Cybercriminelen gaan steeds meer geavanceerde technieken gebruiken in hun oplichtingspraktijken. Naast voice-cloning, waarbij een stem van een bekende kan worden nagebootst, kan ook een persoon worden gekloond op beeld door middel van deepfake-technieken. Stel je voor dat jouw baas via een videocall vraagt om een dringende betaling uit te voeren naar een buitenlands rekeningnummer. Maar in werkelijkheid is dit de cybercrimineel die jou probeert op te lichten.
AI-technieken worden steeds beter en beschikbaar voor het groter publiek, dus ook kwaadwillenden. Dit gebeurt niet alleen maar in films of bij bekende personen zoals Elon Musk, maar cybercriminelen kunnen deze technieken ook bij jou gebruiken!
Deepfakes kan worden gebruikt in meerdere typen oplichting. In deze blog bespreek ik de verschillende vormen van oplichting waarbij deepfakes gebruikt kan worden, hoe je deepfakes kan herkennen en hoe je jezelf hiertegen kan beschermen!
Wat is een deepfake?
De meeste mensen kennen de nepvideo’s wel van Obama of Trump waarbij de president op dat moment onwaarheden verkondigt. Dit is een voorbeeld van een deepfake, namelijk een nepvideo waarin iemand dingen zegt of doet die hij/zij nog nooit heeft gezegd of gedaan. Dit wordt ook wel synthetische media genoemd: media die zijn gemaakt of bewerkt met behulp van een kunstmatige intelligentie.
Deepfake-technologie
Deepfakes worden gemaakt met kunstmatige intelligentie (AI) algoritme: deep learning, vandaar de naam deepfake (combinatie van deep learning en fake). Deep learning is een techniek die zorgt ervoor dat computers nieuwe dingen kunnen leren op basis van grote hoeveelheden data.
Deepfake-software gebruikt AI om nepvideo’s te maken die net echt lijken. Vroeger was zulk software alleen te vinden in dure filmstudio’s, maar nu vaker gratis te downloaden en te gebruiken.
Welke vormen van cybercrime?
Er zijn een aantal vormen van oplichting waarin deepfakes al veel wordt gebruikt. Een van de bekendste vormen is het gebruik van bekende personen zoals Boef en Mr Beast die reclame maken voor een spel of gokwebsite. Een ander bekend voorbeeld, is een deepfake van Elon Musk die gebruikt wordt om jouw crypto over te maken naar een bepaalde website. Als je dit doet dan krijg je het dubbele bedrag van de cryptocurrency teruggestort. Maar dit zijn cryptoscams!
Op dit moment worden deepfakes het meest ingezet voor het maken van pornografische beelden. Namelijk 96% van alle deepfakes wordt ingezet voor wraakporno, sextortion of doxing. Bijvoorbeeld bij Sextortion, wordt gedreigd om beeldmateriaal van jou te publiceren waarop te zien is dat je seksuele handelingen uitvoert. Maar dit is gemanipuleerd beeldmateriaal, oftewel een deepfake. De cybercriminelen dreigen om deze beelden te publiceren als jij hun niet betaald. Ze vragen dus losgeld voor een nepvideo van jou! Maar als mensen geloven dat jij dit echt bent, kan dat reputatieschade aanrichten. Bij doxing en wraakporno kan gemanipuleerde beeldmateriaal gepubliceerd worden om wraak te nemen of om anderen op te roepen om jou lastig te vallen door ook een telefoonnummer te vermelden of zelfs een adres.
Gebruik van deepfakes in CEO-fraude
Een ander type vorm van fraude waar deepfakes nu vaker voorkomt is het gebruik van deepfakes in CEO-fraude. De cybercrimineel doet zich voor als een leidinggevende of CEO, en vraagt per e-mail aan een financiële medewerker om een openstaande factuur te betalen. Door middel van deepfakes en voice-cloning, zal deze type fraude steeds meer ook over de telefoon of video-call plaatsvinden. Wellicht in combinatie met e-mail, bijvoorbeeld je krijgt eerst een mailtje van jouw manager met een dringend verzoek om een betaling te doen en 5 minuten later videobelt de manager met dezelfde vraag. Dit kan leiden tot vertrouwen bij de financiële medewerker dat het een legitiem verzoek is.
Vriend-in-nood-fraude
Als laatste kunnen deepfakes ook gebruikt worden in vriend-in-nood-fraude. De cybercrimineel doet zich voor als vriend of familielid die in nood is en stuurt via Whatsapp vaak een berichtje met daarin de vraag om een betaling te doen voor bijvoorbeeld een nieuwe telefoon. Maar door middel van voice-cloning en deepfakes kunnen cybercriminelen zich voordoen als jouw zoon of dochter in beeld en geluid. Stel dat jouw zoon of dochter jou videobelt in paniek met de vraag om geld te lenen. Veel ouders zouden in zo’n geval willen helpen en geld overmaken. Maar in werkelijkheid maak je geld over aan de cybercriminelen.
Is het maken van een deepfake strafbaar?
Er is geen wet waarbij het creëren van een deepfake strafbaar is, maar het gaat om het doel waarvoor de deepfake wordt ingezet. Een deepfake maken kan in het kader van vrijheid van meningsuiting, een satire maken of voor legitieme doeleinden zoals in de filmindustrie.
