EFF: voorkom oplichting door audio deepfakes met familie-wachtwoord
Door de ontwikkeling van AI wordt het steeds eenvoudiger om stemmen te klonen en zo voor allerlei doeleinden te gebruiken. Om oplichting door criminelen te voorkomen kunnen gezinnen en families een gemeenschappelijk wachtwoord afspreken om dergelijke scams te herkennen, zo adviseert de Amerikaanse burgerrechtenbeweging EFF. "Het familie-wachtwoord is een decennia oude, low-tech oplossing voor dit moderne high-tech probleem."
De EFF benadrukt dat 'voice cloning scams' nog niet veel voorkomen, maar er wel verhalen zijn van mensen die op deze manier zijn opgelicht. Onlangs liet ook de Amerikaanse toezichthouder FTC weten dat het kijkt naar maatregelen om fraude door gekloonde stemmen te voorkomen. De Amerikaanse burgerrechtenbeweging stelt dat een familie-wachtwoord hierbij kan helpen. Het is daarbij belangrijk een wachtwoord af te spreken dat iedereen kan onthouden. "Het belangrijkste is dat het eenvoudig in paniekvolle situaties moet zijn te herinneren, lastig is te vergeten en geen openbare informatie is."
Wanneer iemand vervolgens belt, mailt of een bericht stuurt waarin dringend om geld wordt verzocht, moet het familie-wachtwoord worden gevraagd. Iets wat ook zou kunnen helpen bij bijvoorbeeld WhatsAppfraude. Daarbij stelt de EFF dat voor personen met een minder goed geheugen het handig kan zijn om het wachtwoord op te schrijven, omdat mensen die in paniek zijn snel dingen vergeten.
"Deze techniek heeft als toegevoegde waarde dat het je een minuut de tijd geeft om een stap terug te doen, te ademen en even kritisch na te denken. Veel van dergelijke scams maken misbruik van paniek en houden je in je lagere hersenen. Door om het wachtwoord te vragen kun je ook een minuut de tijd nemen om na te denken", zo laat de EFF weten.
Hang op en bel het jou bekende nummer.
Hang op en bel het jou bekende nummer.
Een hoop scams hebben geen actieve attacker in the middle .
Maar m.i. is een familie wachtwoord fors onbruikbaar om precies de reden waarom alle wachtwoorden onbruikbaar zijn.
Lastig onthouden - want weinig gebruikt - en met alle zelfde lekkage risico's als alle andere wachtwoorden.
Meer nog, want je moet eigenlijk forceren dat de voice-beller ge-challenged wordt voor "het familie wachtwoord dat we vorig jaar op het kerstdiner afgesproken hebben" - en dan ook nog niet vallen voor de 'ja dat ben ik helemaal vergeten en ik sta nu zonder benzine, je hoort me toch' .
Ik zie het niet helpen.
Evenmin voor de text (app) gebaseerde scams - waar in theorie hetzelfde 'shared secret' concept zou moeten werken, en zelfs niet voorgesteld wordt als 'oplossing'.
Het nerdy neefje zal er helemaal voor zijn, maar tante Jo gaat het echt niet snappen.
M.i. is het 'familielid' actief terug bellen - en een stuk sociale smalltalk doen over de familie een betere manier om een 'vreemde' impersonator te betrappen .
Zwakke 2FA (SMS, Voice, TOTP, locatie, number matching) werd ingevoerd want er werden (nog) geen live AitM aanvallen uitgevoerd. Dus gingen criminelen live AitM aanvallen uitvoeren, ook wel bekend als "Evil Proxy" attacks (zie bijv. https://security.nl/posting/773644 en https://security.nl/posting/796402).
Ga mensen nou niet steeds iets nieuws leren waarvan je, over een tijdje, moet toegeven dat het niet meer werkt.
Hang op en bel het jou bekende nummer.
Zwakke 2FA (SMS, Voice, TOTP, locatie, number matching) werd ingevoerd want er werden (nog) geen live AitM aanvallen uitgevoerd. Dus gingen criminelen live AitM aanvallen uitvoeren, ook wel bekend als "Evil Proxy" attacks (zie bijv. https://security.nl/posting/773644 en https://security.nl/posting/796402).
Ga mensen nou niet steeds iets nieuws leren waarvan je, over een tijdje, moet toegeven dat het niet meer werkt.
Hang op en bel het jou bekende nummer.
Je gaat er bij het 'bel het bekende nummer' onuitgesproken vanuit dat er sprake is van een "nummer" en dat de 'actieve aanvaller in the middle' die sessie NIET kan kapen/redirecten om actief in the middle te blijven .
Op zich is 'actief en _interactief_ contact opnemen een heel goed advies' , alleen bij een threat model met voice impersonatie is alleen 'zelf bellen en een herkenbare stem' niet helemaal voldoende - omdat je niet meer (mag) vertrouwen op 'stem klinkt bekend' .
En zeker ook niet erop rekenen "de techniek zorgt dat "bellen" met "bekend nummer" altijd uitkomt waar je denkt.
Ondanks dat ze wist dat er dit soort schimmel op deze planeet rond loopt is ze er toch ingetrapt.
Wanneer mensen in hun huis zo onder druk gezet worden, dan geven ze straks het 'familie-wachtwoord' gewoon aan en dan kan zo'n persoon NOG meer schade aanbrengen...
Zo'n oplichter kan gewoon vragen naar het familie wachtwoord, want jij moet dat kunnen geven, toch? Of ben JIJ de oplichter?
