Key takeaways

• De technologie voor het klonen van stemmen heeft een hoog niveau van verfijning bereikt, waardoor het mogelijk is om overtuigende synthetische stemmen te maken.
• Met behulp van een AI-gegenereerde stemkloon kreeg een journaliste met succes toegang tot haar bankrekeningen door de beveiligingsmaatregelen van stem-ID te omzeilen.
• De kwetsbaarheid kan worden uitgebuit in echte scenario’s, maar vereist fysieke toegang tot het geregistreerde telefoonnummer.

De technologie voor het klonen van stemmen is de afgelopen jaren aanzienlijk verbeterd, waardoor het nu mogelijk is om ongelooflijk realistische synthetische stemmen te maken. Beroemdheden zoals Martin Lewis en James Nesbitt zijn al slachtoffer geworden van oplichters die hun stemmen imiteerden, wat de gevaren van deze technologie onderstreept. Om de grenzen van stemkloning zelf te testen, besloot Shari Vahl, onderzoeksjournalist bij de BBC een expert in te schakelen om haar stem na te maken aan de hand van een radio-interview uit het verleden.

De uiteindelijke stemkloon was opvallend overtuigend; zelfs de collega’s op kantoor hadden moeite om het verschil met haar echte stem te horen. Het doel van het experiment was niet alleen om de nauwkeurigheid van de kloon te demonstreren, maar ook om te onderzoeken of de kloon in staat was om beveiligingsmaatregelen te omzeilen. De focus lag daarbij op het testen van de effectiviteit van stem-ID systemen, die door banken worden gebruikt voor telefonisch bankieren.

Beveiligingsmaatregelen van banken

Verschillende banken maken gebruik van spraakherkenningstechnologie, waarmee klanten hun identiteit kunnen verifiëren aan de hand van hun unieke stem, in plaats van traditionele wachtwoorden of pincodes. Met behulp van een opname van de AI-gegenereerde stem, die de zin “mijn stem is mijn wachtwoord” uitspreekt, kreeg Shari Vahl met succes toegang tot zowel haar Santander- als Halifax-rekeningen.

De eerste tests werden uitgevoerd in een gecontroleerde omgeving in de BBC-studio, met behulp van hoogwaardige luidsprekers. Om het concept verder te testen, herhaalde Shari Vahl het proces vanuit haar eigen keuken, gebruikmakend van een eenvoudige iPad-luidspreker. Dit toonde aan dat geavanceerde audioapparatuur niet noodzakelijk is om deze kwetsbaarheid te exploiteren.

Consequenties en reacties

Het is belangrijk op te merken dat de eerste succesvolle inlogpogingen te maken hadden met het bellen vanaf het geregistreerde telefoonnummer. Dit betekent dat een crimineel fysiek de telefoon zou moeten stelen en deze niet vergrendeld mag zijn om deze aanval uit te voeren. Hoewel dit niet eenvoudig is, zou een snelle diefstal (snatch) van de telefoon mogelijk toegang kunnen verschaffen.

Deskundige reactie en verdere discussie

De informatie die toegankelijk is na het omzeilen van voice ID tijdens een telefoonbankiersessie kan zeer waardevol zijn voor criminelen. Oplichters kunnen vertrouwen winnen door gedetailleerde kennis van de rekeninggegevens van een slachtoffer te tonen.

Toen Shari Vahl haar bevindingen deelde met de banken, benadrukte Santander hun vertrouwen in de veiligheid van voice ID. Ze stelden dat deze technologie betere bescherming biedt dan traditionele verificatiemethoden en onderdeel is van een meerlaagse aanpak van fraudepreventie. Halifax beschreef voice ID als een optionele beveiligingsmaatregel en benadrukte de verbeterde bescherming in vergelijking met kennisgebaseerde methoden, evenals hun inzet om klantrekeningen te beschermen.

Saj Huq, een expert op het gebied van cyberbeveiliging en lid van de National Cyber Advisory Board van de Britse overheid, sprak zijn verbazing en bezorgdheid uit over het feit dat Vahl toegang kon krijgen tot haar bankrekening met behulp van een gekloonde stem. Hij benadrukte dat dit incident de risico’s van de snelle vooruitgang van AI-technologie illustreert.

Wil je toegang tot alle artikelen, geniet tijdelijk van onze promo en abonneer je hier!