AI & cybersäkerhet / Offensiv AI / Deepfakes & social manipulation

Offensiv AI

Deepfakes & social manipulation

Offensiv AI

Syntetiska medier — video, ljud och text — för att manipulera individer och underminera förtroendet för kommunikation.

En deepfake är syntetiskt ljud, video eller bild genererad av AI för att imitera en verklig person. Tekniken är inte längre experimentell, röstkloning fungerar från tre sekunders källjud, och realtidsdeepfakes av video är övertygande nog att lura ekonomiansvariga på direktsända videosamtal. Det som gör deepfakes farliga i ett säkerhetssammanhang är inte tekniken i sig, utan hur den passar in i existerande social engineering-spelplaner. Det traditionella försvaret mot business email compromise var "om något verkar misstänkt, få chefen i telefon", det försvaret utnyttjas nu aktivt av angripare som kan producera chefens röst på begäran.

What you'll learn

Key takeaways from this topic.
  • Förklara hur röstkloning och video-deepfakes förändrat verifieringssteget i social engineering-attacker.
  • Identifiera den typiska attackkedjan i deepfake-driven bedrägeri, från rekognosering till ekonomisk förlust.
  • Beskriva de verifieringskontroller som fortfarande fungerar när ljud och video inte längre kan litas på som identitetsbevis.

I korthet

En snabb mental modell innan du går på djupet.
Grundbegrepp
  • Röstkloning
  • Video-deepfakes
  • Syntetisk identitet
Tekniker
  • Imitation av chefer
  • Bedrägeri via realtidsvideo
  • Multimodala attackkedjor
Försvar
  • Verifiering via separat kanal
  • Delad-hemlighet-utmaningar
  • Processbaserade kontroller

Kärnidén

Tekniken bakom deepfakes spelar mindre roll än det antagande den bryter. I decennier behandlade organisationer mänskliga sinnen som en verifieringskanal. Om du hörde din CFO:s röst i telefon var det bekräftelse. Om du såg din VD på ett videosamtal var det bekräftelse. Intern bedrägerifö rebyggande träning rekommenderade tidigare "lyft luren och ring tillbaka" som den gyllene motåtgärden mot misstänkta mejlförfrågningar. AI-genererat ljud och video har systematiskt brutit det antagandet, vilket betyder att hela verifieringsmodellen måste byggas om kring något annat än vad offret ser och hör.

Tröskelkollapsen är det andra centrala faktumet. Röstkloning från några sekunders källjud krävde tidigare specialiserade forskningslabb. Vid 2024 hade kommersiella verktyg gjort det tillgängligt för vem som helst, och open source-modeller pressade ner kostnaden till i princip noll. Arup-fallet i början av 2024, där en anställd lurades att överföra 25 miljoner dollar efter ett videosamtal där varje chef som närvarade var en deepfake, visade att den gränsen redan var passerad.

Den begreppsmässigt viktiga förändringen är att behandla sensorisk verifiering som bevis som kan förfalskas, precis som mejlheaders och signaturer kan förfalskas. De motåtgärder som överlever den här förändringen är procedurmässiga och out-of-band: verifiering via en kanal angriparen inte tillhandahöll, krav på att flera människor godkänner högrisk-åtgärder, och delade hemligheter eller callback-procedurer som deepfaken inte kan reproducera.

Hur det fungerar

En deepfake-driven social engineering-attack följer en igenkännbar kedja. Först väljer angriparen en målorganisation och identifierar ett högförtroende-imitationsmål, vanligtvis en chef eller ekonomiansvarig vars röst och ansikte är offentligt tillgängliga via kvartalspresentationer, konferensföredrag, podcasts eller företagsvideor. Så lite som tre sekunders rent ljud räcker för att producera en övertygande röstkon med moderna verktyg.

Sedan bygger angriparen en pretext som passar den imiterade personens roll. Det vanligaste mönstret är en konfidentiell, tidskritisk finansiell transaktion som rättfärdigar att normala godkännandeprocedurer kringgås. Den här pretexten utnyttjar två psykologiska spakar samtidigt: auktoritet och brådska.

Arup-attacken i Hongkong och den efterföljande Singapore-varianten använde båda mönstret att börja med ett mejl, eskalera till videosamtal när offret tvekar. Deepfaken i videosamtalet gav den verifiering offret letade efter, vilket är precis varför det var effektivt. I Arup-fallet behandlades 15 separata transaktioner på totalt 25 miljoner dollar innan bedrägeriet identifierades.

Verklig påverkan

Data är inte längre anekdotisk. FBI:s Internet Crime Report för 2024 tillskrev 2,77 miljarder dollar i förluster till AI-assisterad business email compromise över mer än 21 000 incidenter. Deepfake vishing, voice phishing med klonat ljud, steg med över 1 600 procent i Q1 2025 jämfört med Q4 2024 i amerikanska incidenter enbart. Deloitte projekterade AI-bedrägeriförluster mot amerikanska företag till runt 40 miljarder dollar årligen vid 2027.

Fallstudierna är lika konkreta. I början av 2024 överförde en Arup-anställd 25 miljoner dollar efter ett videokonferenssamtal där varje deltagare utom offret var en deepfake. I mars 2025 godkände en finansdirektör vid ett företag i Singapore en överföring på 499 000 dollar efter ett liknande samtal. Ferrari-chefer stoppade sin attack 2024 genom att fråga deepfaken vilken bok den verkliga VD:n nyligen rekommenderat, deepfaken kunde inte svara.

