כיצד לזהות הונאות מקוונות באמצעות טכנולוגיית דיפפייק.

לאחרונה, הונאות מקוונות נמצאות במגמת עלייה, במיוחד הונאות דרך פייסבוק וזאלו. לאחר חטיפת חשבונות פייסבוק וזאלו, נוכלים משתמשים בשיטות מתוחכמות כדי להמשיך ולהונות את קרובי משפחתם של בעלי החשבון.

אל תלחץ על קישורי הצבעה.

כדי לחטוף חשבונות מדיה חברתית, כמו Zalo, הטקטיקה הנפוצה ביותר היא שנוכלים ישלחו לכם קישור באמצעות הודעת טקסט/מסנג'ר ובו יבקשו מכם להצביע עבור ילדם בתחרות כלשהי.

אם תלחצו על הקישור כפי שמופיע בהוראות, תאבדו את חשבונכם באופן מיידי.

כדי לגרום לכם להאמין שהאדם ששולח לכם הודעה הוא בעל החשבון, האקרים מבצעים שיחות וידאו באמצעות טכנולוגיית Deepfake [יצירת מוצרים טכנולוגיים מזויפים בצורת אודיו, תמונות או אפילו וידאו, באמצעות בינה מלאכותית - עורך] עם פנים וקולות זהים כדי להתחזות לקרובי משפחה או חברים כדי ללוות כסף או לגנוב נכסים.

הטקטיקה של הנוכלים היא לקחת סרטונים ישנים ממשתמשים, לערוך אותם או להשתמש בטכנולוגיית דיפפייק כך שכאשר מבצעים את ההונאה, הסרטון מתנגן בפורמט מטושטש ומרצד, כאילו באזור עם קליטה חלשה. לאחר שזכו באמון הקורבן, הנוכלים ימשיכו לשלוח הודעות כדי לבצע את פעולת ההונאה.

על פי מומחי אבטחת סייבר, נוכלים אלה בדרך כלל מחפשים ואוספים מידע אישי הזמין לציבור בחשבונות מדיה חברתית כדי ליצור תוכנית הונאה. כאשר קורבנות זהירים מנסים לאמת את המידע באמצעות טלפון או שיחת וידאו, הנוכלים משתמשים בתוכנות מניפולציה של תמונות כדי להונות אותם.

גב' LNQM, אחת הקורבנות, ציינה כי לאחר שהאקרים השתלטו על חשבון הפייסבוק שלה, הם השתמשו בטכנולוגיית Deepfake בעלת פנים זהות לשלה כדי לשלוח הודעות ולבצע שיחות וידאו כדי ללוות כסף מקרובי משפחתה וחבריה. למרבה המזל, גב' LNQM הזהירה את כולם מראש על אובדן חשבון הפייסבוק שלה, ובכך מנעה מההאקרים לבצע את הונאותיהם.

לדברי המומחה נגו מין הייאו, מומחה אבטחת סייבר במרכז הלאומי לניטור אבטחת סייבר (NCSC) - מחלקת אבטחת מידע ( משרד המידע והתקשורת ), הונאות Deepfake משמשות ונמצאות בשימוש על ידי פושעים בינלאומיים לאחרונה.

מר הייאו גם תיאר תרחישים להונאות דיפפייק, כגון משתמשים שצופים בסרטונים או תמונות שבהם הדמויות מפגינות התנהגות מוזרה, בעלות פנים חסרות רגש, נראות חסרות הבעה בעת דיבור, או בעלות תנוחות מביכות ולא טבעיות. סימנים נוספים כוללים גווני עור יוצאי דופן, תאורה מוזרה וצללים לא במקום, מה שגורם לסרטון להיראות "מזויף" ולא טבעי. יתר על כן, האודיו עשוי להיות לא עקבי עם הסרטון, עם רעש חיצוני או ללא צליל כלל. נוכלים לעיתים קרובות קוטעים את הסרטון, טוענים לאובדן אות או אות חלש, ולאחר מכן שולחים הודעה בבקשה לכסף.

לדברי מר נגו מין הייאו, הסימנים הנ"ל הם "דגלים אדומים" של דיפפייק. מר הייאו ממליץ למשתמשים להיות ערניים כאשר מישהו ברשימת החברים שלהם ברשתות החברתיות מבקש לפתע ללוות כסף או שולח קישורים מוזרים; עליהם לא למהר ללוות כסף, אלא להישאר רגועים, לאמת ולאמת הכל.

במקביל, יש לאמת באופן יזום את האותנטיות על ידי ביצוע שיחת טלפון ישירה או שיחת וידאו בת דקה לפחות, ולאחר מכן לשאול שאלות אישיות שרק אתם והאדם השני יודעים. הסיבה לכך היא ש-Deepfakes אינם יכולים לשחזר במדויק שיחה בזמן אמת.

הם אפילו התחזו לחשבונות בנק תחת שם הבעלים האמיתי.

המקרה של גב' LNQM לא הסתיים בכך; במהלך ההונאה, ההאקר שלח כמה חשבונות בנק לקרובי משפחתה וחבריה כששם הנמען היה גם LNQM כדי להגביר את האמון.

עם הטקטיקה החדשה והמתוחכמת להפליא הזו, אנשים רבים נפלו מבלי דעת למלכודת.

בדרך כלל, כאשר מבקשים העברות כספים, נוכלים יגידו שהם צריכים להעביר את הכסף למישהו אבל אין מספיק כסף בחשבון ויספקו מספר חשבון על שם מישהו אחר. עם זאת, קל לזהות את הונאה הזו.

