Skaičiuojama, kad šiemet į rinkimus eis balsuoti už jiems patikusius atstovus ir valstybių vadovus maždaug ketvirtadalis pasaulio gyventojų. Lietuvoje vyks net 3 rinkimai: gegužę rinksime Prezidentą, birželį – Europos Parlamentą, o spalį – Seimą. Stiprėjant dirbtinio intelekto vaidmeniui informacinėje erdvėje, ekspertai įspėja apie melagienų ir išmaniojo klastojimo (angl. deepfake) derinio grėsmes. Kaip netapti apgautiems?

Terminas „melagingos naujienos” arba tiesiog – melagienos – išpopuliarėjo 2016 metais, kai JAV vyko prezidento rinkimai. Praėjus aštuoneriems metams iškilo dar didesnė grėsmė – net ekspertus galintis apgauti melagienų ir išmaniojo klastojimo derinys. Kadangi ne tik Lietuvos piliečiai, bet ir milijonai pasaulio gyventojų šiemet balsuos valstybių rinkimuose, dėl vis didėjančios klastočių tikimybės kyla susirūpinimas, kad siekdamos paveikti rezultatus dezinformacija ir dirbtinio intelekto valdomais triukais, gali pasinaudoti priešiškos jėgos. Kokių pasekmių gali kilti, jei išmanusis klastojimas taps visuotiniu reiškiniu? Tai gali pakeisti politinį žemėlapį ir geopolitikos kryptį artimiausiems keleriems metams ar ilgiau.

Išmaniojo klastojimo grėsmė

Pasaulio ekonomikos forumas (angl. World Economic Forum) dezinformaciją neseniai pripažino didžiausia pasauline rizika per ateinančius dvejus metus. Dirbtinis intelektas dabar tampa pakankamai pigi, prieinama ir galinga technologija, tad gali daryti įtaką dideliu mastu.

Kibernetinio saugumo ekspertai prognozuoja, kad per ateinančius dvejus metus išmanusis vaizdo klastojimas manipuliuos žmonėmis, darys žalą ekonomikai ir skaldys visuomenę įvairiais būdais. „Kyla rizika, kad kai kurios vyriausybės veiksmų imsis per lėtai, susidurdamos su kompromisu tarp dezinformacijos prevencijos ir žodžio laisvės apsaugos”, – sako „NOD Baltic” vyresnysis kibernetinio saugumo inžinierius ir ESET ekspertas Ramūnas Liubertas.

Tokie įrankiai kaip „ChatGPT” ir laisvai prieinamas generatyvinis dirbtinis intelektas (genAI) suteikė galimybę platesniam asmenų ratui dalyvauti kuriant išmaniu klastojimu paremtas dezinformacijos kampanijas. Kadangi visą darbą atlieka dirbtinis intelektas, programišiai turi daugiau laiko dirbti su savo skleidžiamomis melagienomis, kad jos būtų įtikinamesnės ir labiau matomos.

„ChatGPT” įkūrėjai „OpenAI” visai neseniai pristatė savo naująją „Voice Engine” technologiją. Bendrovė teigia, kad ji žmogaus balsą gali atkurti įrašius vos 15 sekundžių jo kalbėjimo: parašius savo tekstą, programa „perskaito” jį pateiktu balsu.

„Tai išties pažangi technologija, kuri įvairiose srityse gali palengvinti ir pagreitinti žmonių atliekamą darbą, mat programa jūsų pateiktą balsą iškart gali pateikti visomis pasaulio kalbomis. Visgi ši technologija gali kelti ir didelę grėsmę siekiant apsimesti kitu žmogumi, jo balsu skleisti dezinformaciją, šiuo atveju – daryti įtaką artėjantiems rinkimams”, – aiškina IT sprendimų platinimo įmonės „Baltimax“ kibernetinio saugumo inžinierius ir ESET skaitmeninio saugumo sprendimų ekspertas Lukas Apynis.

