Το FBI εξέδωσε προειδοποίηση σχετικά με νέες phishing επιθέσεις που βασίζονται σε φωνητικά deepfakes και στοχεύουν υψηλόβαθμους εν ενεργεία ή πρώην Αμερικανούς αξιωματούχους. Οι επιθέσεις, που βρίσκονται σε εξέλιξη από τον Απρίλιο του 2025, χρησιμοποιούν προηγμένες τεχνικές κοινωνικής μηχανικής και ψηφιακής πλαστοπροσωπίας.
Η ανακοίνωση του ομοσπονδιακού οργανισμού αναφέρει πως κυβερνοεγκληματίες εκμεταλλεύονται AI εργαλεία για να δημιουργήσουν ρεαλιστικά ηχητικά μηνύματα που φαίνονται να προέρχονται από γνωστές κρατικές προσωπικότητες. Με αυτό τον τρόπο, επιχειρούν να πείσουν τα θύματα πως βρίσκονται σε επικοινωνία με νόμιμους αξιωματούχους, ανοίγοντας τον δρόμο για επιθέσεις τύπου vishing (φωνητικό phishing) και smishing (phishing μέσω SMS).
Δείτε επίσης: YouTube: Νέα phishing απάτη χρησιμοποιεί deepfake βίντεο του CEO
“Από τον Απρίλιο του 2025, κακόβουλοι παράγοντες υποδύθηκαν ανώτερους αξιωματούχους των ΗΠΑ για να στοχοποιήσουν άτομα, πολλά από τα οποία είναι νυν ή πρώην ανώτεροι ομοσπονδιακοί ή κρατικοί αξιωματούχοι των ΗΠΑ και οι επαφές τους. Εάν λάβετε ένα μήνυμα που ισχυρίζεται ότι είναι από ανώτερο αξιωματούχο των ΗΠΑ, μην υποθέσετε ότι είναι αυθεντικό“, προειδοποίησε το FBI.
Οι επιτήδειοι χρησιμοποιούν ψεύτικα φωνητικά μηνύματα και SMS για να καλλιεργήσουν ένα πλαίσιο εμπιστοσύνης, με απώτερο στόχο την απόσπαση στοιχείων σύνδεσης ή τη μεταφορά της συνομιλίας σε πλατφόρμες ανταλλαγής μηνυμάτων, όπου μπορούν να εξαπολύσουν πιο στοχευμένες επιθέσεις. Αυτό το κάνουν στέλνοντας κακόβουλους συνδέσμους μεταμφιεσμένους ως συνδέσμους που έχουν σχεδιαστεί για να μεταφέρουν τη συζήτηση σε άλλη πλατφόρμα.
Σύμφωνα με το FBI, όταν οι κυβερνοεγκληματίες καταφέρουν να παραβιάσουν λογαριασμούς αξιωματούχων, αποκτούν πρόσβαση στις επαφές και στα δίκτυα επικοινωνίας τους. Εκεί, μέσω τεχνικών κοινωνικής μηχανικής, συνεχίζουν την πλαστοπροσωπία, υποδυόμενοι τους ήδη παραβιασμένους χρήστες. Αυτό τους επιτρέπει όχι μόνο να συλλέγουν ευαίσθητες πληροφορίες, αλλά και να εξαπατούν νέους στόχους, οδηγώντας ενδεχομένως και σε οικονομική απάτη.
Δείτε επίσης: Google: Φέρνει προστασία για τηλεφωνικές τραπεζικές απάτες;
Η απειλή των deepfakes κλιμακώνεται
Η νέα δημόσια ειδοποίηση του FBI για φωνητικές deepfake απάτες έρχεται ως συνέχεια μιας μακράς αλυσίδας ανησυχητικών προειδοποιήσεων που έχουν εκδώσει διεθνείς και εθνικοί φορείς ασφαλείας τα τελευταία χρόνια. Η τεχνολογία των deepfakes, δηλαδή του ψηφιακού περιεχομένου που δημιουργείται ή αλλοιώνεται μέσω τεχνητής νοημοσύνης (AI), έχει πλέον αναγνωριστεί ως ένας βασικός παράγοντας ενίσχυσης επιχειρήσεων παραπληροφόρησης και εξαπάτησης.
