עולם הסייבר עובר בשנה האחרונה טרנספורמציה מטרידה, כאשר טכנולוגיית ה-Deep Fake (זיוף עמוק) הופכת מכלי שעשוע ברשת לנשק יעיל בידיהם של האקרים. חברת אבטחת המידע והסייבר ESET מפרסמת אזהרה חדשה וממוקדת, המצביעה על עלייה משמעותית במספר ההונאות הטלפוניות המבוססות על זיופי קול באמצעות בינה מלאכותית. לפי חוקרי החברה, התוקפים כבר לא מסתפקים במיילים מזויפים או בהודעות טקסט, אלא עוברים להתחזות ישירה למנכ"לים, ספקים או בכירים אחרים בארגון. המטרה ברורה: ניצול האמון הבסיסי שאנחנו נותנים בקול מוכר כדי לשכנע עובדים לבצע העברות כספים דחופות, לאפס סיסמאות קריטיות או למסור פרטי גישה לרשת הארגונית.
האיום הזה, כך מדגישים ב-ESET, אינו מוגבל רק לנזק כלכלי ישיר, אלא משמש גם כנתיב עוקף לתהליכי אימות לקוחות ואף מאפשר לגורמים עוינים להתחזות למועמדים לעבודה בראיונות טלפוניים.
הקלות שבה ניתן להוציא לפועל מתקפה כזו היא אחד הגורמים המדאיגים ביותר במשוואה הנוכחית. אלכס שטיינברג, מנהל מוצרי ESET בקומסקיור, מסביר כי התהליך מתחיל בבחירת "דמות מטרה" - בדרך כלל דמות בעלת סמכות כמו סמנכ"ל כספים או מנכ"ל. התוקף לא צריך מאמץ רב כדי להשיג את דגימת הקול הנדרשת; מספיק לאתר ברשת קטע קצר מתוך פודקאסט, ריאיון בטלוויזיה, סרטון ביוטיוב או אפילו הקלטה של שיחת ועידה פומבית. לאחר עיבוד הקול באמצעות כלי AI, התוקפים לעיתים שולחים מייל מקדים כדי לבנות תשתית של אמינות ודחיפות, ורק אז מבצעים את שיחת הטלפון. התוצאה היא קול מזויף שנשמע משכנע מספיק כדי להטעות גם עובדים שעובדים בצמידות לאותו מנהל ומכירים את גוון קולו היטב.
הסכנה האמיתית לא טמונה רק בטכנולוגיה, אלא בשילוב שלה עם הנדסה חברתית קלאסית. התוקפים מפעילים לחץ פסיכולוגי כבד, מייצרים תחושת דחיפות מלאכותית ולעיתים דורשים מהעובד לשמור על סודיות מוחלטת בטענה שמדובר ב"עסקה רגישה". במצב כזה, עובד ששומע את קולו של המנהל שלו מבקש עזרה דחופה, יתקשה לעצור ולחשוב באופן רציונלי. למרות זאת, ישנם סימנים שיכולים לעורר חשד: קצב דיבור שאינו טבעי, טון רגשי שטוח מדי, חיתוך דיבור שנשמע מלאכותי או היעדר מוחלט של נשימות בין משפטים. במקרים מסוימים, הקול עשוי להישמע מעט רובוטי, בדומה לסייעניות קוליות מוכרות, או שרעשי הרקע בשיחה נשמעים "סטריליים" ואחידים מדי.
ההיסטוריה מראה שהפוטנציאל לנזק הוא עצום. ב-ESET מזכירים מקרה בולט מ-2020 שבו עובד בחברה באיחוד האמירויות העביר 35 מיליון דולר לאחר שחשב כי מנהל החברה ביקש זאת ממנו לצורך עסקת מיזוג. מאז אותה תקרית, יכולות ה-AI רק השתכללו, והפכו את הזיהוי האנושי לכמעט בלתי אפשרי בשיחה חיה. שטיינברג מדגיש כי הארגונים חייבים לשנות גישה ולהפסיק להסתמך על זיהוי קולי כערובה לאמינות. ההמלצה היא לאמץ נהלים נוקשים הכוללים אימות בערוץ תקשורת נפרד (למשל, הודעה בווטסאפ או שיחה חוזרת למספר הרשמי) לכל בקשה חריגה, ודרישה לאישור של יותר מגורם אחד להעברות כספים.