Mönstret över dessa incidenter är konsekvent: deepfaken är sällan den enda attackvektorn. Den är verifieringslagret i en flerstegsattack. Framgångsrika försvar lyckades tack vare procedurmässiga kontroller, callback till ett känt nummer, delade hemligheter, godkännande av flera parter, som var oberoende av vad offret såg och hörde.

Warning signs

Mönster som är värda att undersöka vidare.
  • En högt uppsatt chef kontaktar en anställd via en kanal som inte matchar deras normala kommunikationsmönster (WhatsApp istället för mejl, privattelefon istället för kontorslinje) med en brådskande finansiell eller åtkomstrelaterad begäran.
  • Ett direktsänt videosamtal uppvisar subtila artefakter: onaturlig ögonrörelse, asymmetriska ansiktsreaktioner, ljud som inte perfekt synkar med munrörelser, eller försämrad videoupplösning som bekvämt döljer finare detaljer.
  • En brådskande begäran åtföljs av uttryckliga instruktioner att inte verifiera med någon annan eller att hålla saken konfidentiell inom en liten grupp.

FÖRDJUPNING

Varför röstkloning bröt callback-försvaret

Större delen av 2010-talet sade träningen kring business email compromise samma sak: ring tillbaka när du är osäker. Logiken var sund. Även om en angripare kunde spoofa ett mejl kunde de inte producera chefens röst i realtid. Telefonsamtalet var en pålitlig andrakanal.

Röstkloning bröt det försvaret snabbt. 2019, i det första offentligt dokumenterade röstkloningsbedrägeriet, krävdes timmar av källjud. Vid 2024 demonstrerade McAfee och andra att tre till fem sekunder av källmaterial räckte för att producera kloner med 85-procentig akustisk matchning.

Vad som överlever den här förändringen är callback till ett känt nummer från en telefonbok mottagaren upprätthåller oberoende av det meddelande som föranlett samtalet. Om mejlet ber om en överföring och tillhandahåller ett callback-nummer är det numret del av attacken. Om mottagaren ringer chefens kända kontorsnummer bryts attackkedjan.

Video-deepfakes i realtid

Video-deepfakes följde samma utvecklingslinje som röstkloner, med ungefär två års eftersläpning. De akademiska demonstrationerna 2017 krävde timmar av beräkningstid. Vid 2023 fanns realtids-face-swap-verktyg som standardprogramvara. I början av 2024 fungerade realtidsdeepfakes med flera personer tillräckligt bra för att lura en ekonomianställd på ett Zoom-samtal med flera deltagare.

Den tekniska mekanismen är begreppsmässigt enkel. En modell tränad på tillräckligt med bilder och video av målpersonen kan generera bildrutor av målets ansikte med vilken min som helst. De artefakter som avslöjar deepfaken, lätt inkonsekvent ögonrörelse, asymmetriska ansiktsuttryck, tillfällig desync mellan röst och läppar, är subtila nog att de flesta tittare i ett typiskt arbetsmöte inte kommer märka dem, särskilt under tidspress.

Arup-attacken är värd att studera i detalj. Offret kontaktades först via mejl, väckte misstanke och bad om verifiering. Angriparen arrangerade då ett videosamtal med flera deepfakade chefer, inte bara en, vilket gav den sociala bevisning som overred den inledande tveksamheten. Försvaret måste vara procedurmässigt: en separat godkännandekanal som var oberoende av själva samtalet.

OSINT-till-deepfake-pipelinen

Deepfakes genereras inte i ett vakuum. De kräver källmaterial, och det källmaterialet är nästan alltid offentligt tillgängligt. Chefers röster finns på kvartalspresentationer, konferensföredrag, podcasts och YouTube-intervjuer. Deras ansikten finns i företagsbiografier, nyhetsbilder och sociala medier.

Detta är samma OSINT-pipeline som driver AI-assisterad phishing, omfunktionerad för att mata deepfake-genereringsmodeller. Wiz VD:s röst klonades från ett offentligt tillgängligt konferensföredrag. Ferrari-VD:ns accent reproducerades från hans många offentliga framträdanden. Varje chef som framträder offentligt tillhandahåller också träningsdata för sin egen framtida imitation.

Det betyder inte att chefer ska försvinna från offentlig kommunikation. Det betyder att försvarsbasen måste anta att vilken offentlig person som helst kan deepfakas, och att skyddet kring den personens auktoritet måste designas därefter. Den rätta frågan är inte "hur förhindrar vi deepfaken" utan "vilken process gör en deepfake otillräcklig för att auktorisera handlingen".

Vad som fortfarande fungerar

Tre kategorier av försvar överlever deepfake-förändringen, och de delar alla en egenskap: de är inte beroende av att mottagaren skiljer äkta från fejk. Den första är out-of-band-verifiering, att bekräfta varje ovanlig eller högvärdig begäran via en kanal mottagaren kontrollerar. Kanalen måste vara en angriparen inte tillhandahöll.

Den andra är processbaserade kontroller, att ta bort enpersons-auktoritet över högrisk-åtgärder. Överföringar över ett tröskelvärde kräver två oberoende godkännare. Dessa kontroller fungerar eftersom de tvingar angriparen att kompromettera flera oberoende människor samtidigt.

Den tredje är delad-hemlighet-verifiering, att använda information som bara den verkliga personen skulle känna till och som inte finns i offentligt OSINT-material. Ferrari-cheferna stoppade sin attack genom att fråga deepfaken om en aktuell bokrekommendation. Detektionsteknik förbättras snabbt men bör inte förlitas på som primärt försvar. Det operativa försvaret mot deepfake-driven bedrägeri är procedurmässigt, inte tekniskt.