Miljoenen gaan verloren aan cybercriminelen die bedrijven op slinkse wijze infiltreren en werknemers – en in sommige gevallen werkgevers zelf – misleiden om geld naar hen over te maken.

Bedrijven misleiden om geld over te maken

Naast de intimidatie en misleiding is er ook de kwestie van afpersing en fraude. Miljoenen gaan verloren aan cybercriminelen die bedrijven op slinkse wijze infiltreren en werknemers – en in sommige gevallen werkgevers zelf – misleiden om geld naar hen over te maken. Dit gebeurde bijvoorbeeld in Hong Kong, waar begin 2020 een persoon met stem die sterk leek op die van de bedrijfsdirecteur de lokale filiaalmanager opbelde en e-mailde. Om echt als de directeur te klinken, gebruikte de fraudeur deep voice-technologie. De filiaalmanager geloofde in eerste instantie dat deze persoon daadwerkelijk hun baas was die contact opnam over ‘de overname van een ander bedrijf’. Gelukkig is deze poging tot fraude uiteindelijk niet gelukt, doordat de filiaalmanager de gang van zaken in twijfel trok. De stemimitatie die de fraudeur gebruikte was in ieder geval overtuigend genoeg, en met de steeds meer geavanceerde technologie die beschikbaar komt, zal het in de toekomst steeds moeilijker worden om nepstemmen van echte te onderscheiden.

Wat kunnen we doen om misbruik van deepfakes te voorkomen?

Helaas is het voorkomen dat deze deepfakes worden gemaakt en verspreid geen gemakkelijke taak. Cybercriminelen worden steeds sluwer met deze technologie en het hacken van online datasystemen is voor deze fraudeurs ook geen probleem. Het spreekt voor zich dat bedrijven hun gegevens zo goed mogelijk moeten beschermen, bijvoorbeeld door kwalitatief hoogwaardige firewalls te installeren, hun gegevens te versleutelen en een online beveiligingsexpert in te huren. Deze maatregelen kunnen vooraf worden genomen en minimaliseren de kans dat de systemen worden gehackt. Om deze reden moeten bedrijven ook voorbereid zijn op hypothetische situaties waarin ze te maken krijgen met deepfakes en deze als nep kunnen herkennen. Dit vereist dat zowel het management als andere werknemers van het bedrijf een goed beeld hebben van hoe deepfakes eruitzien en wat ze onderscheidt van echte profielen. Een belangrijk kenmerk van deepfakes is bijvoorbeeld dat de beelden niet altijd volledig synchroon lopen met het geluid. De audio kan enigszins vertraagd zijn, wat over het algemeen niet zou gebeuren met een professioneel opgenomen video voor een sollicitatiegesprek, en ook niet in een ‘live’ gesprek met een sollicitant. Het is ook belangrijk om de videobeelden grondig te scannen op eventuele opvallende elementen, zoals vreemde schaduwen of bepaalde kenmerken die niet lijken overeen te komen met de rest van iemands uiterlijk. 

Er zijn bepaalde autoriteiten en specialisten die hun diensten verlenen om bedrijven met deze zaken te helpen. Zo heeft het Massachusetts Institute of Technology (MIT) ‘Detect Fakes’ in het leven geroepen, waarbij acht vragen worden gesteld om te bepalen of een video echt of nep is. Natuurlijk is deze controle van elk stukje content op niet-kloppende details geen volledig waterdicht plan, en een ingewikkelde en impactvolle kwestie op deze manier benaderen zal niet genoeg zijn om deze situaties te voorkomen. Voorbereid en geïnformeerd blijven is echter een essentiële stap in het proces om te leren omgaan met deze illegale activiteiten.  Naarmate de tactieken van cybercriminelen evolueren en zij nieuwe manieren bedenken om online systemen te hacken en identiteiten te stelen, zal de bedrijfswereld – evenals alle andere belanghebbenden – zich hieraan moeten aanpassen en gelijke tred moeten houden met de ontwikkelingen.

Deepfakes blijken een effectieve manier te zijn om bedrijven op te lichten, en cybercriminelen maken hier optimaal gebruik van. Door gegevens te verzamelen en geavanceerde technologie te gebruiken om zich voor te doen als andere mensen – zowel in video- als audioformat – kunnen ze in bedrijven als het ware infiltreren en werknemers opdracht geven om precies te doen wat zij willen. Hoewel dit nauwelijks te voorkomen is, kunnen bedrijven zich hierop voorbereiden en leren deepfakes te herkennen. Het is ook van groot belang dat ze hun online beveiligingssystemen up-to-date houden en professionele hulp vragen om persoonlijke gegevens ontoegankelijk te houden voor mensen van buitenaf.

We zitten middenin een technologische revolutie en de trends, technologieën en innovaties die we verwachten zijn stuk voor stuk grensverleggend …

Gratis trendservice

Ontvang elke maand gratis de laatste inzichten, onderzoeksmateriaal, e-books, white papers en artikelen van ons onderzoeksteam!