Một nhân viên tại một công ty kỹ thuật của Anh đã tham gia một cuộc gọi video định kỳ cùng CFO và 5 đồng nghiệp vào năm 2024

Anh đã ủy quyền chuyển khoản 25,6 TRIỆU USD dựa trên những gì đã thảo luận nhưng điều anh không biết là mọi người trên cuộc gọi đó ngoại trừ anh đều là AI deepfake
Công ty là Arup. Một công ty thiết kế và kỹ thuật của Anh với 18.500 nhân viên trên 34 văn phòng
Toàn bộ cuộc tấn công này bắt đầu bằng một email duy nhất
Một nhân viên tài chính tại văn phòng Hong Kong của Arup nhận được một tin nhắn tự xưng là từ CFO của công ty tại Anh
Email đề cập đến một "giao dịch bí mật" cần được xử lý khẩn cấp và bí mật
Nhân viên nghĩ đó là lừa đảo. Anh đúng khi nghi ngờ nhưng sau đó các kẻ tấn công đã leo thang
Họ mời anh tham gia một cuộc gọi video để xác minh yêu cầu là thật. Anh tham gia mong đợi xác nhận đó là một trò lừa đảo
CFO có mặt trong cuộc gọi. Cũng có một số đồng nghiệp cấp cao khác mà anh nhận ra. Họ chào anh bằng tên
Họ thảo luận chi tiết về giao dịch bằng thuật ngữ nội bộ của công ty. Họ đề cập đến các dự án đang diễn ra chỉ những người trong cuộc mới biết
Khuôn mặt của họ di chuyển tự nhiên, giọng nói của họ nghe chính xác và họ có các cuộc trò chuyện thực với nhau và với anh
Anh đã hết nghi ngờ và theo hướng dẫn trong cuộc gọi, anh đã thực hiện 15 chuyển khoản riêng biệt tổng cộng HK$200 triệu (25,6 TRIỆU USD) đến năm tài khoản ngân hàng khác nhau ở Hong Kong trong những ngày tiếp theo
Giao dịch gian lận chỉ được phát hiện khi anh liên hệ với trụ sở chính tại Anh về dự án. CFO thật chưa từng nghe về giao dịch đó. Các đồng nghiệp khác trong cuộc gọi chưa từng tham gia cuộc gọi đó
Mọi khuôn mặt trên màn hình đó đều là deepfake
Cảnh sát Hong Kong đã điều tra... Các kẻ tấn công đã xây dựng các deepfake AI tinh vi của tất cả các giám đốc điều hành bằng cách thu thập video và âm thanh công khai từ các hội nghị trực tuyến, cuộc họp công ty ảo và các cuộc gọi thu nhập
Arup có hàng giờ video công khai về lãnh đạo của mình
Các deepfake không được ghi sẵn, chúng hoạt động theo thời gian thực. Mỗi người tham gia giả có thể nói chuyện, phản ứng, phản hồi và tham gia vào các cuộc đối thoại không kịch bản với nạn nhân
Email lừa đảo đơn lẻ thường bị bắt giữ. Cuộc gọi điện thoại sao chép giọng nói có tỷ lệ thành công cao hơn nhưng vẫn thất bại khi nạn nhân yêu cầu xác nhận bằng văn bản
Cuộc gọi video deepfake nhiều người giải quyết cả hai vấn đề cùng lúc. Bạn không thể yêu cầu xác minh khi bạn đã xác minh bằng chính đôi mắt của mình
Trong cùng một cuộc điều tra, cảnh sát Hong Kong phát hiện ra một hoạt động liên quan. Tám thẻ căn cước Hong Kong bị đánh cắp đã được sử dụng để thực hiện 90 đơn xin vay và 54 đăng ký tài khoản ngân hàng
Các deepfake AI đã thành công vượt qua hệ thống nhận diện khuôn mặt ít nhất 20 lần để xác minh các danh tính đó là hợp lệ
Cây công nghệ hiện đã đủ trưởng thành để lừa cả xác minh con người (cuộc gọi video) và xác minh máy móc (nhận diện khuôn mặt KYC)
Giám đốc công nghệ thông tin của Arup, Rob Greig, sau đó xác nhận rằng công ty đã bị tấn công "tăng đột biến" và ông ước tính chi phí toàn cầu của các vụ lừa đảo dựa trên AI sẽ đạt 40 TỶ USD vào năm 2027
Mất mát của Arup là 25,6 triệu USD từ một nhân viên tài chính trong một cuộc gọi. Đây là vụ lừa đảo deepfake thành công nhất từng được ghi nhận công khai
Cuộc điều tra vẫn còn mở và chưa có ai bị bắt giữ. Số tiền đã được chuyển ra nhiều tài khoản trong vòng vài giờ sau các giao dịch và phần lớn đã bị rửa sạch khỏi hệ thống ngân hàng Hong Kong
Để đảm bảo an toàn, bạn nên:
Yêu cầu người trên cuộc gọi quay đầu và trình diện toàn bộ góc mặt vì mô hình deepfake thường gặp lỗi ở góc cực đoan
Yêu cầu họ thay đổi ánh sáng trong phòng vì deepfake gặp khó khăn với các thay đổi đột ngột về ánh sáng
Yêu cầu họ cầm một vật ngẫu nhiên và trình diện trên camera vì mô hình thường bị lỗi khi tích hợp các vật thể thực vào khuôn mặt tổng hợp
Các kiểm tra này vẫn hiệu quả ngày hôm nay. Nhưng chúng sẽ không còn hiệu quả lâu nữa
Câu chuyện lớn hơn là những gì cuộc tấn công này chứng minh về thập kỷ tới của tài chính doanh nghiệp
Mọi giám đốc điều hành tại mọi công ty công khai đều có hàng giờ video ghi lại trên YouTube, LinkedIn, các cuộc gọi thu nhập và các hội nghị. Những đoạn phim đó là dữ liệu huấn luyện cho bất kỳ kẻ tấn công nào muốn tạo ra deepfake của họ
Một điều đáng lo ngại