Сотрудница компании не распознала дипфейк и перевела $25 миллионов мошенникам. Как предотвратить такую ошибку
«29 января полиция получила сообщение от сотрудницы компании о том, что ее компания была обманута на сумму около 200 миллионов гонконгских долларов после того, как она получила звонки по видеоконференции от кого-то, представившегося старшим должностным лицом компании, с просьбой перевести деньги на определенные банковские счета», — говорится в заявлении полиции.
В силовых структурах добавили, что после первоначального расследования дело было классифицировано как «получение имущества путем обмана» и им занимается подразделение по борьбе с киберпреступностью. Никаких арестов пока произведено не было, расследование продолжается.
Общественная телекомпания Гонконга RTHK сообщила, процитировала исполняющего обязанности старшего суперинтенданта полиции Гонконга Барона Чана, который предположил, что мошенник использовал искусственный интеллект, чтобы обмануть работника.
«[Мошенник] пригласил информатора на видеоконференцию, в которой было быть много участников. Поскольку люди на видеоконференции выглядели как настоящие, информатор... совершил 15 транзакций в соответствии с инструкциями по пяти местным банковским счетам, на общую сумму 200 миллионов гонконгских долларов», — сказал Чан. — «Я считаю, что мошенник заранее скачал видео, а затем использовал искусственный интеллект, чтобы добавить поддельные голоса для использования в видеоконференции».
В RTHK добавили, что сотрудница получила сообщение от финансового директора компании, в котором говорилось о необходимости конфиденциальных транзакций. Уже после отправки денег сотрудница поговорила с головным офисом компании и поняла, что это мошенничество, сообщает RTHK.
«Из этого случая мы видим, что мошенники могут использовать технологию искусственного интеллекта на онлайн-встречах, поэтому люди должны быть бдительными даже на встречах с большим количеством участников, среди которых присутствует руководство компании», — сказал Чан.
Опасные дипфейки
Дипфейки, созданные с помощью искусственного интеллекта, распространяются в Интернете: платформа социальных сетей X была вынуждена приостановить поисковые запросы, связанные с Тейлор Свифт, в прошлом месяце после того, как ее аккаунт заполонили фэйковые откровенно сексуальные изображения поп-певицы. Фальшивая версия голоса президента США Джо Байдена также использовалась в звонках роботов избирателям на праймериз в Нью-Гэмпшире в прошлом месяце.
В январе британское агентство по кибербезопасности предупредило, что искусственный интеллект затрудняет выявление фишинговых сообщений, когда пользователей обманом заставляют передать пароли или личные данные.
Генеративный искусственный интеллект и право
Инструменты генеративного искусственного интеллекта могут создавать изображения, видео и голосовые копии реальных людей, говорящих и делающих то, чего они никогда бы не сделали. Доступ к этим инструментам и их использование становятся все более простыми.
Это ведет к злоупотреблениям интимными изображениями (включая такой вид преступления, как «порноместь») и даже подорвать демократические процессы. В настоящее время многие юрисдикции пытаются решить, как регулировать дипфейки. Но пока в правовой сфере ситуация остается неопределенной. Но если вы стали жертвой дипфейкового мошенничества, можете ли вы получить компенсацию или возмещение убытков? Законодательство пока не готово ответить на этот вопрос.
Кто виноват?
В большинстве случаев мошенники не атакуют напрямую банки и системы безопасности, вместо этого преступники используют так называемые «принудительные платежи», когда жертву обманом заставляют заплатить мошеннику.
Кто может нести ответственность в таких случаях?
- мошенник (если его удается поймать, то, конечно, он, но поймать его очень непросто — он действует удаленно и, как правило, умело заметает следы),
- платформа социальных сетей, на которой был размещен дипфейк,
- банк, который выплатил деньги по указанию жертвы мошенничества,
- поставщик инструмента искусственного интеллекта, создавшего фейк.
На сегодня ситуация следующая: если мошенник исчезает, в настоящее время неясно, имеет жерства право на возмещение ущерба со стороны кого-то еще? Платформы или банка или поставщик ИИ? На сегодня практически ни в одной стране они ответственности не несут.
Какова ответственность социальных сетей?
В принципе, можно потребовать возмещения ущерба от платформы социальной сети, если на ней размещен дипфейк, используемый для обмана. Но есть препятствия. Платформы обычно позиционируют себя как каналы распространения контента, а это означает, что они не несут юридической ответственности за контент. В Соединенных Штатах платформы явно защищены от такого рода ответственности. Однако такой защиты не существует в большинстве других стран общего права, включая Австралию.
Австралийская комиссия по конкуренции и защите прав потребителей (ACCC) может подать в суд на социальную сеть. Комиссия рассматривает возможность возложить на цифровые платформы прямую ответственность за дипфейковые криптомошенничества, если они активно распространяют и нацеливают на потенциальных жертв рекламу дипфейков. Социальная сеть, по мнению ACCC, должна удалить такую рекламу, если возникло подозрение, иначе соцсеть можно обвинить в соучастии.
По крайней мере, платформы должны нести ответственность за оперативное удаление дипфейкового контента, используемого в мошеннических целях. Многие соцсети и сейчас заявляют, что они делают это, но это может стать юридически обязательным.
Какова ответственность банков?
Ни в одной стране мира на сегодня банки не обязаны возмещать ущерб в случае мошенничества с дипфейками.
Верховный суд Соединенного Королевства определил, что на сегодня банки не обязаны отклонять платежные инструкции клиента, если получатель подозревается в мошенничестве (дипфэйк). Тем не менее, Великобритания рассматривает обязательную схему, которая потребует от банков возмещать потери жертвам мошенничества с принудительными платежами, по крайней мере, при определенных обстоятельствах. По пока такой закон не принят.
Какова ответственность поставщика инструментов ИИ?
Поставщики инструментов генеративного искусственного интеллекта в настоящее время по закону не обязаны делать свои инструменты непригодными для мошенничества или обмана. Нет законов, которые бы обязывали, разработчиков ИИ предотвращать мошенническое использование их инструментов.
Но у поставщиков генеративного искусственного интеллекта есть некоторые возможности, позволяющие снизить вероятность дипфейков. Подобно банкам и платформам социальных сетей, от поставщиков ИИ, вероятно, вскоре могут потребовать это сделать, по крайней мере, в некоторых юрисдикциях.
Недавно предложенный Закон ЕС об искусственном интеллекте обязывает поставщиков генеративных инструментов ИИ разрабатывать эти инструменты таким образом, чтобы можно было обнаруживать синтезированный/фэйковый контент.
В настоящее время предполагается, что это может работать с помощью цифровых водяных знаков, хотя их эффективность все еще обсуждается. Другие меры включают ограничения при написании промптов при создании цифрового контента, цифровой ID для проверки личности создателя цифрового контента и дальнейшее обучение различных инструментов ИИ распознаванию признаков дипфейка.
Можем ли мы вообще остановить дипфейковое мошенничество?
Ни одно из этих юридических или технических решений, вероятно, не будет полностью эффективным для сдерживании волны дипфейкового мошенничества, особенно с учетом того, что технология генеративного искусственного интеллекта продолжает стремительно развиваться.
Однако ответ не обязательно должен быть идеальным: замедление роста числа дипфейков и мошенничеств, совершаемых с помощью технологий ИИ, все равно может существенно снизить наносимый ими вред.
Возможно, никогда не удастся полностью предотвратить опасность дипфейков, но новые юридические и технические разработки могут привести к тому, что жертва дипфейка может потребовать компенсацию, если что-то пойдет не так.