Ήδη από τον Μάρτιο του 2021, το FBI είχε επισημάνει πως τα deepfakes – είτε πρόκειται για ήχο, εικόνα, βίντεο ή κείμενο – εξελίσσονται σε σημαντικό εργαλείο στα χέρια κρατικών ή εγκληματικών φορέων.
Ακολούθως, το 2022, η Europol εξέφρασε δημόσια ανησυχία ότι η τεχνολογία αυτή θα μπορούσε να αξιοποιηθεί συστηματικά για ψηφιακές απάτες τύπου “CEO scam”, τη δημιουργία πορνογραφικού περιεχομένου χωρίς συναίνεση και την παραποίηση αποδεικτικών στοιχείων σε ποινικές ή άλλες διαδικασίες.
Η τάση είναι ξεκάθαρη: καθώς τα εργαλεία τεχνητής νοημοσύνης γίνονται πιο εύκολα προσβάσιμα, το όριο μεταξύ αλήθειας και ψηφιακής απάτης θολώνει επικίνδυνα, απαιτώντας νέα επίπεδα επαγρύπνησης και προστασίας από επιχειρήσεις και κυβερνητικούς φορείς:
1. Μην εμπιστεύεστε τη φωνή μόνο και μόνο επειδή “μοιάζει” αυθεντική
- Οι φωνές που δημιουργούνται από AI μπορεί να ακούγονται σχεδόν πανομοιότυπες με πραγματικούς ανθρώπους, ειδικά αν οι εισβολείς έχουν δείγματα από δημόσιες δηλώσεις ή συνεντεύξεις.
- Εάν λάβετε φωνητικό μήνυμα με επαγγελματικό ή επείγον τόνο, μην ενεργήσετε άμεσα χωρίς επιβεβαίωση.
2. Επιβεβαίωση από δεύτερο κανάλι
- Πριν προχωρήσετε σε οποιαδήποτε ενέργεια (όπως αποστολή ευαίσθητων εγγράφων ή μεταφορά χρημάτων), επικοινωνήστε με τον φερόμενο αποστολέα μέσω δεύτερου ανεξάρτητου καναλιού (π.χ. email, εταιρικό chat, βιντεοκλήση).
- Εφόσον είναι δυνατόν, προτιμήστε επικοινωνία με εικόνα (video) – είναι πιο δύσκολο να δημιουργηθεί πειστικό deepfake βίντεο σε πραγματικό χρόνο.
3. Εκπαίδευση προσωπικού
- Διοργανώστε τακτικά σεμινάρια ή σύντομα workshops για την αναγνώριση social engineering τεχνικών, περιλαμβανομένων των vishing και deepfakes.
- Χρησιμοποιήστε simulated attacks (τεστ ψεύτικων φωνητικών μηνυμάτων) για εκπαίδευση σε πραγματικές συνθήκες.
Δείτε επίσης: Συλλήψεις ατόμων για επενδυτική crypto απάτη μέσω AI
4. Πολιτικές ασφαλείας με έλεγχο ταυτότητας
- Ορίστε διαδικασίες που απαιτούν πολλαπλά επίπεδα επιβεβαίωσης για κρίσιμες ενέργειες (όπως χρηματοοικονομικές εγκρίσεις, αλλαγές κωδικών, κ.ά.).
- Χρησιμοποιήστε μοναδικούς κωδικούς ή συνθηματικά φράσεων (passphrases) για επικοινωνία μεταξύ στελεχών.
5. Εργαλεία και λύσεις ανίχνευσης deepfakes
- Εξετάστε την ενσωμάτωση λογισμικού αναγνώρισης deepfake φωνής σε συστήματα τηλεφωνίας και call centers.
- Ορισμένες πλατφόρμες AI παρέχουν APIs ή συστήματα συναγερμού που εντοπίζουν αφύσικα μοτίβα στη φωνή, τον τόνο ή τη χροιά.
6. Αναφορά ύποπτων περιστατικών
- Ενθαρρύνετε τους υπαλλήλους να αναφέρουν αμέσως ύποπτες κλήσεις ή φωνητικά μηνύματα στο IT ή στην ομάδα ασφάλειας.
Πηγή: www.bleepingcomputer.com
