Seorang karyawan di sebuah perusahaan teknik Inggris bergabung dalam panggilan video rutin dengan CFO dan 5 rekan kerja pada tahun 2024

Dia mengotorisasi transfer sebesar $25,6 JUTA berdasarkan apa yang dibahas, tetapi yang tidak dia ketahui adalah bahwa setiap orang di panggilan tersebut selain dia adalah AI deepfake
Perusahaan tersebut adalah Arup. Sebuah perusahaan desain dan teknik Inggris dengan 18.500 karyawan di 34 kantor
Seluruh serangan ini dimulai dengan satu email
Seorang pekerja keuangan di kantor Arup di Hong Kong menerima pesan yang mengaku berasal dari CFO perusahaan yang berbasis di Inggris
Email tersebut merujuk pada "transaksi rahasia" yang perlu diproses dengan segera dan secara rahasia
Pekerja tersebut mengira itu adalah phishing. Dia benar untuk curiga, tetapi kemudian para penyerang meningkat
Mereka mengundangnya ke panggilan konferensi video untuk memverifikasi bahwa permintaan itu nyata. Dia bergabung dengan harapan mengonfirmasi bahwa itu adalah penipuan
CFO ada di panggilan tersebut. Begitu juga beberapa rekan senior yang dikenalnya. Mereka menyapanya dengan nama
Mereka membahas transaksi secara rinci menggunakan terminologi internal perusahaan. Mereka merujuk pada proyek yang sedang berlangsung yang hanya diketahui oleh orang dalam
Wajah mereka bergerak secara alami, suara mereka terdengar sangat tepat, dan mereka melakukan percakapan nyata satu sama lain dan dengannya
Dia berhenti merasa curiga dan mengikuti instruksi di panggilan tersebut, dia melakukan 15 transfer kawat terpisah dengan total HK$200 juta ($25,6 JUTA) ke lima rekening bank Hong Kong yang berbeda selama beberapa hari berikutnya
Penipuan ini baru terungkap ketika dia menindaklanjuti dengan kantor pusat Inggris yang sebenarnya tentang proyek tersebut. CFO asli tidak pernah mendengar tentang transaksi itu. Rekan-rekan lain di panggilan tersebut tidak pernah ikut dalam panggilan itu
Setiap wajah di layar tersebut adalah deepfake
Polisi Hong Kong menyelidiki... Para penyerang telah membangun deepfake AI yang canggih dari semua eksekutif dengan memanen video dan audio yang tersedia secara publik dari konferensi online, rapat perusahaan virtual, dan panggilan pendapatan
Arup memiliki jam-jam video publik dari kepemimpinan mereka
Deepfake tersebut tidak direkam sebelumnya, mereka berjalan secara real-time. Setiap peserta palsu bisa berbicara, bereaksi, merespons, dan terlibat dalam dialog tanpa skrip dengan korban
Email phishing tunggal sering kali tertangkap. Panggilan suara kloning memiliki tingkat keberhasilan yang lebih tinggi, tetapi tetap gagal ketika korban meminta konfirmasi tertulis
Panggilan video deepfake multi-orang menyelesaikan kedua masalah sekaligus. Anda tidak bisa meminta verifikasi saat Anda sudah memverifikasi dengan mata sendiri
Dalam penyelidikan yang sama, polisi Hong Kong mengungkap operasi terkait. Delapan kartu identitas Hong Kong yang dicuri digunakan untuk membuat 90 aplikasi pinjaman dan 54 pendaftaran rekening bank
Deepfake AI berhasil melewati sistem pengenalan wajah setidaknya 20 kali untuk memverifikasi identitas tersebut sebagai sah
Tumpukan teknologi ini sekarang cukup matang untuk menipu baik verifikasi manusia (panggilan video) maupun verifikasi mesin (KYC pengenalan wajah)
Chief information officer Arup, Rob Greig, kemudian mengonfirmasi bahwa perusahaan telah terkena serangan "meningkat tajam" dan dia memperkirakan biaya global dari penipuan berbasis AI akan mencapai $40 MILIAR pada tahun 2027
Kerugian Arup sebesar $25,6 juta dari satu pekerja keuangan dalam satu panggilan. Ini adalah penipuan deepfake tunggal paling sukses yang pernah dicatat secara publik
Penyelidikan tetap terbuka dan belum ada penangkapan. Dana tersebut didistribusikan ke beberapa rekening dalam beberapa jam setelah transfer dan sebagian besar sudah dicuci keluar dari sistem perbankan Hong Kong
Agar aman, sebaiknya Anda:
Minta orang di panggilan untuk memutar kepala mereka dan menunjukkan profil lengkap karena model deepfake biasanya gagal pada sudut ekstrem
Minta mereka mengubah pencahayaan di ruangan mereka karena deepfake kesulitan dengan perubahan pencahayaan mendadak
Minta mereka mengambil objek acak dan menampilkannya di kamera karena model sering mengalami glitch saat mengintegrasikan objek nyata ke dalam wajah sintetis
Pemeriksaan ini bekerja hari ini. Mereka tidak akan berfungsi untuk waktu yang lama
Cerita yang lebih besar adalah apa yang dibuktikan oleh serangan ini tentang dekade berikutnya dari keuangan perusahaan
Setiap eksekutif di setiap perusahaan publik memiliki jam-jam video yang direkam di YouTube, LinkedIn, panggilan pendapatan, dan panel konferensi. Rekaman tersebut adalah dataset pelatihan bagi penyerang mana pun yang ingin membangun deepfake dari mereka
Sesuatu yang perlu dikhawatirkan