Fremtidens svindlere kan bruke deepfake. Bør vi bekymre oss?

Når «sjefen» eller «drømmedama» ringer og spør om penger, kan det bli langt vanskeligere å skjønne at det dreier seg om svindel.
Midt i bølgene av investeringssvindel, postpakke-lureri og alle de andre nettsvindlene som vi blir utsatt for nå om dagen er det lett å spørre seg hva som blir det neste.
– Svindel som fag endrer seg i bunn og grunn aldri, sier Thorbjørn Busch, senior sikkerhetsrådgiver i Telenor.
– Den viktigste faktoren er og blir troverdighet. De fleste av oss har solide sperrer mot å bli lurt, så for å svindle oss må svindleren finne veier rundt disse.
En veldig effektiv teknikk i så måte ville vært å forlede oss til å tro at vi snakker med noen vi allerede har tillit til – en venn, et familiemedlem eller en kollega. Tilsynelatende vrient, men ifølge Busch er det ikke lenger utenkelig.
– Den såkalte deepfake-teknologien utvikles nå i høyt tempo. Foreløpig er ikke dette noe vi ser at svindlerne har tatt i bruk i særlig grad, men det er ikke utenkelig at de vil gjøre dette når teknologien blir mer moden og tilgjengelig. Og da kan disse tillitsbåndene brukes mot oss.
Økokrim advarer: – Meget sannsynlig
Selv om bruken av deepfakes ikke er spesielt utbredt blant kriminelle flest, er det som alltid noen som er mer frampå enn andre og allerede har tatt teknologien i bruk – først og fremst mot bedrifter.
I et intervju med Dagens Næringsliv forteller Økokrim-sjef Pål Lønseth at organiserte kriminelle nå tar denne teknologien i bruk mot norske selskaper. Dette gjør de ved å lure ansatte til å tro at de snakker med for eksempel selskapets administrerende direktør – uten at vedkommende gjør det. Her blir stemmene til den kriminelle endret til sjefens stemme ved bruk av deepfake-teknologi.
– Dette har skjedd flere ganger allerede. Sannsynligvis er det mange tilfeller vi ikke kjenner til, sier Lønseth – og legger til at norske selskap allerede har tapt millionbeløp på dette.
I sin trusselvurdering for 2022 mener derfor Økokrim at det er «meget sannsynlig» at vi vil oppleve en økning i bruken av deepfakes i såkalt direktørsvindel.
– Det er veldig sannsynlig at kriminelle nettverk vil ta dette i bruk i stor utstrekning. Dette er det store penger i, sier Økokrim-sjef Pål K. Lønseth til TV 2.
Hva er deepfake?
«Deepfake» brukes som et samlebegrep på bilder, video og lyd fremstilt ved hjelp av maskinlæring, altså kunstig intelligens.
Typiske bruksområder er å bytte ut ansikter (tenk Snapchat-filter, men mer avansert) eller å lage syntetiske stemmer som til forveksling ligner personen de er kopiert fra.
For å lage en troverdig deepfake er kildematerialet viktig. Jo mer høyoppløselig bilde, video eller lydmateriale man har av personen som skal forfalskes, jo bedre utgangspunkt for å bygge den digitale modellen.
Når den kunstige intelligensen er trent opp med kildematerialet, kan den gis instruksjoner og spytte ut et mer eller mindre troverdig resultat, avhengig av teknologiens kvalitet.
Her kan du for eksempel se Shamook, en av verdens fremste deepfake-kunstnere, bytte ut Alicia Vikander med Angelina Jolie i Roar Uthaugs «Tomb Raider»-film:
Og her får en liten gutt snakke som president Joe Biden, via en kunstig intelligens som har blitt trent opp ved å lytte til opptak av Bidens stemme.
Eksempel på målrettet svindel med deepfake:
En direktør i et større selskap kan godt tenkes å dukke opp som foredragsholder eller som gjest i en podkast. Én slik opptreden kan gi mer enn nok kildemateriale til å bygge en god stemmemodell av vedkommende.
Ved å ringe med et forfalsket firmanummer til en ansatt kan en svindler lykkes med å skape en stressreaksjon ved å gi en direkte hasteordre med stemmen til direktøren.
Slik kan en millionfaktura bli betalt på dagen, eller innloggingsinformasjon til sensitive systemer bli delt.
Hvordan kan deepfake brukes til svindel?
Så hvordan kan dette misbrukes? Der Microsoft-svindel er en klassisk telefonsvindel i dag, kan deepfake kjapt være framtidas kriminelle gründeridé.
Her vil ikke den som plukker opp telefonen møte på en engelsk stemme med indisk aksent – men kanskje en person som tilsynelatende er norsk – og kanskje godt kjent?
– Dette handler om å sette sammen verktøy som allerede eksisterer, og så sko seg, sier Busch.
Som et tenkt eksempel tegner han opp et callsenter bemannet kun av datamaskiner. Disse driver med automatiserte oppringninger til norske nummer og prøver å få sine offer i tale med et et tilforlatelig formål, for eksempel en spørreundersøkelse. Spørsmålene skal helst gi lange svar som gjør det lett å bygge en digital stemmemodell av offeret.
