AI-TRUSLER · 4 MIN. LÆSNING
Deepfake CEO-fraud: Da direktøren ikke var direktøren
Et internationalt firma overførte 25 mio. USD efter et videomøde med direktøren, som ikke var til stede. Hvordan angrebet virker, og hvorfor procedurer slår teknik.
En medarbejder i ingeniørfirmaet Arup blev inviteret til et videoopkald. På skærmen sad virksomhedens finansdirektør og flere kolleger. De bad om en række hastige overførsler. Alt så normalt ud: ansigterne, stemmerne, måden de talte på. Medarbejderen gennemførte overførslerne. Ingen af personerne på opkaldet var ægte. Det kostede firmaet omkring 25 millioner dollars.
Kort svar: Deepfake CEO-fraud er svindel hvor kriminelle bruger AI til at efterligne en leders ansigt og stemme på et videoopkald, for at få en medarbejder til at godkende en overførsel. Den mest kendte sag kostede ingeniørfirmaet Arup omkring 25 millioner dollars. Teknik stopper det ikke. Det gør faste procedurer: et hemmeligt kodeord og bekræftelse via en kendt kanal før enhver pengeoverførsel.
Hvad skete der i Arup-sagen?
Svindlerne havde lavet deepfakes af flere ledere på én gang og samlet dem i ét videomøde. Medarbejderen var den eneste rigtige person i rummet. Presset, autoriteten og det velkendte udseende gjorde resten. Det er det perfekte angreb, fordi det rammer den menneskelige tillid, ikke en teknisk svaghed.
Rammer det danske virksomheder?
Ja. Værktøjerne er gratis, kræver ingen teknisk viden og kan bruges anonymt. En dansk SMV med en velkendt direktør og en travl bogholder er et lige så realistisk mål som en international koncern. Faktisk er mindre virksomheder ofte mere udsatte, fordi de sjældent har en fast procedure for store overførsler.
Hvorfor teknik ikke redder jer
Der findes ingen filter der pålideligt fanger et deepfake-videoopkald i realtid. Og det behøver der heller ikke at være, hvis I har en procedure. For svindlen bygger på at presse en enkelt person til at handle hurtigt og alene. Fjern den mulighed, og angrebet falder fra hinanden.
Hvad skal I gøre?
- Indfør et hemmeligt kodeord. Et aftalt ord der skal bekræftes før enhver pengeoverførsel, uanset hvem der beder om den.
- Kræv bekræftelse via en kendt kanal. Ring tilbage på det nummer I selv kender, ikke det fra opkaldet eller mailen.
- Fjern eneansvaret for store overførsler. To personer skal godkende. Så kan én person ikke presses alene.
- Tal om det på ledermødet. Den vigtigste forsvar er at alle ved at det her sker, og at ingen bliver fyret for at dobbelttjekke chefen.
Hvad vi gør hos os
Vi hjælper jer med at sætte de procedurer op der gør deepfake-svindel umulig, og træner medarbejderne i at genkende presset bag den. Det handler ikke om at jagte teknologien, men om at bygge en arbejdsgang hvor ingen enkelt overbevisende besked kan flytte penge ud af huset.
Ofte stillede spørgsmål
Hvad er deepfake CEO-fraud?
Svindel hvor kriminelle bruger AI til at efterligne en leders ansigt og stemme på et videoopkald, så en medarbejder godkender en falsk overførsel.
Hvor meget kostede Arup-sagen?
Omkring 25 millioner dollars. En medarbejder gennemførte flere overførsler efter et videomøde med deepfakes af firmaets finansdirektør og kolleger.
Kan man opdage et deepfake-opkald i realtid?
Sjældent pålideligt. Derfor er forsvaret ikke teknisk detektion, men en procedure: bekræftelse via kendt kanal og et hemmeligt kodeord før betaling.
Rammer det også små virksomheder?
Ja. Værktøjerne er gratis og kræver ingen teknisk viden. Mindre virksomheder er ofte mere udsatte, fordi de mangler faste procedurer for overførsler.