Bendrovė kol kas riboja prieinamumą prie šios programos, tad ši priemonė galbūt apribos kelius piktavalių aferoms.

Klastotė JAV prezidento balsu

Akivaizdu, kad rinkimų kontekste išmaniosios klastotės gali būti naudojamos siekiant sumažinti rinkėjų pasitikėjimą konkrečiu kandidatu. Jei politinės partijos ar kandidato šalininkus galima paveikti suklastotu garso ar vaizdo įrašu, tai būtų laimėjimas konkurentams. Kai kuriose situacijose priešiškos valstybės gali siekti pakirsti tikėjimą visu demokratiniu procesu, kad tam, kas laimės, būtų sunku teisėtai vykdyti valdžios pareigas.

Nerimą kelia tai, kad išmanusis klastojimas gali turėti įtakos rinkėjų nuotaikoms. Štai visai naujas pavyzdys: 2024 m. sausio mėnesį nežinomam skaičiui rinkėjų Naujojo Hampšyro valstijoje buvo išplatintas JAV prezidento Joe Bideno suklastotas garso įrašas. Žinutėje jis akivaizdžiai ragino neiti į rinkimus, o geriau „pasilikti savo balsą lapkričio mėnesio rinkimams“. Skambinančiojo numeris taip pat buvo suklastotas, kad atrodytų, jog automatinė žinutė buvo išsiųsta iš asmeninio Kathy Sullivan, buvusios valstijos Demokratų partijos pirmininkės numerio.

Nesunku suprasti, kaip tokie raginimai gali būti panaudoti siekiant atkalbėti rinkėjus dalyvauti rinkimuose. Kai JAV rinkimų rezultatus gali nulemti vos kelios dešimtys tūkstančių rinkėjų keliose svyruojančiose valstijose, tokia tikslinė kampanija gali padaryti daug lemiančią įtaką.

„Apdorojant gautą informaciją visuomet reikia prisiminti, kad šiais laikais išmanųjį vaizdo klastojimą vis sunkiau atskirti nuo tikro turinio”, – akcentuoja R. Liubertas.

Kaip atpažinti klastotę?

Teigiama, kad ir „YouTube“, ir „Facebook“ per lėtai reagavo į kai kurias rinkimus siekiančias paveikti išmaniąsias klastotes. Savo ruožtu „OpenAI“ pareiškė, kad įdiegs Koalicijos dėl turinio autentiškumo (angl. Coalition for Content Provenance and Authenticity) skaitmeninius įgaliojimus vaizdams, sukurtiems naudojant DALL-E 3. Ši kriptografinė vandens ženklų technologija, kurią taip pat bando „Meta“ ir „Google“, skirta apsunkinti netikrų vaizdų kūrimą.

„Visgi tai dar tik pirmieji žingsniai, kurių gali nepakakti. Pasaulyje rinkiminės kampanijos jau įsibėgėja, o technologijų įmonės kol kas neskuba pranešti apie daugiau priemonių siekiant užkirsti kelią suklastotam turiniui”, – apgailestauja kibernetinio saugumo ekspertas R. Liubertas ir priduria, kad dėl to visiems informacijos gavėjams visuomet būtina išlikti budriems ir kritiškiems, o atskirti tikrą turinį nuo klastotės, padė šie 5 patarimai:

1. atkreipkite dėmesį, ar matomas vaizdas yra nuoseklus, pavyzdžiui, ar nėra keistų vaizdo šuolių – galimų montavimo pėdsakų, balso paryškinimo pokyčių, prastos garso kokybės, neryškių dėmių ar keistų apšvietimo skirtumų;
2. analizuojant vaizdo įrašą ar tiriant garso takelį galima aptikti neatitikimus lyginant juos su jau patvirtintais šaltiniais ir nustatyti, ar pranešimas, ar istorija yra tikri;
3. išmanioms klastotėms taip pat būdingi tam tikri neatitikimai tarp kūno ir veido proporcijų arba tarp veido išraiškų bei kūno judesių;
4. išmaniojo klastojimo atpažinimą palengvintų specializuota programinė įranga, pavyzdžiui, Informacinių technologijų instituto Graikijoje kuriamas „InVID Verification Plugin” įskiepis, tačiau šiuo metu jis vis dar yra kuriamas ir nėra visiškai tikslus;
5. susidūrus su abejotinu ir kontraversišku vaizdo įrašu, jį reikėtų kritiškai įvertinti ir įdėmiai pasvarstyti, ar šis turinys tikrai galėtų būti tikras ir ar pateikiama situacija gali būti reali.