Neste skritt er å kombinere ulike datalekkasjer fra sosiale medier, som telefonnumre og vennelister, for å kartlegge nettverk og peke ut alle som skal motta samtaler fra offeret.
Ved å forfalske telefonnummeret til offeret (via såkalt spoofing) ringes deretter hele vennelista opp. Har mottakerne nummeret lagret, lyser navnet opp på skjermen.
I den andre enden er en stemme de kjenner fra før, som leser opp et manus. Når offeret svarer, vil maskinen forsøke å reagere i sanntid gjennom stemmegjenkjenning og kunne generere nye svar på sparket.

IKKE ENNÅ, MEN SNART? Thorbjørn Busch, senior sikkerhetsrådgiver i Telenor, ser ikke bort fra at fremtidens svindelforsøk i større grad vil involvere deepfakes, selv om det ikke er et stort problem i dag.
Eksempel på «Er dette deg?»-svindel med deepfake
Et av de største angrepene akkurat nå er Flubot, et virusaktig program som sprer seg via sms og forsøker å få brukeren til å laste ned det som ser ut som en app.
Meldingen tar ulike former, deriblant spørsmål som «er det deg i denne videoen?» I dag er denne meldingen ren tekst, men det kan tenkes at den ville være mer fristende å klikke på om den inkluderer et manipulert bilde av mottakeren i en eller annen provoserende situasjon.
Å manipulere ett og ett bilde for hånd ville selvsagt være tidkrevende, men ved å kombinere deepfake-teknologi og bilder hentet fra offerets sosiale medier kan prosessen automatiseres.
Gamle metoder fungerer fortsatt godt
At disse etterligningene ofte vil være lette å avsløre er helt greit for svindlerne. Det gjør det lettere å luke ut hvem som er troende til å følge svindelen hele veien til sluttpunktet.
– Å gå på en slik svindel vil ikke nødvendigvis handle om naivitet – det kan like gjerne være biologien som jobber mot deg, sier Busch.
– De fleste av oss får dårligere hørsel med årene, og det kan gjøre det vanskeligere for eldre å avsløre at noe er merkelig med stemmen som ringer.
Dette høres unektelig effektivt ut og er allerede teknisk mulig å gjennomføre. Så hvorfor opplever vi ikke en overflod av denne typen svindel allerede?
– Tiden er ikke moden for det, i hvert fall ikke mot privatpersoner. I de tilfellene der vi ser at deepfake-teknologien er brukt mot bedrifter, krever dette stor innsats fra de kriminelle, sier Busch.
– Det er mange enklere og mindre ressurskrevende svindelmetoder som ennå fungerer veldig godt mot mannen i gata – dessverre. Men, vi vet at deepfake vil bli en del av våpenarsenalet til disse aktørene når nok dører er blitt lukket for dem.
Ikke «god» eller «ond» teknologi
Busch understreker at det han snakker om i stor grad er spekulasjoner. Nøyaktige fremtidsspådommer er få forunt, men samtidig handler datasikkerhet nettopp om å ha et øye på mulige scenarier etter hvert som teknologien gjør dem mulig.
– Dette er en utvikling Telenor følger nøye med på, og vi håpe å kunne tilby kundene våre løsninger på dette om det blir et reelt problem i framtiden.
Telenors sikkerhetstjeneste SAFE innholder allerede en svindelforsikring, som dekker alle typer svindelforsøk – også de som eventuelt måtte komme som følge av deepfake-svindel og tilhørende identitetstyverier.
Avslutningsvis er det viktig å minne om at maskinlæring i seg selv ikke er en «god» eller «ond» teknologi.
Den kan ta sportsresultater fra ørten fotballkamper i tredjedivisjon og skrive lange og fine tekster om hver av dem, eller gi oss tidenes latterkrampe ved å gi hele familien katteansikter via et Snapchat-filter.
– Det blir som et hvitt ark, hvor du kan tegne både et hjerte og et hakekors, sier Busch.
– Alt kommer an på bruken.
Eksempel på mobbing og trusler med deepfake:
Det er ikke alltid slik at en deepfake trenger å lure noen for å være skadelig. Teknologien kan også misbrukes til trakassering og trusler.
Et åpenbart tilfelle det allerede finnes mange eksempler på er å manipulere inn ansikter i pornofilmer.
En mer uutforsket men vel så skremmende taktikk kan være å gjøre det samme for voldshandlinger med det formål å true mottakeren. Enten med manipulerte bilder av mottakeren selv eller av barn eller øvrig familie.
Det kan også være trusler om å spre ubehagelige videoer av offeret til venner og kjente om et offer ikke betaler penger.
– Selv om du vet det ikke er riktig får du et oppryddingsarbeid, og det kan være lett å føle seg maktesløs, sier Busch.
– Det kan være flaut å sende ut e-poster til gud og hvermann om at «ok, nå vil du motta en melding eller video av meg, og jeg ber deg om ikke å se på den det».