Deepfake CFO: Шахрайство з відеодзвінком на 25 мільйонів доларів

Резюме: Раніше ми казали «Я повірю, коли побачу». ШІ вбив це правило. Ця стаття аналізує крадіжку 25 мільйонів доларів через Deepfake у Гонконзі та створює новий протокол 'Підтвердження людяності' (Proof-of-Humanity) для крипто-команд.

Відмова від відповідальності: Ця стаття посилається на справу Arup Hong Kong 2024 в освітніх цілях.

---

---

1. Пограбування: Кімната, повна фальшивих облич

На початку 2024 року фінансовий працівник транснаціональної компанії в Гонконзі отримує повідомлення від фінансового директора (CFO): Надішліть 25 мільйонів доларів для секретного придбання.

Працівник запідозрив недобре. Це була величезна сума.

Тому він попросив відеодзвінок.

Дзвінок:

Працівник приєднався до Zoom. Він побачив CFO. Він побачив інших колег, яких знав. Вони виглядали справжніми. Вони звучали справжньо. Вони обговорювали угоду.

Працівник зробив переказ.

Поворот сюжету:

Усі учасники дзвінка, крім жертви, були ШІ-діпфейками. Шахраї використовували публічні відео керівників, щоб навчити моделі, які імітували їх у реальному часі.

2. Чому клонування голосу небезпечне в крипті

У крипті ми часто покладаємося на «Голосове підтвердження» (Voice Confirmation) для великих позабіржових (OTC) угод або підписання мультипідписів (Multisig).

Інструменти, такі як ElevenLabs, можуть клонувати голос лише за 30 секунд аудіо.

• Сценарій: Ви отримуєте голосове повідомлення в Telegram від свого співзасновника: "Hey buddy, I lost my Ledger. Can you multisig to move the funds to the backup wallet?"
• Це звучить точно як він. Той самий ритм, той самий сленг.
• Ви підписуєте. І все скінчено.

3. Перетин "Зловісної долини" (Uncanny Valley)

Сучасні діпфейки в реальному часі (як у справі Гонконгу) справляються з:

• Синхронізацією губ (рот рухається разом зі звуком)
• Рухами голови та морганням
• Змінами освітлення

Ви більше не можете покладатися на візуальні «глюки». Технологія розвивається занадто швидко.

4. Рішення: Протокол виклику (Challenge Protocol)

Якщо ви не можете довіряти своїм очам чи вухам, ви повинні довіряти Логіці та Криптографії.

"Фізичний виклик"

ШІ все ще бореться зі складними та специфічними фізичними реакціями в реальному часі.

Якщо у вас виникли підозри під час дзвінка, попросіть іншу особу:

1. "Поверніть голову повністю ліворуч і торкніться правого вуха."
2. "Помахайте рукою повільно перед обличчям." (Це часто ламає фільтр маски ШІ).

Перевірка "поза каналом" (Out-of-Band)

Не перевіряйте через той самий канал, через який ви отримали запит.

• Якщо запит надійшов через Zoom, перевірте повідомленням у Signal.
• Якщо він надійшов через Telegram, Зателефонуйте.

Примітка: Телефонні дзвінки також можуть бути перехоплені через SIM Swap. Переконайтеся, що ви вбили SMS і використовуєте апаратний ключ, перш ніж довіряти дзвінкам.

"Стоп-слово" (Safe Word)

Встановіть «Код примусу» або «Стоп-слово» зі своїми співзасновниками та родиною.

Це слово, яке ви ніколи б не використали у звичайній розмові. Якщо голосове повідомлення з проханням про гроші не містить цього слова — воно фальшиве.

Висновок

Ера «Цифрової довіри» закінчилася. Ми живемо в епоху Нульової довіри (Zero Trust). Будь то корпоративний переказ на 25 мільйонів чи крипто-обмін на 5000. Перевіряйте Людину перед тим, як виконати Транзакцію.