„Bet kokiu atveju, jei kyla įtarimas dėl jus pasiekusios informacijos tikslumo ir tikrumo, tokiu turiniu nesidalinkite su kitais, o geriau pateikite pranešimą (angl. report) socialinio tinklo administratoriams”, – ragina R. Liubertas.

Neseniai „YouTube“ kanalas „stacksmashing“ įkėlė vaizdo įrašą apie „Windows“ integruoto šifravimo sulaužymą, iš esmės apeinant „Windows“ disko šifravimą daugumoje įrenginių, kuriuose naudojama visame pasaulyje dominuojanti „Microsoft“ operacinė sistema, pasitelkiant pigų 10 JAV dolerių įrankį.

Visa tai rekordiškai greitai – vos per 43 sekundes. Nors šifravimas dažnai buvo veiksmingos ir saugios duomenų apsaugos etalonas, dabar atrodo, kad tai taip pat turi spragų, nepaisant to, kad jis remiasi tokiomis pažangiomis funkcijomis kaip patikimos platformos moduliai „Trusted Platform Module“ (TPM), kurių dabar reikalaujama ir naujausioje „Windows“ operacinėje sistemoje.

Tačiau ar šią saugumo spragą galima tinkamai įveikti? Laimei, sprendimas yra gana paprastas ir nekainuoja tiek, kiek nuostolių sukeltų visiškas duomenų saugumo pažeidimas.

„BitLocker sniffing“ tyrinėjimas

Šifravimo apėjimo metodas pavadintas „BitLocker sniffing“ pagal integruotą „Windows“ šifravimo įrankį „BitLocker“. Iš esmės TPM duomenys atskleidžiami, ir, jei kas nors naudoja TPM, tam tikru dešifravimo proceso metu galima „nufotografuoti“ duomenis, kurie atskleidžiami. Taip gali nutikti senesniuose kompiuteriuose, ypač tuose, kuriuose TPM nėra integruotas į procesorių.

„BitLocker“ pažeidžiamumų išnaudojimas veiksmingas tuomet, kai kartu su TPM nenaudojamas slaptažodis ar kitas antrinis autentifikavimo metodas. Vaizdo įraše pateiktu atveju kompiuteris paleidžiamas automatiškai, o prieigą prie disko šifravimo rakto „Volume Master Key“ (VMK) suteikia tik TPM. Įjungus kompiuterį, „BitLocker“ automatiškai naudoja TPM, kad iššifruotų VMK, ir beveik iš karto paleidžia „Windows“ prisijungimo sistemą. Taigi, kai sistema paleidžiama, VMK yra prieinama paprastojoje magistralėje.

Paprastai tariant, TPM ir kompiuterio procesoriaus ryšys yra atskleidžiamas paleidimo metu, o tai reiškia, kad šifravimo raktą gali perskaityti bet kas, kas tuo metu šnipinėja signalą tarp TPM ir procesoriaus. Tai galima padaryti naudojant pigų įrankį ir tam tikrą programinę įrangą.

Kibernetinį saugumą išmanančiam žmogui tai gali priminti, kaip kai kuriais atvejais „man-in-the-middle“ atakų metu galima „pasiklausyti“ asmens interneto ryšio / „Bluetooth“ / RFID signalo, kai jis bando kur nors prisijungti. Taip atsitinka todėl, kad duomenų srautas, keliaudamas į imtuvą, gali būti neatskleistas, nebent būtų naudojama kokia nors papildoma apsauga, pavyzdžiui, VPN, kai jungiamasi prie viešojo „Wi-Fi“ ryšio, užtikrinant apsaugotą slaptą ryšį. Iš esmės, norint užmaskuoti duomenų perdavimą, reikia pridėti dar vieną saugumo sluoksnį.

