Biometrische authenticatie & deepfakes
Biometrische beveiliging, zoals gezichtsherkenning en stemauthenticatie, is niet langer waterdicht door deepfakes. Geavanceerde AI kan gezichten, stemmen en vingerafdrukken nabootsen, waardoor kwaadwillenden systemen kunnen misleiden. Dit vraagt om extra beveiligingsmaatregelen en bewustwording.
Biometrische authenticatie
Met biometrische authenticatie wordt de methodiek gebruikt waarin een unieke en herkenbare eigenschap van de gebruiker, een gezicht, vingerafdruk of stem, wordt gebruikt om in te loggen. Jarenlang was dit de de facto standaard om waterdicht aan te tonen dat degene die inlogt daadwerkelijk de gebruiker is.
Deepfakes
Maar nu met de opkomst van GenAI (generatieve AI modellen) en met name deepfakes is er meermaals aangetoond dat deze systemen relatief eenvoudig te omzeilen zijn door deepfakes van deze gegevens te maken.
Gezichtsherkenning
Een veelvoorkomend voorbeeld is dat er met een foto van de gebruiker ingelogd kan worden met gezichtsherkenning. Vaak werken dit soort systemen alleen op basis van optische herkenning door een reguliere camera te gebruiken.
Een uitzondering hierop is het FaceID-systeem van Apple die dieptesensoren naast reguliere camera’s gebruikt om contouren in een gezicht te herkennen door middel van infrarood.
Er is ook een bekend geval waarin criminelen door middel van deepfakes in een videocall een financieel medewerker van een organisatie wisten te verleiden om 25 miljoen dollar over te maken. Achteraf bleek dat iedere deelnemer in de call was gefabriceerd met een deepfake.
Voor de gebruiker is dit onzichtbaar, maar voor software niet. In veel gevallen zijn er bepaalde artifacts (pixels die nét niet helemaal kloppen) waar te nemen door bijvoorbeeld tools als DuckDuckGoose.
Stemmen namaken
Er zijn ook legio gevallen bekend waarbij GenAI modellen kunnen worden getraind om exact stemmen na te bootsen.
Een toenemende tactiek is dat dit ook wordt ingezet in audiogesprekken om gebruikers om de tuin te leiden.
In sommige gevallen zijn dit zelfs multi-channel aanvallen waarbij eerst een gebruiker per mail of chat wordt verleid om contact te leggen en vervolgens wordt gebeld door iemand die de stem van een VIP binnen de organisatie met een deepfake heeft nagebootst.
Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?
Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.
Meer weten? Neem contact met ons op!
Meer artikelen
- Coalitieakkoord 2026-2030: wat betekent dit voor cyberveiligheid en digitalisering?Het nieuwe Nederlandse coalitieakkoord bevat voor het eerst een duidelijke focus op digitale autonomie, cybersecurity en technische innovatie (eindelijk!). Daarmee erkent het kabinet dat digitale weerbaarheid geen onderwerp op de achtergrond is, maar onderdeel van nationale strategie en bedrijfsvoering.
- MongoBleed: waarom open MongoDB-servers een structureel risico vormenRecent werd duidelijk hoe groot de impact kan zijn van verkeerd geconfigureerde databases. Onderzoekers zagen actieve exploitatie van de zogenoemde MongoBleed-kwetsbaarheid, waarbij […]
- React2shell: nog veel bedrijven kwetsbaarUit onderzoek van de ShadowServer Foundation blijkt dat de kwetsbaarheid CVE-2025-55182, ook wel React2Shell genoemd, nog te vinden is op meer dan […]
- React2Shell: kritieke React kwetsbaarheidKritieke React/Next.js-kwetsbaarheid: wat je moet weten Recent is een ernstige kwetsbaarheid ontdekt in React Server Components (RSC) en de server-implementatie in Next.js. […]
- Infostealer-malware: het stille risico dat vaak te laat wordt ontdektInfostealer-malware krijgt minder aandacht dan ransomware, maar vormt in veel organisaties een groter en vooral stiller risico. Waar ransomware de boel platlegt […]