Blog – Deepfakes, zoals valse foto’s of videoberichten, doen al jaren de ronde op het internet. Lange tijd was het niet extreem moeilijk om een deepfake te herkennen, maar door de doorbraak van AI zien ze er steeds realistischer uit. Om een geloofwaardige deepfake te maken, volstaat het om een persoon te screenen via info en beelden op social media. Hoe ga je hiermee om? En hoe vermijd je dat je morgen zelf in de val trapt?
Onlangs kwam aan het licht dat onze eigen koning Filip gebruikt is in een deepfake-campagne. Zo kregen bedrijfsleiders en personen die een connectie met het koningshuis hebben, de vraag om voor een goede zaak financiële steun te bieden. In werkelijkheid waren de berichten afkomstig van oplichters die zich voordeden als koning Filip of als inlichtingenchef Stéphane Dutron. Om het nog realistischer te maken, nodigden de fraudeurs hun slachtoffers zelfs uit voor een videogesprek met de koning. De beelden zijn wellicht met AI-technologie gegenereerd. Uiteindelijk wist de meerderheid de valse communicatie te doorzien, maar toch zou er ook geld betaald zijn.
Deepfakes hoeven overigens niet altijd bekende figuren te zijn. Een Vlaamse ondernemer kwam vorig jaar uit op een campagne van Noord-Koreaanse agenten die met valse sollicitaties binnen wilden dringen in technologiebedrijven. Ze bouwden zorgvuldig nepprofielen op en lieten sporen achter zodat het voor screeningprogramma’s leek alsof het echte personen waren. En daar bleef het niet bij, want ze namen ook deel aan online interviews via valse videobeelden.
Gezichten wisselen tijdens videogesprek
Beide verhalen maken duidelijk dat AI-technologie een tweesnijdend zwaard is. Enerzijds helpt AI ons om productiever te zijn en ook in ons privéleven duiken allerlei leuke toepassingen op. In het kader van cybersecurity helpt de technologie bedrijven om zich te wapenen tegen hackers.
Maar anderzijds gebruiken ook cybercriminelen en fraudeurs AI om aanvallen en misleidingen echter dan ooit te maken. Door simpelweg de online kanalen van een potentieel slachtoffer te screenen, kunnen oplichters een model trainen om een persoon na te bootsen. Nadien verzenden ze een bericht naar een medewerker met een uitnodiging voor een videogesprek. AI wisselt het gezicht van de gesprekspartner in realtime, terwijl de persoon in kwestie de hele tijd met de hacker zit te praten. Deze deepfakes maken social engineering met de dag uitdagender.
Deepfakes kunnen op tal van manieren schade aanrichten. Ze kunnen een vorm van phishing zijn waarbij medewerkers gemanipuleerd worden om informatie over zichzelf of het bedrijf te delen. Of ze gebruiken het gezicht van een bekend persoon om valse info te verspreiden. Vervalsingen dienen daarnaast om te misleiden en financiële fraude te plegen, zoals in het geval van koning Filip. En het is ook een methode om mensen in een slecht daglicht te stellen en af te persen.
Tips om jezelf te beschermen
Dat klinkt allemaal heel duister, maar wat kan je ertegen doen? Veel deepfakes zijn gelukkig nog wel te herkennen, maar je kunt nooit met zekerheid voorkomen dat je morgen in de val trapt. Met de volgende tips kan je de risico’s wel beperken:
- Pas altijd het Zero Trust-principe toe: vertrouw niet alles wat je ziet of hoort. Als je twijfelt over een videogesprek en je hebt het telefoonnummer van je gesprekspartner, bel dan even op om zijn/haar identiteit te verifiëren. Controleer ook de berichten die je krijgt. Als iemand je via WhatsApp uitnodigt voor een Zoom-call en jullie die kanalen anders nooit gebruiken, dan kan dit wijzen op het werk van een oplichter.
- Verzorg je basissecurity: klinkt logisch, maar je maakt het hackers heel gemakkelijk als je dit niet op orde hebt. Denk aan complexe wachtwoorden en multi-factor authenticatie.
- Blijf altijd alert: een oproep van een onbekend nummer? Laat dan gerust bellen, zodat de beller een voicemailbericht moet inspreken. Voeg eventueel een digitaal watermerk toe aan foto’s en video’s die je via social media deelt. Dek je webcam af wanneer je deze niet gebruikt, goed voor privacy maar helpt minder tegen deepfakes omdat fraudeurs vaak beeldmateriaal gebruiken dat je zelf al ooit online hebt gezet (LinkedIn, Instagram). En let altijd op verdachte details in berichten, van een vreemde zinsstructuur tot een klemtoon of woordgebruik dat je niet herkent.
- Zorg voor goede security: op bedrijfsniveau is het belangrijk dat organisaties security echt ernstig nemen. Zeker nu hackers AI gebruiken, moeten we proberen om hen altijd een stapje voor te blijven. Werk je met AI-agents? Dan moet je die op dezelfde manier beschermen als je menselijke workforce. Pas altijd en overal Zero Trust toe.
- Spreek een codewoord af: Voor kritieke bedrijfsprocessen (zoals noodbetalingen) kan een afgesproken ‘safe word’ wonderen doen. Als de stem aan de andere kant van de lijn het woord niet kent, weet je dat het foute boel is.
- Vraag om een ‘profiel-check’: Huidige realtime deepfakes hebben vaak moeite met zijwaartse bewegingen. Heb je twijfels tijdens een videocall? Vraag de persoon om zijn of haar hoofd volledig naar links of rechts te draaien. Vervormingen bij de neus of kaaklijn verraden vaak de AI.
Deepfakes zijn een essentieel onderdeel van het dreigingslandschap dat aan het groeien is onder impuls van AI. We moeten ook beseffen dat iedereen een potentieel slachtoffer is. Van grote tot kleine organisaties, van industriële bedrijven tot ziekenhuizen, van directie tot medewerkers … Helaas bestaat er geen miraculeuze remedie tegen deepfakes en andere AI-dreigingen. Het enige wat we kunnen doen is onze securitystack optimaliseren en vooral kritisch en alert blijven, zodat we op een bewuste en veilige manier met elkaar kunnen communiceren.
Stefaan Van Hoornick is head of solutions engineering bij TrendAI
