Biometrische authenticatie & deepfakes
Biometrische beveiliging, zoals gezichtsherkenning en stemauthenticatie, is niet langer waterdicht door deepfakes. Geavanceerde AI kan gezichten, stemmen en vingerafdrukken nabootsen, waardoor kwaadwillenden systemen kunnen misleiden. Dit vraagt om extra beveiligingsmaatregelen en bewustwording.
Biometrische authenticatie
Met biometrische authenticatie wordt de methodiek gebruikt waarin een unieke en herkenbare eigenschap van de gebruiker, een gezicht, vingerafdruk of stem, wordt gebruikt om in te loggen. Jarenlang was dit de de facto standaard om waterdicht aan te tonen dat degene die inlogt daadwerkelijk de gebruiker is.
Deepfakes
Maar nu met de opkomst van GenAI (generatieve AI modellen) en met name deepfakes is er meermaals aangetoond dat deze systemen relatief eenvoudig te omzeilen zijn door deepfakes van deze gegevens te maken.
Gezichtsherkenning
Een veelvoorkomend voorbeeld is dat er met een foto van de gebruiker ingelogd kan worden met gezichtsherkenning. Vaak werken dit soort systemen alleen op basis van optische herkenning door een reguliere camera te gebruiken.
Een uitzondering hierop is het FaceID-systeem van Apple die dieptesensoren naast reguliere camera’s gebruikt om contouren in een gezicht te herkennen door middel van infrarood.
Er is ook een bekend geval waarin criminelen door middel van deepfakes in een videocall een financieel medewerker van een organisatie wisten te verleiden om 25 miljoen dollar over te maken. Achteraf bleek dat iedere deelnemer in de call was gefabriceerd met een deepfake.
Voor de gebruiker is dit onzichtbaar, maar voor software niet. In veel gevallen zijn er bepaalde artifacts (pixels die nét niet helemaal kloppen) waar te nemen door bijvoorbeeld tools als DuckDuckGoose.
Stemmen namaken
Er zijn ook legio gevallen bekend waarbij GenAI modellen kunnen worden getraind om exact stemmen na te bootsen.
Een toenemende tactiek is dat dit ook wordt ingezet in audiogesprekken om gebruikers om de tuin te leiden.
In sommige gevallen zijn dit zelfs multi-channel aanvallen waarbij eerst een gebruiker per mail of chat wordt verleid om contact te leggen en vervolgens wordt gebeld door iemand die de stem van een VIP binnen de organisatie met een deepfake heeft nagebootst.
Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?
Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.
Meer weten? Neem contact met ons op!
Meer artikelen
- React2Shell: kritieke React kwetsbaarheidKritieke React/Next.js-kwetsbaarheid: wat je moet weten Recent is een ernstige kwetsbaarheid ontdekt in React Server Components (RSC) en de server-implementatie in Next.js. […]
- Infostealer-malware: het stille risico dat vaak te laat wordt ontdektInfostealer-malware krijgt minder aandacht dan ransomware, maar vormt in veel organisaties een groter en vooral stiller risico. Waar ransomware de boel platlegt […]
- Waarom verouderde Exchange-servers nu een acuut risico vormenMicrosoft Exchange blijft een aantrekkelijk doelwit voor aanvallers. Nu Microsoft de ondersteuning voor Exchange 2016 en 2019 heeft beëindigd, worden de risico’s […]
- Wat het Louvre ons leert over digitale hygiëne en hoe herhaling voorkomen kan wordenDe diefstal van de Franse kroonjuwelen uit het Louvre kreeg een onverwacht digitaal staartje: het wachtwoord van het CCTV-systeem bleek simpelweg “Louvre” […]
- Don’t say no, say how: waarom security teams moeten meebewegen met innovatieIn de wereld van cybersecurity is één ding zeker: als je als securityteam “nee” zegt, zullen gebruikers altijd “hoe dan wel?” zeggen […]