Ar šifravimo nepakanka?

Šis naujas keliantis didelį susidomėjimą ypač todėl, kad TPM saugumo modulio arba lusto naudojimo dabar reikalauja operacinė sistema „Windows 11“, todėl daugeliui senesnių procesorių, kurie galėjo neatitikti šio reikalavimo, buvo uždrausta įdiegti operacinę sistemą.

Problema yra ne tai, ar šifravimas yra pakankama paskata įsidiegti naujausias operacinės sistemos funkcijas, o tai, kad iki šiol jis visada buvo papildomo saugumo ženklas. Tačiau dėl „BitLocker sniffing“ atvejų atrodo, kad šifravimas gali būti tik dar viena nereikalinga saugumo funkcija… ar ne?

Tiesą sakant, šifravimas yra būtina, o dar tiksliau – privaloma priemonė bet kuriam naudotojui, kuris turi užtikrinti, kad jo duomenys išliktų saugūs ir patikimai saugomi, apribojant galimas prieigos galimybes net ir praradus įrenginį dėl vagystės. Be to, papildomas saugumo sluoksnis gerokai apsunkina sukčių veiklą, nes prailgina galimo įsilaužimo laiką ir suteikia daugiau laiko saugumo specialistams.

Kiekvienos įmonės saugumo strategijoje turi būti numatytas šifravimas, nes tai būtina tiek dėl atitikties teisės aktų reikalavimams, tiek dėl kibernetinio draudimo, kurio privalomieji standartai kasmet didinami.

Taigi, atsakant į antraštėje pateiktą klausimą – ne, šifravimo nepakanka, nes norint, kad bet kokia strategija atlaikytų kenkėjiškas grėsmes, reikia kelių saugumo lygmenų, tačiau tai yra būtinas komponentas, kurį įmonės privalo įtraukti, kad būtų tinkamiau apsaugotos. Šifravimas nebūtinai turi būti toks, koks yra šiuo metu, t. y. vienintelis saugumo sluoksnis. Yra būdų, kaip jį galima apsaugoti net nuo „BitLocker sniffing“.

Svarbiausia – sluoksniai

Ar Šrekas pasakė, kad ograi sluoksniuoti kaip svogūnai? Sėkmingos kibernetinio saugumo programos ir priemonės taip pat yra daugiasluoksnės, lygiai taip pat kaip ir ograi. ESET PROTECT platforma yra vienas iš pavyzdžių, nes ji pati savaime yra sudaryta iš kelių technologinių sluoksnių, apsaugančių nuo grėsmių, nesvarbu, ar tai būtų „nulinių dienų“ (angl. zero-days) grėsmės, kurios niekada nematė dienos šviesos, ar žinoma kenkėjiška programinė įranga, kuri visomis išgalėmis stengiasi išvengti aptikimo naudodama naujesnius apėjimo būdus.

Todėl ESET taip pat gali užtikrinti geresnį šifravimą dėl paprasto dalyko – slaptažodžio. Gali atrodyti, kad tai paprastas sluoksnis, tačiau jis yra labai galingas, nes dėl to, kad yra įtrauktas į ESET Full Disk Encryption(EFDE) ir ESET Endpoint Encryption (EEE) programas, jis apsaugo nuo tokių metodų kaip „BitLocker sniffing“, kuris remiasi neapsaugotu ryšiu tarp diskrečiojo TPM lusto ir procesoriaus. Taigi, bet koks antrinis autentiškumo patvirtinimas prieš pradedant procesą neleidžia, kad šifravimo raktas būtų atviras.

