Een medewerker van een groot bedrijf heeft 25,6 miljoen dollar overgeschreven na een videocall met zijn CFO. Helaas bleek hij met een AI-gegenereerde deepfake gesproken te hebben.
Een medewerkere van een multinational in Hong Kong heeft aan den lijve ondervonden hoe AI phishing naar een hoger niveau tilt. De persoon in kwestie volgde een videocall met zijn CFO en andere bekende gezichten uit z’n bedrijf. In de call werd de medewerker door de CFO gevraagd om snel geld over te maken naar enkele lokale bankrekeningen. Uit de videovergadering bleek urgentie, en geen van de andere aanwezigen in de call vonden de vraag vreemd. Het slachtoffer maakte ter waarde van 200 miljoen Hong Kong-dollars aan geld over naar de rekening van criminelen.
Deepfake-CFO
Uiteindelijk bleek dat de medewerker niet echt in een call zat met zijn CFO. De CFO, net als alle collega’s, waren door AI gegenereerde deepfakes. De criminelen zouden publiek beschikbare beelden gebruikt hebben om de deepfakes te genereren.
De medewerker werd aanvankelijk via mail benaderd over de transacties en had wel degelijk argwaan. De videocall werd opgezet om het slachtoffer gerust te stellen en te overtuigen dat de transactie wel degelijk legitiem was.
lees ook
Ik klikte op een phishing-link, wat nu?
De politie in Hong Kong heeft verschillende mensen gearresteerd in verband met de diefstal. Het voorval toont vooral aan hoe riskant het wordt om online zaken te vertrouwen. Zelfs wanneer je het gezicht van je baas ziet en z’n stem hoort, kan je vandaag te maken hebben met phishing. AI-tools worden steeds beter, dus ga er maar vanuit dat de technieken meer wijdverspreid zullen geraken.
Argwaan troef
Je hier tegen wapenen is toegegeven moeilijk, maar niet onmogelijk. Bepaalde zaken kunnen criminelen moeilijk nabootsen. Indien het account van de CFO niet gehackt is, kunnen aanvallers zich wel voordoen als die persoon, maar blijft de vraag voor een meeting afkomstig van een fout adres. Zoiets zou argwaan moeten wekken. In geval van twijfel zelf een call opzetten via het adresboek van je onderneming, kan ook soelaas bieden. Eén gouden raad blijft: op het internet is het geen schande om té achterdochtig te zijn. Het alternatief is veel erger.