Z raportu Ironscales z 2024 roku wynika, że 75 proc. firm doświadczyło przynajmniej jednego incydentu związanego z deepfake w ciągu ostatniego roku. Natomiast 64 proc. spodziewa się, że ich liczba w ciągu 12-18 miesięcy przewyższy inne formy ataków, jak ransomware i przejęcie konta.

Ponad 94 proc. spośród 200 ankietowanych specjalistów IT wyraża obawy dotyczące zagrożenia, jakie
deepfake’i obecnie stanowią dla ich organizacji. Rośnie przy tym odsetek „bardzo zaniepokojonych” ekspertów.

Według Centrum Usług Finansowych Deloitte straty wynikające z oszustw bazujących na AI w USA rosną w tempie 32 proc. rocznie. Do 2027 r. mogą osiągnąć 40 mld dol. Ofiarą padały np. działy księgowości firm. Na podstawie deepfake’owych nagrań z „przełożonymi”, zlecały wykonanie przelewów na konta przestępców. Jeszcze groźniejsze mogą być deepfake’i głosowe w bankowości telefonicznej, gdzie stosowana jest głosowa weryfikacja.

Ofiarami oszustw deepfake padają też firmowe działy HR.

Zdaniem ekspertów firmy mogą stać się celem przestępców wykorzystujących deepfake. Gdy zdobędą oni np. próbki korespondencji mailowej i książkę adresową ofiary, mogą stosować AI do stworzenia spersonalizowanych wiadomości, naśladujących styl komunikacji danej osoby. Następnie roześlą je do wszystkich, z którymi ma kontakt. Takie działanie zwiększa skuteczność ataków phishingowych.

Firmy muszą mieć plan na deepfake

Aby chronić się przed oszustwami z użyciem deepfake, firmy powinny stosować podobne strategie, jak w przypadku innych zagrożeń cybernetycznych. Tak radzi Fortinet. Zaleca wielowarstwowe podejście, obejmujące nie tylko technologie, ale również zmiany procedur, szkolenia, plan działania na wypadek incydentu.

W badaniu Ironscales ponad 43 proc. specjalistów IT twierdzi, że obrona przed deepfake’ami będzie priorytetem bezpieczeństwa ich organizacji w ciągu najbliższych 12-18 miesięcy. Natomiast 48 proc. zapewnia, że będzie to ważna część ich operacji bezpieczeństwa.

Jednak tylko 20 proc. badanych przez Fortineta firm ma plan reagowania i komunikacji uwzględniający ataki z użyciem deepfake’ów.

Eksperci sugerują też, by zespół IT i bezpieczeństwa na bieżąco monitorował rozwój technik deepfake. Powinien edukować pracowników, w tym kadrę zarządzającą.