Maar als de deepfake wordt gebruikt voor strafbare doeleinden, zoals oplichting is het zeker wel strafbaar. Ook als de deepfake schadelijk is voor de naam of gezicht van de (bekende) persoon, geldt er portretrecht. Dit betekent dat niet zomaar het gezicht van iemand gebruikt mag worden zonder toestemming.
Voorbeelden uit de praktijk
Cybercriminelen maakten eind 2023 gebruik van de stem en een deepfake van de Bunq-topman Ali Niknam om geld af te troggelen van zijn medewerkers. Dit was een CEO-fraude geval, maar gelukkig is de poging mislukt.
Onlangs verscheen er ophef over de website mrdeepfakes[.]com waarbij bekende personen werden gebruikt in pornografische beelden. De bekende personen deden aangifte en de beelden zijn verwijderd van de website.
In 2022 verscheen er ook deepfake porno-filmpje van Welmoed Sijtsma. De maker van de nepvideo plakte met behulp van deepfaketechnologie het gezicht van Sijtsma op dat van een pornoactrice. Het OM heeft een werkstraf geëist tegen de maker van het neppornofilmpje.
Naast Boef en Mr. Beast, zijn ook Nederlandse voetballers Virgil van Dijk is na Kevin de Bruyne gebruikt in deepfake-video’s. Op Instagram circuleerde een gokreclame van de aanvoerder van het Nederlands Elftal, Virgil van Dijk. In de reclame prijst hij een illegaal online casino aan. Ook kwam begin dit jaar waren op verschillende socials deepfake video's te zien van het NOS nieuws met een item waarin illegale casino's worden gepromoot. In de video’s zag je onder andere journaal presentatrice Malou Petter en Jeroen Tjepkema. Je hoort hun stemmen, maar wat ze zeggen is in werkelijkheid niet door hen gezegd. Dit is niet alleen het verspreiden van nepnieuws, maar er zit daadwerkelijk een verdienmodel achter door de makers van deze deepfakes.
Hoe herken je een deepfake?
Het is lastig om een deepfake te herkennen. AI-algoritmen worden steeds beter. Als er genoeg beeldmateriaal aanwezig is om het algoritme te trainen, zal de deepfake er realistisch uitzien. Soms loopt de audio en de lipbewegingen niet helemaal synchroon, of misvormt het gezicht een beetje. Maar ook dit zal steeds beter worden.
Maar een deepfake is altijd voorgeprogrammeerd, het komt (nog) niet voor dat er live een deepfake wordt gegenereerd. Denk aan de oplichtingsvorm CEO-fraude, waarbij jouw baas in een videocall vraagt om een dringende betaling. In zo een geval, zal de deepfake van te voren zijn opgenomen. Je kan in dit geval dus controle-vragen stellen om te kijken hoe jouw manager reageert. Wees extra alert op alles van digitaal gemanipuleerd kan worden.
Hoe wapen je jezelf tegen deepfakes gebruikt in online oplichting?
Ik wil het belang van kritisch en logisch nadenken benadrukken bij digitale communicatie:
- bij verdachte telefoontjes zoek altijd extra verificatie, hang op en bel terug naar een bekend nummer of stel unieke vragen
- bij verdachte e-mails zoek verificatie door te bellen naar de persoon met het nummer dat je kent of door zelfs fysiek naar de persoon toe te lopen. Klik niet zomaar op links alvorens je de mail hebt geverifieerd of deze legitiem is.
- gebruik een codewoord bij familie en vrienden maar ook binnen een bedrijf kan je een codewoord opstellen. Dit codewoord is een geheim woord die alleen jij / familie-vrienden / collega’s weten zodat je dit als verificatie kan gebruiken bij verdachte telefoontjes of videobelletjes.
🟩 Codewoord checklist 🟩
Ik heb de codewoord checklist ontwikkelt om je je hierbij te helpen.
Dit is wat je ontdekt met de Codewoord Checklist.
- Ontdek hoe een simpel codewoord je beschermt tegen cybercriminele
- Ontdek aan welke voorwaarden een goed codewoord voldoet.
- Bescherm jezelf en de mensen om je heen met deze simpele maar krachtige maatregel.
- Ontdek hoe je bij onverwachte verzoeken via whatsapp of sms voorkomt dat oplichters je geld aftroggelen.
Andere AI-technieken die gebruikt kunnen worden door cybercriminelen
Naast deepfakes wordt ook voice-cloning gebruikt in online oplichting. Hierbij wordt alleen de stem gekloond van een persoon. Alleen al een bekende stem gebruikt door cybercriminelen kan vertrouwelijk aanvoelen door de slachtoffers. Zo hebben cybercriminelen een betere kans dat jij in hun oplichtingspraktijken trapt. Ik heb hier een apart blog over geschreven waarin ik ook uitleg hoe jij je kunt wapenen tegen voice cloning.
AI wordt niet alleen gebruikt door cybercriminelen om synthetische media te maken, maar ook om nepteksten te schrijven. Zoals het schrijven van een perfecte phishing-mail door ChatGPT.
Conclusie
Deepfakes worden op dit moment al veel gebruikt om nepnieuws te verspreiden, maar ook om neppornovideo’s te maken en ook in online oplichting. Door de snelle ontwikkeling in deze AI-technieken gaat dit nog vaker voorkomen, waarbij niet alleen beeldmateriaal van bekende personen worden misbruikt maar ook jouw partner of kinderen kunnen worden gekloond.
Wees voorbereid en neem maatregelen om jezelf en jouw naasten te beschermen, want ook jij kan gekloond worden om anderen op te lichten.