Jei įprastai naudojami EFDE ir EEE, įjungus kompiuterį, reikalaujama, kad naudotojas įvestų savo slaptažodį. Iš esmės slaptažodis naudojamas kartu su kitais duomenimis ir TPM šifravimu tam, kad galėtų iššifruoti VMK. Taigi be naudotojo slaptažodžio negalima gauti teisingo VMK. Taip, tam tikru momentu TPM iššifruoti duomenys bus prieinami paprastoje laikmenoje, tačiau to negalima padaryti prieš tai nežinant naudotojo slaptažodžio.

Galingas šifravimas, saugios sistemos

Galiausiai kibernetinis saugumas nuolat turi tobulėti, kaip tobulėja ir grėsmės. Tačiau kartais paprastos saugumo priemonės gali turėti didelį poveikį.

Slaptažodžiai visada buvo pirmasis apsaugos nuo išorinio įsilaužimo barjeras (nes prieigos prie vienos paskyros įgijimas gali sukelti grandininę reakciją) ir tokia tendencija tikriausiai išliks ateityje.

Tačiau svarbu priminti, kad niekada nesirinktumėte silpnų slaptažodžių, niekada pakartotinai nenaudotumėte vieno slaptažodžio visose savo paskyrose ar šifravimo priemonėse ir apskritai rūpintumėtės kibernetiniu saugumu. Įmonėms siūlome apsvarstyti, kokio lygio saugumo jums reikia, nes tik vienas produktas arba viena papildoma priemonė, pavyzdžiui, stiprus šifravimo slaptažodis, gali turėti didelę reikšmę jūsų saugumui.

Kibernetiniai sukčiai vis dažniau nusitaiko į vyresnio amžiaus žmones – mažiau įgudę naudotis skaitmeninėmis technologijomis senjorai lengviau užkimba ant apgaulės kabliuko ir gali greičiau atiduoti savo ilgai kauptas santaupas. Štai vien JAV 2022 m. vyresni nei 60 metų žmonės pranešė apie 3,1 mlrd. dolerių nuostolius dėl kibernetinių nusikaltimų ir 88 262 incidentus, tad tai patvirtina, kad sparčiai senstanti visuomenė sukčiams – labai naudinga.

„Baltimax“ kibernetinio saugumo inžinierius, ESET specialistas Lukas Apynis sako, kad norint lengviau atpažinti sukčius ir išlikti budriems, verta žinoti dažniausiai pasitaikančius apgaulės būdus ir apie juos papasakoti artimiesiems.

1. Duomenų išviliojimas

Išsiuntęs apgaulingą laišką el. paštu, telefonu ar socialiniame tinkle, sukčius apsimeta teisėtu asmeniu ir prašo pateikti informaciją, pavyzdžiui, prisijungimo prie paskyros duomenis, arba spustelėti nuorodą. Kibernetinio saugumo ekspertas pabrėžia, kad pirmuoju atveju jie gali pasisavinti paskyras, o antruoju – atsisiųsti kenkėjišką programinę įrangą, skirtą pavogti daugiau duomenų arba užblokuoti kompiuterį.

2. Romantiniai sukčiai

Sukčiai pažinčių svetainėse sukuria netikrus profilius, susidraugauja su vienišais žmonėmis ir užmezga ryšį, siekdami išvilioti kuo daugiau pinigų. Paprastai sukuriami pasakojimai, kad pinigų jiems reikia gydymo sąskaitoms apmokėti arba kelionei pas naująjį susirašinėjimo draugą.

„Tokie sukčiai visada ras pasiteisinimą, kodėl negali susitikti ar pasikalbėti paskambinus vaizdo skambučiu“, – sako kibernetinio saugumo ekspertas L. Apynis.

3. Medicina ir sveikatos priežiūra

Sukčius prisistato gydytoju ar sveikatos priežiūros specialistu, siekdamas išgauti asmeninę ir medicininę informaciją, kurią galima parduoti kitiems asmenims ir naudoti sukčiavimo sistemose.

