Se spamem, podvodnými e-maily a SMS i phishingovými zprávami se setkáváme denně. Pokroky v umělé inteligenci ale dávají příležitost pro vznik mnohem sofistikovanějších a věrohodnějších podvodů. S podvodným videohovorem, který se odehrával v reálném čase, se nedávno setkal fitness e-shop GymBeam, kdy jeho zaměstnanec mluvil přímo se „zakladatelem“ Daliborem Cicmanem. Akorát šlo o deepfake kopii. Díky šťastné náhodě vše dopadlo dobře, ale příklad slouží jako varování pro ostatní. Připravte se, je jen otázkou času, kdy přijde k vám.

Kolegovi Dalibora Cicmana, zakladatele a ředitele GymBeamu, přišla zpráva na WhatsAppu z podobného účtu, jako je jeho. „Psal, že se s kolegou potřebuji rychle spojit a poslal link na Microsoft Teams. Na videohovoru byla moje deepfake kopie s další osobou, kterou představila jako našeho externího právníka a většinu moderoval on,“ vypráví. Během telefonátu se falešná dvojice snažila zjistit zůstatky na firemních bankovních účtech.

Samotný byznys GymBeamu přitom není malý, jen loni utržil přes 2,5 miliardy korun a podle vyjádření jde o největší fitness e-shop v regionu střední a východní Evropy. Letos dále roste o více než padesát procent, v Česku, kde podle žebříčku CzechCrunche patří mezi sto největších e-shopů, pak prý až o osmdesát procent. Během prvního pololetí dosáhla firma celkového obratu 1,8 miliardy korun.

Celý případ s deepfake hovorem možná zachránila jen náhoda. „Falešný Cicman“ totiž ve videohovoru řekl, že je nyní na dva týdny mimo kancelář, přičemž právě s konkrétním kolegou se ten den osobně setkali. Kolega mu proto již během telefonátu napsal na firemním Slacku, na což již reálný Cicman odpověděl, že se mítinku na Teamsech neúčastní.

„Šťastnou náhodou bylo, že jsme se daný den osobně setkali a obratem jsem odepisoval na Slacku. Prý kopie vypadala velmi věrohodně a podezřelé bylo jen to, proč naléhavě potřebuji informace o bankovních účtech přes Teams, když využíváme Hangouts nebo Slack,“ popisuje Cicman.

Jak doplňuje pro CzechCrunch, videohovor probíhal v angličtině, protože mateřským jazykem kolegy je rumunština a jsou tak na angličtinu zvyklí. Telefonát měl trvat čtrnáct minut, z čehož deepfake kopie Cicmana mluvila asi minutu, kdy představila externího právníka, který následně zaměstnance firmy instruoval, co má dělat.

Cicmanův kolega se na videohovor dostal přes podezřelou zprávu na WhatsAppu, kde měl falešný profil skutečnou fotku, avšak oproti reálnému profilu překlep ve jméně Dalibor na Dalidor a jiné telefonní číslo. Což jsou ale detaily, kterých si běžně člověk nemusí všimnout. Obecně přitom GymBeam řeší desítky podobných podvodů každý měsíc. „Videohovor byla premiéra,“ říká Cicman.

Většinou do firmy pokusy o podvody přichází prostřednictvím e-mailů z různých stránek, které byly vytvořeny jen pro konkrétní podvod. Tři nejčastější typy, se kterými se setkávají, přitom jsou:

1. E-mail přijde z adresy, která je podobná adrese dodavatele, a to s fakturou přesně takovou, jakou od dodavatele GymBeam dostává, s tím samým průvodním textem, jen se zbožím, které si neobjednali. IBAN je podvodný.
2. Falešný „zaměstnanec“ posílá ze soukromého e-mailu zprávu, kde říká, že si mění IBAN pro účely inkasování mzdy.
3. V e-mailu je firma vyzvaná k rychlému zaplacení zálohy, případně nějakého prototypu či vzorků. Často ale jde také o vymyšlené charity nebo různé vymyšlené příběhy, jejichž účelem je získat peníze.

Jak v GymBeamu proti takovým podvodům bojují? „Máme směrnici, která nařizuje komunikovat jen prostřednictvím platforem, které interně používáme. Naše treasury oddělení, které má jako jediné přístup k bankovním účtům, velmi detailně prověřuje zadávání platby novému dodavateli nebo nový IBAN a důkladně si prověřuje osobu, která platbu požaduje poprvé,“ přibližuje Cicman.

Pravidla pro zaměstnance má pak GymBeam sepsané v zmiňované směrnici a například při komunikaci přes e-maily s externími partnery zaměstnanci kontrolují, zda využívají oficiální domény firem, pro které pracují. S tím, že deepfake videohovor byl ve firmě premiérou, zatím nemá vypracovanou specifickou strategií, jak proti nim bojovat. „Aktuálně zvažujeme, jakým způsobem bychom se mohli vůči těmto hrozbám vyhnout,“ dodává Cicman.

„Všechen obsah je třeba zpochybňovat, ověřovat, zamýšlet se nad ním. Na to ale lidé vůbec nemají čas ani energii,“ popsal pro CzechCrunch startupista Petr Brzek, který stojí za vznikem portálu pro samovzdělávání, jež plně píše umělá inteligence. Zároveň varoval i před hrozbami: „Obrázky budou nerozeznatelné od reality. Brzy se to stane i s videem. Vše, co jsem popsal, je samozřejmě ideální nástroj pro vyhrožování a šikanu. To je vše. Snad to nebylo moc depresivní. A přidávám pro-tip: nedávejte fotky svých dětí na sociální sítě.“