En dan geef je het familie wachtwoord, de persoon zegt natuurlijk 'dat klopt' en kan met jouw telefoon andere mensen benaderen die vervolgens denken dat het familiewachtwoord veilig is en dan nog sneller "jou" wat geld overmaken..
Persoonlijk vind ik het een DOM idee... Het lost het probleem niet op, maakt dingen nodeloos complex en introduceert een extra zwakheid... en iedereen die seconds-from-disaster gekeken heeft, weet dat elke zwakheid en complexiteit in paniek-situaties averechts werkt..
Of dat nu een snelheidsmeter is die aan geeft dat je 230km/h vliegt ipv 80km/h en je elk moment in een stortduik kunt belanden, of een stick-shaker die de hele tijd af gaat maar er geen duidelijke reden voor is... Immers, de snelheids meter is 100% zeker dat je 230km/h vliegt... De oplichter kent immers het familiewachtwoord...
Had ik al gezegd dat het een dom idee was?
Daarnaast hebben mensen dan minder last van gerichte reclames en andere tracking zoals die in apps en op social media websites zoals via gezichtsherkenning.
Ook het whitelisten van websites voor javascript en cookies helpt enorm, icm. een DNS blacklist tegen tracking, social media, gokken en reclame.
(Op websites die op de whitelist staan is het belangrijk de cookies zoveel mogelijk te minimaliseren)
Ook het (automatisch) wissen van cookies na het afsluiten van de webbrowser helpt.
Een VPN met een quantum-resistant wireguard verbinding helpt ook enorm. (Mullvad is wel aardig)
Gebruik geen apps met trackers maar verifieerbare FOSS software.
Liefst GNU+Linux als desktop voor meer vrijheid en minder tracking in het OS zelf.
Laat ook minder gegevens aan anderen na behalve de broodnodige, dus geen VCF met alle info maar alleen een telefoonnummer of het adres (wat er in dat geval vereist is) amders looen anderen daar ook op hun telefoon mee rond nadat ze je hebben toegevoegd aan hun contacten.
Helemaal onzichtbaar worden hoeft niet, maar men mag best een beetje incognito zijn.
Denk er wel aan dat de AIVD via de sleepwet alles van diensten van derden mag slepen, dus beschouw die data bij voorbaat als gecompromiteerd indien deze onversleuteld is. (Google, Apple, Amazon, Dropbox, Meta, Microsoft, etc)
Gebruik geen TOR en I2P voor privédingen, maar alleen voor generiek internet gedrag, anders worden mensen ook via TOR/I2P herkend.
Ondanks dat ze wist dat er dit soort schimmel op deze planeet rond loopt is ze er toch ingetrapt.
Wanneer mensen in hun huis zo onder druk gezet worden, dan geven ze straks het 'familie-wachtwoord' gewoon aan en dan kan zo'n persoon NOG meer schade aanbrengen...
Zo'n oplichter kan gewoon vragen naar het familie wachtwoord, want jij moet dat kunnen geven, toch? Of ben JIJ de oplichter?
En dan geef je het familie wachtwoord, de persoon zegt natuurlijk 'dat klopt' en kan met jouw telefoon andere mensen benaderen die vervolgens denken dat het familiewachtwoord veilig is en dan nog sneller "jou" wat geld overmaken..
Persoonlijk vind ik het een DOM idee... Het lost het probleem niet op, maakt dingen nodeloos complex en introduceert een extra zwakheid... en iedereen die seconds-from-disaster gekeken heeft, weet dat elke zwakheid en complexiteit in paniek-situaties averechts werkt..
Of dat nu een snelheidsmeter is die aan geeft dat je 230km/h vliegt ipv 80km/h en je elk moment in een stortduik kunt belanden, of een stick-shaker die de hele tijd af gaat maar er geen duidelijke reden voor is... Immers, de snelheids meter is 100% zeker dat je 230km/h vliegt... De oplichter kent immers het familiewachtwoord...
Had ik al gezegd dat het een dom idee was?
Je vraagt ook niet naar het wachtwoord de partij die belt geeft zijn codewoord de partij die antwoord geeft direct zijn code woord. Bij het ontbreken van enige kant verbreek je de verbinding en beschouw je de asset compromised.
Bij het succesvol geven bespreek je verdere info uitwisseling middels een ander kanaal je zet je gesprek niet voort maar pakt bijv een burnerphone. Het code woord is na gebruik ongeldig en moet opnieuw uitgegeven worden. Daar heb je van te voren een protocol voor afgesproken. Ofwel voor highprofile high risk situaties waar 99% van personen zich nooit in zal bevinden.
Je kan met code wachtwoorden en talen heel veel informatie ook uitwisselen. dus nee dom is het niet maar niet toepasbaar voor simpele zaken.
In dat soort gevallen just meet in person. Verder kun je ook gewoon je gezonde verstand gebruiken en bespreken dat er nooit telefonisch om middelen gevraagd kan worden. Zodra het over geld overmaken gaat hang je op belt terug en geeft aan dat je de gene in persoon wilt zien en te woord staan.
26-02-2023, 18:23 door Erik van Straten
https://www.security.nl/posting/787196/Bank-inloggen+met+AI-stem
Ieder obscuur maar memorabel detail kan fungeren als wachtwoord. Spreek af om identiteiten eerst te verifiëren met 'gekke' vragen voordat geld overgemaakt wordt of iets dergelijks.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
