Huijarit löysivät uuden katalan keinon – Varoitus ”edistyneestä manipuloinnista”

Tekoälylle on löytynyt verkkorikollisten keskuudessa käyttöä monessa eri muodossa.

Äänen lisäksi myös videokuvaa voi väärentää kohteen sumuttamiseksi. Inka Soveri

Verkkorikollisuus on saanut tekoälyn ansiosta uusia keinoja kohteiden huijaamiseen. Tekoälyllä kirjoitetut huijaussähköpostit ovat aiempaa uskottavampia, mutta siitä on myös muita hyötyjä verkkorikollisille.

Tietoturvayhtiö Check Point vertaa tiedotteessaan nykyaikaisten verkkorikollisten toimintaa oikeisiin yrityksiin. Rikolliset hyödyntävät puuhissaan muun muassa pilvi-infrastruktuuria sekä automaatiota.

Kun puhutaan tekoälystä, ensimmäisenä tulee luultavasti mieleen tekstiä ja nykyään myös kuvia luova Chat GPT. Tekstitekoälyt ovatkin hyödyllinen väline huijaustekstien rustaamiseen.

Aiemmin sähköpostihuijaukset tunnisti usein helposti siitä, että niiden suomen kieli oli horjuvaa. Enää sujuva kieli ei ole kuitenkaan tae viestin aitoudesta. Tekoälytyökaluilla huijarit voivat luoda tasokkaita huijausviestejä yli sadalla kielellä, vaikka eivät itse osaisi kyseistä kieltä lainkaan.

Chat GPT:n ja muiden suosittujen tekoälyjen sijasta rikolliset saattavat käyttää työkaluja, jotka on räätälöity juuri laittomuuksia varten. Rikollispiireissä kiertää tekoälymalleja, joilla on nimiä kuten Evil GPT, Worm GPT, Fraud GPT ja niin edelleen.

Tekstin lisäksi myös kuvaa ja ääntä voi väärentää tekoälyn avustuksella.

Check Point mainitsee tiedotteessaan esimerkin, jossa huijarit kloonaavat yrityksen rahoitusvastaavan äänen. Tekaistu ääni voi sen jälkeen sanoa puhelimessa, että kohteella on lupa maksaa yrityksen saama ”lasku”, joka oikeasti on huijarien lähettämä.

Deepfake-teknologian ansiosta jopa liikkuvaa kuvaa voi väärentää. Viime vuonna hongkongilainen pankki menetti 24 miljoonaa euroa vastaavan summan deepfake-huijareille, jotka esiintyivät videopuhelussa kohteen työkavereina.

Agentti lähettää viestin

Kokonaan oman ongelmansa tuottavat tekoälyagentit, jotka voivat toimia pitkälti ilman ihmisen valvontaa. Ne osaavat myös tarkkailla, miten kohde reagoi, ja muuttaa toimintaansa sen mukaan.

Jos sähköposti ei tuota toivottua reaktiota kohteessa, agentti voi lähettää seuraavaksi tekstiviestin. Jos sekään ei saa kohteeseen liikettä, saattaa vuorossa olla Linkedin-viesti tai puhelu, jossa käytetään tekaistua ääntä.

Tietoturva-alalla ilmiölle on annettu englanniksi nimitys advanced persistent manipulation (APM), eli suomeksi suunnilleen ”edistynyt sitkeä manipulointi”.

Check Point vihjaisee tiedotteessaan, että huijausten uhriksi joutumiselta voi välttyä käyttämällä itsekin tekoälyä yrityksessä. Tekoäly voi esimerkiksi suodattaa hämärät sähköpostit paljon tehokkaammin kuin perinteinen roskapostisuodatin.