Geautomatiseerde “levendigheidscontroles” die door banken en andere instellingen worden gebruikt om de identiteit van gebruikers te helpen verifiëren, kunnen gemakkelijk om de tuin worden geleid door deepfakes, zo blijkt uit een nieuw rapport.

Deepfakes zijn met kunstmatige intelligentie gemaakte video’s, waarin iemand iets lijkt te zeggen dat hij nooit zelf heeft gezegd. Het is een vorm van digitale face-swapping, dat niet van echt te onderscheiden is.

Uit onderzoek van Sensity.AI, dat gespecialiseerd is in het opsporen van digitale aanvallen, blijkt dat deepfakes bijna vijf keer beter zijn in het oplichten van beveiligingsprogramma’s dan traditionele methodes, zoals afgedrukte foto’s die voor de camera worden geplaatst of realistische maskers. In 86 procent van de gevallen zijn deepfakes succesvol, volgens de onderzoekers. Francesco Cavalli, mede-oprichter van Sensity.AI, zegt dat banken maandelijks met 1.500 spoofing-aanvallen op basis van deepfakes te maken krijgen.

Know-your-customer

De meeste banken en bedrijven maken gebruik van een verificatieproces genaamd know-your-customer (KYC), om te voldoen aan antiwitwaspraktijken en om te bevestigen dat personen zijn wie zij beweren te zijn. De meest gebruikte methode is het tonen van een identiteitskaart in combinatie met het maken van een selfie. Deze foto’s moeten dan matchen. 

Ook wordt er vaak als aanvulling een zogenaamde “levendigheidscontrole” uitgevoerd, waarbij een gebruiker gevraagd wordt om te lachen of te knipperen met de ogen. 

Uit het onderzoek van Sensity.AI blijkt nu echter dat deze standaard KYC-praktijken zeer kwetsbaar zijn voor deepfakes. Fraudeurs kunnen op het internet gestolen ID’s kopen en in combinatie met deepfakes gemakkelijk bankrekeningen openen op naam van iemand anders. 

Sensity.AI deelde zijn bevindingen met verschillende fabrikanten van verificatiesystemen, maar die leken de aanvallen niet significant te vinden. Om juridische redenen zijn de namen van de bedrijven niet gepubliceerd door de onderzoekers.

In een rapport van de University College of London worden deepfakes genoemd als de ernstigste bedreigingen van digitale criminaliteit tot nu toe. 

Deepfake Zelensky

De Amerikaanse FBI begint zich steeds meer zorgen te maken over deepfake-video’s, van onder andere de Oekraïense president Zelensky. Hoofd van de Cyberdivisie, Pranav Shah, zegt dat het steeds makkelijk wordt om mensen digitaal te misleiden. De Amerikanen zijn bang dat de Russen een deepfake verspreiden waarin de Oekraïense president de capitulatie van het land aankondigt. “Stel je voor dat je Zelensky op tv ziet. Je ziet hem, je hoort hem en daarom zal het wel waar zijn”, aldus Shah.

Vorig jaar verscheen er een video van de Nederlandse premier Mark Rutte, afkomstig van de Nederlandse website De Correspondent. In de video hield Rutte een toespraak waarin hij de noodklok luidde over de klimaatveranderingen en kondigde hij aan hiertegen een drastisch beleid te gaan voeren. Het bleek later te gaan om een deepfake-video en was niet van echt te onderscheiden. De Correspondent deed dit met opzet, om te tonen wat de gevaren van de techniek en fake news zijn. 

(evb)