עם זאת, על ידי העברת כסף ישירות לחשבון הבנק תחת שם בעל חשבון הפייסבוק, האקרים יכולים בקלות להערים על הקורבנות ולגרום להם ליפול למלכודת שלהם.

כתב מ-Vietnam+ ניסה את השירות על ידי יצירת הוראת העברת כספים למספר החשבון המדויק שסיפק הנוכל. לאחר הזנת המספר הנכון, האפליקציה הציגה את שם בעל החשבון הנכון.

אנשים רבים שאלו כיצד ניתן ליצור חשבון בנק באותו שם של בעל חשבון הפייסבוק.

כמה מומחי טכנולוגיה מציעים שלושה תרחישים אפשריים. ראשית, ייתכן שהאקרים השתמשו בתכונת שינוי הכינוי של החשבון כדי להתאים את שם הקורבן. שנית, סביר מאוד שהאקרים יצרו חשבון בנק "זבל" עם שם תואם כדי לבצע את ההונאה. שלישית, ייתכן שהיסטוריית ההודעות של הקורבן בפייסבוק מכילה את פרטי תעודת הזהות/דרכון שלו, אשר לאחר מכן יוכלו הנוכלים להשתמש בהם כדי ליצור את חשבון הבנק.

במקרה הראשון, נציג בנק אישר שכאשר לקוח מקצה כינוי לחשבון הבנק שלו, רק מספר החשבון מוחלף בכינוי; שמו האמיתי של הלקוח נשאר ללא שינוי. משמעות הדבר היא שכאשר מתבצעת העברת כספים למספר החשבון או לכינוי, שמו האמיתי של הנמען עדיין יוצג.

בנוגע למקרה השני, במסיבת העיתונאים הרגילה של משרד המידע והתקשורת, הצהיר מר טראן קוואנג הונג, סגן מנהל מחלקת אבטחת המידע (משרד המידע והתקשורת), כי כדי לפתור את בעיית ההונאה המקוונת, יש צורך לטפל בחשבונות בנק שאינם רשומים על שם הקורבן. נוכלים יכולים בקלות לרכוש חשבונות בנק אלה תמורת 2-3 מיליון וונד בלבד, מה שגורם לקורבנות להעביר אליהם כסף.

במקרה השלישי, לדברי מר וו נגוק סון - מנהל טכנולוגיה בחברת אבטחת הסייבר NCS, בנקים מאפשרים כעת פתיחת חשבונות מקוונים ואימות משתמשים באמצעות יישומי eKYC (אימות זהות אלקטרונית).

החיסרון של גישה זו הוא שחלק מהבנקים טרם התחברו למערכת מאגר האוכלוסין הלאומי, ולכן חסר להם מנגנון לאימות האם המידע בתעודת הזהות/תעודת הזהות של האזרח הוא אמיתי או מזויף.

שיטה זו מאמתת רק שהאדם המבצע עסקה באמצעות התמונה שעל המסמך הוא אותו אדם, אך אינה מאמתת את דיוק המידע. לכן, קיימת אפשרות שמישהו יוכל להשתמש במסמכים מזויפים (או במסמכים מקוריים שנשלחו באינטרנט) כדי לרשום חשבון בנק ולעקוף את eKYC כרגיל.

כדי לטפל בפרצה זו, לדברי מר סון, הבנקים צריכים להתחבר בדחיפות למאגר האוכלוסין הלאומי. זה יאפשר להם לאמת מידע על ידי השוואתו לנתונים קיימים במאגר האוכלוסין הלאומי, ובכך לזהות עסקאות הונאה.

עקרונות למניעת הונאות מקוונות

כיום, גניבת חשבונות פייסבוק והונאות הכוללות הודעות או שיחות טלפון להלוואת כסף נפוצות מאוד, עם שיטות מתוחכמות ובלתי צפויות יותר ויותר. לכן, משתמשי מדיה חברתית צריכים להיות מודעים לעקרונות הבסיסיים ביותר.

לדברי מומחים, הכלל מספר אחת שמשתמשי מדיה חברתית צריכים לזכור תמיד הוא: היו חשדניים בכל בקשת מידע (התקנת תוכנה, כניסה לאתרים, מתן מידע, העברת כספים וכו') באינטרנט.

כל המידע בנוגע להעברות כספים, הלוואות, הצבעות וכו', צריך להיות מאומת באמצעות ערוץ עצמאי כמו שיחת טלפון רגילה.

יתר על כן, עליך להימנע מגישה לאתרים לא מוכרים, התקנת תוכנה ממקורות לא ידועים או תוכנה הדורשת גישה ברמה גבוהה למידע משתמש, כרטיסי זיכרון, אנשי קשר, מיקום, תמונות וכו'.

עיקרון חשוב נוסף הוא להימנע משליחת מידע אישי דרך פלטפורמות מדיה חברתית כמו Zalo כדי למנוע דליפות מידע. אין למסור מידע אישי למקורות לא אמינים, ואין ללחוץ על קישורים מוזרים שהתקבלו בדוא"ל או בצ'אט.

כאשר יש צורך לספק מידע עבור עסקאות מקוונות, לאחר הגשת המידע, יש לבטלו באופן מיידי ולבקש ממתקן עיבוד העסקאות למחוק את המידע בהתאם לצו החדש בנושא הגנת מידע אישי.

אם מתקן עיבוד העסקאות אינו עומד בדרישות למחיקת מידע אישי, אזרחים יכולים לדווח על כך לרשויות לצורך חקירה וטיפול בהתאם לחוק.

מין סון (וייטנאם+)