4. Apsimetinėjimas institucijomis

Sukčiai skambina, rašo elektroninius laiškus ar žinutes apsimesdami, kad yra iš mokesčių inspekcijos ar kitos valstybinės institucijos, ir reikalauja nesumokėtų mokesčių.

„Tokiais atvejais žmonės dažnai užkimba ant sukčių kabliuko, kai yra skubinami. Niekada nepasiduokite spaudimui greitai atlikti apmokėjimus ar dalintis svarbia informacija. Tokiais atvejais išlikite kritiški, keliais būdais patikrinkite, ar atvejis tikras ir prašymas pagrįstas”, – pataria IT ekspertas.

5. Techninė pagalba

Vienas iš seniausių telefoninių sukčiavimų – sukčius apsimeta įgaliotu darbuotoju, pavyzdžiui, techninės pagalbos įmone ar telekomunikacijų paslaugų teikėju, ir sako, kad kažkas negerai su jūsų kompiuteriu. Jie bandys rasti būdą, kaip pasipelnyti – teks sumokėti už nereikalingą kompiuterio „apsaugą“ ar „atnaujinimą“, taip pat gali vogti finansinę informaciją.

6. Sukčiavimas apsiperkant internetu

Sukčiai sukuria įtikinamai atrodančias internetines parduotuves ir vilioja jose apsilankyti siųsdami el. laiškus, žinutes telefonu ar pranešimus socialiniuose tinkluose. Prekėms dažnai taikomos neįtikėtinos nuolaidos ir itin geri pasiūlymai, tačiau jos būna padirbtos, vogtos arba neegzistuojančios, o tikrasis tikslas – pavogti kortelės duomenis.

7. Loterijų sukčiai

Netikėtai paskambinęs sukčius teigia, kad laimėjote loterijoje ir norint atsiimti laimėjimą tereikia sumokėti mokestį arba avansą. Net jei ir dalyvavote loterijoje ar žaidime ir laimėjote, norint atsiimti prizą organizatoriai niekada neprašys prieš tai susimokėti.

8. Senelių apgaulė

Sukčius paskambina ir apsimeta giminaičiu, kuriam gresia pavojus. Kartais sukčiai apsimeta policijos pareigūnais, gydytojais ar teisininkais, bandančiais padėti anūkui, o šiais laikais dirbtinis intelektas gali net imituoti anūko balsą. Ši taktika apeliuojama į jausmus ir verčia reaguoti greitai. „Toks skambutis gali pasirodyti labai tikroviškas, tačiau bet kokiu atveju reikėtų išlikti ramiems ir prieš imantis kokių nors veiksmų, susisiekti su kitais artimaisiais. Lietuvoje vyresnio amžiaus žmonės šitaip buvo apgauti šimtus kartų”, – pastebi pašnekovas.

9. Investicinės apgavystės

Tokioms apgavystėms priskiriamos greito praturtėjimo schemos, kuriomis žadama maža rizika ir garantuota grąža, dažnai investuojant į kriptovaliutas.

Kaip apsisaugoti nuo sukčių:

• jei pasiūlymas atrodo per geras, kad būtų tikras, dažniausiai ir yra netikras;
• išlikite ramūs, kai jus kamantinėja telefonu ir neatskleiskite jokios asmeninės informacijos;
• nepasitikėkite skambinančiojo numeriu, nes jis gali būti suklastotas;
• socialinių tinklų paskyroms naudokite kelių lygių autentifikavimą, kad sumažintumėte tikimybę prisijungimo duomenų vagystėms;
• niekada nesiųskite nepažįstamiems asmenims pinigų pavedimu, mokėjimo programėlėmis, dovanų kortelėmis ar kriptovaliuta;
• nespauskite įtartinų nuorodų ir neatidarinėkite nežinomų priedų el. laiškuose, tekstuose ar socialiniuose tinkluose;

Kibernetinio saugumo ekspertas apie sukčių bandymą apgauti ragina pranešti policijai arba užpildyti el. pareiškimą e.policijos puslapyje.