‘Deepfakes’ หลอกพนักงานบัญชีโอนเงิน '25 ล้านดอลล์' ให้นักต้มตุ๋น
การใช้ฟิชชิ่งแบบ “Deepfakes“ หลอกลวงเหยื่อกำลังกลายเป็นเรื่องปกติมากขึ้นและมีอัตราเพิ่มสูงขึ้นถึง 3,000% ช่วงปี 2022-2023
การ์ทเนอร์ คาดการณ์ว่า 30% ของบริษัทต่างๆ จะสูญเสียความเชื่อมั่นในโซลูชันการตรวจสอบสิทธิ์ไบโอเมตริกซ์ใบหน้าภายในปี 2026 เนื่องจากการโจมตีแบบ Deepfake
อย่างกรณีล่าสุดเกิดขึ้นกับบริษัทต่างประเทศที่มีสาขาในฮ่องกงโดยเจ้าหน้าที่ทางการเงินของบริษัทแห่งหนึ่งได้รับอีเมลโดยอ้างว่ามาจากประธานเจ้าหน้าที่ฝ่ายการเงินของบริษัทที่ตั้งอยู่ในสหราชอาณาจักร
หลังจากเข้าร่วมการประชุม Deepfake video conference และเห็นว่า CFO และเพื่อนร่วมงานคนอื่นๆ เข้าร่วมประชุมด้วย พนักงานรายนี้ถูกขอให้แนะนำตัวเอง
ระหว่างการประชุมพนักงานรายนี้ไม่ได้มีการโต้ตอบกับใครใดๆ อีกเลย หลังจากนั้นเพื่อนร่วมงาน Deepfake และ CFO ขอให้พนักงานทำธุรกรรมโดยการโอนเงิน 200 ล้านดอลลาร์ฮ่องกงหรือเทียบเท่าประมาณ 25.6 ล้านดอลลาร์ ไปยังบัญชีธนาคารที่แตกต่างกันถึง 5 บัญชีในธุรกรรม 15 รายการ
การหลอกลวงดังกล่าวนี้ถูกเปิดเผยหนึ่งสัปดาห์หลังจากการติดต่อครั้งแรก เมื่อพนักงานติดต่อไปที่สำนักงานใหญ่ของบริษัทโดยตรง โดยคดีนี้ยังอยู่ระหว่างการสอบสวนและยังไม่มีการจับกุมแต่อย่างใด
นอกจากนี้ พนักงานอีก2-3 รายของบริษัทเดียวกันก็ได้รับการติดต่อจากกลุ่มคนหลอกลวงเช่นกัน และหากพิจารณาในรายละเอียดจะพบว่า ฟุตเทจ (footage) ของ CFO และพนักงานคนอื่นๆ ที่สามารถหาได้ในช่องทางออนไลน์ถูกนำมาใช้เพื่อ สร้างภาพ Deepfake และเหยื่อเป็นเพียงคนเดียวในการประชุมทางโทรศัพท์ที่ไม่ใช่ Deepfake โดยพนักงานรายดังกล่าวแจ้งว่าทั้งภาพและเสียงของคนในที่ประชุมนั้นดูเหมือนจริงมาก
หลายคนยังคงคิดว่าทุกวันนี้เสียงหรือวิดีโอสดไม่สามารถปลอมแปลงได้จึงเลือกที่จะดำเนินการตามคำขอที่ได้รับจากเพื่อนร่วมงานหรือหัวหน้างานโดยไม่สงสัยใดๆ
และนี่ทำให้ Deepfakes พิสูจน์ความสำเร็จในการขโมยเงินจำนวนมากจากองค์กรต่างๆ และไม่ใช่ครั้งแรกที่เกิดเหตุการณ์นี้ เพราะมีกรณีการหลอกลวงในปี 2020 ที่ผู้จัดการสาขาของบริษัทญี่ปุ่นในฮ่องกงโอนเงิน 35 ล้านดอลลาร์ให้กับแก๊งมิจฉาชีพโดยการใช้เอไอโคลนเสียงของผู้อำนวยการของบริษัทแม่ทางโทรศัพท์
ขณะที่ในปี 2021 แก๊งมิจฉาชีพในประเทศจีนกวาดรายได้กว่า 75 ล้านดอลลาร์ผ่านใบกำกับภาษีปลอม โดยการหลอกระบบจดจำใบหน้าที่ดำเนินการโดยรัฐบาลด้วย Deepfake
นอกจากนี้ เมื่อปีที่แล้ว ตำรวจฮ่องกงสามารถจับนักต้มตุ่นได้ทั้งหมด 6 รายที่ใช้ AI Deepfakes และบัตรประจำตัวประชาชนที่ถูกขโมยเพื่อทำการขอสินเชื่อและลงทะเบียนบัญชีธนาคารที่ฉ้อโกงหลายสิบครั้ง
โดยมีการวิจัยที่แสดงให้เห็นว่าผู้คนจำนวนมากยังไม่พร้อมที่จะตรวจจับ Deepfake พบว่า 43% ของผู้ตอบแบบสอบถาม ไม่สามารถแยกความแตกต่างระหว่างวิดีโอจริงกับ Deepfake ได้ และมีเพียง 29% เท่านั้นที่รู้ว่า deepfake คืออะไร นอกจากนี้ 62% ที่สามารถแยกความแตกต่างระหว่างใบหน้าที่สร้างโดยเอไอและใบหน้าจริงได้
ผู้เชี่ยวชาญจึงให้ความเห็นว่า ทีมรักษาความปลอดภัยควรมองว่านี่เป็นภัยคุกคามต่อองค์กรที่มีความซับซ้อน ควรคำนึงถึงกลยุทธ์ฟิชชิงขั้นสูงอย่าง Deepfake และใช้วิธีต่างๆ ในการป้องกันความปลอดภัยทางไซเบอร์จากฟิชชิงประเภทนี้ เช่น Teams, Slack และ Zoom
อย่างไรก็ตาม องค์กรจำเป็นต้องผสมผสานกับโปรโตคอลและการฝึกอบรมด้านความปลอดภัยทางกายภาพรวมถึงการจัดการสิทธิในการโอนเงิน กล่าวคือควรมีการอนุมัติหลายระดับก่อนที่จะโอนเงิน แม้ว่า CFO จะขอให้โอนเงินก็ตาม
อีกทั้งการปฏิบัติตามหลักการขั้นต่ำเพื่อให้พนักงานสามารถเข้าถึงบัญชีและระบบที่จำเป็นในการปฏิบัติงานตามบทบาทของตนเท่านั้น รวมถึงต้องมีการยืนยันการชำระเงินและการเข้าถึงข้อมูลสำคัญด้วยการยืนยันเพิ่มเติม เนื่องจากอาชญากรรมประเภทนี้กำลังเปลี่ยนแปลงไปและเทคโนโลยียังล้าหลังอยู่ครับ