Criminelen gebruiken AI-namaakstem bij bankroof van ruim 30 miljoen euro

Bij een bankroof in de Verenigde Arabische Emiraten is door middel van een 'deepvoice' omgerekend ruim 30 miljoen euro buitgemaakt. De stem van een bankdirecteur werd door middel van kunstmatige intelligentie nagemaakt om een frauduleuze transactie bij de bank uit te lokken.

De bankmanager van een niet genoemde bank uit de Verenigde Arabische Emiraten kreeg begin 2020 in zijn beleving een telefoontje van de directeur van de bank, zo beschrijft Forbes. In werkelijkheid ging het volgens de Dubai Public Prosecution Office om een van de 17 daders van een ingewikkelde bankroof, zo blijkt uit rechtbankdocumenten van het gerechtshof in Washington, D.C. Het Amerikaanse rechtssysteem is bij de bankroof betrokken omdat een deel van de buit, omgerekend bijna 350.000 euro, naar rekeningen van Centennial Bank uit de Verenigde Staten ging. De rest van het gestolen geld is naar een onbekende hoeveelheid andere rekeningen gestuurd.

Naast de nagemaakte stem gebruikten de criminelen ook neppe emails en een advocaat van de zogenaamde bankdirecteur voor de roof. Interacties tussen de advocaat en de bankdirecteur, gedeeld met de bankmanager, waren bedoeld om vertrouwen bij de laatstgenoemde te kweken. Uiteindelijk droeg de zogenaamde advocaat de bankmanager op om geld over te maken voor een bedrijfsovername. Deze transacties bleken achteraf dus naar de criminelen te gaan.

Uit de rechtbankdocumenten wordt niet duidelijk wat voor 'deepvoice'-stemvervormingstechnologie door de criminelen werd gebruikt. Het is overigens niet de eerste keer dat criminelen een zekere vorm van AI voor stemvervorming gebruiken. In 2019 vond er een vergelijkbaar incident plaats bij een diefstal in het Verenigd Koninkrijk, zo schreef The Wall Street Journal toen.

Door Yannick Spinner

Redacteur

Feedback • 15-10-2021 21:16114

15-10-2021 • 21:16

114 Linkedin

Lees meer

Crimineel steelt 'honderdduizenden' cv's bij sollicitatieplatform Homerun Nieuws van 9 november 2021
KvK: Nederlandse bedrijven krijgen wekelijks 294 cyberaanvallen te verwerken Nieuws van 4 oktober 2021
Criminele hackers beroofden 6000 users Coinbase via kwetsbaarheid in 2fa via sms Nieuws van 3 oktober 2021
Man die 2 miljoen smartphones van AT&T hackte krijgt 12 jaar gevangenisstraf Nieuws van 17 september 2021
Centrale Bank van Curaçao en Sint Maarten meldt hack Nieuws van 6 september 2021
'Amerikaanse Fed blokkeerde aanvankelijk transacties bankroof Bangladesh' Nieuws van 5 juni 2016
Meer producten en artikelen
Politiek en recht Bank Hack Hackers

Reacties (114)

-Moderatie-faq
114
111
47
4
0
48
Wijzig sortering
Lanfear89
15 oktober 2021 21:22
Met al deze 'deepfake' technieken zie ik de mensheid toch een keer een soort stap terug in de tijd maken. De enige manier waarop je kan vertrouwen dat iets legit is, is als je er zelf bij bent. Niks geen conference calls, bevestigende mails of een kort belletje met een hoge pief meer om wat te regelen. Alles in persoon en een ouderwetse handtekening.
SirBlade
@Lanfear8915 oktober 2021 22:04
Er zijn al robots die handschrift and handtekeningen kunnen reproduceren dus dat gaat ook niet werken. En met handtekening verificatie spelen nog een paar problemen. Om false positives te voorkomen heb je een expert om een vervalsing te detecteren en je moet de beschikking hebben over een geverifieerde originele handtekening. En tegenwoordig speelt er een probleem met false negatives; de meeste mensen schrijven te weinig om nog een consistente handtekening te zetten. Handtekeningen zullen in de nabije toekomst dezelfde status krijgen als zegelringen
devices
@SirBlade16 oktober 2021 09:12
Hebben ze diezelfde status praktisch gezien niet al? Waar wij hier een handtekening zetten, zetten ze in Japan een stempel. De handtekening of stempel wordt in beiden plekken praktisch nooit geverifieerd.
icecreamfarmer
@SirBlade16 oktober 2021 09:14
En laten we eerlijk zijn een handtekening zegt eigenlijk nog steeds niets. Echt een waardeloze manier van bekrachtiging.

Het is ook niet voor niets dat bij echt belangrijke zaken een notaris als getuige aanwezig is.
Voutloos
@SirBlade16 oktober 2021 12:13
handschrift and handtekeningen
Dit is typisch een fout welke een algoritme ook zou kunnen maken. Kunnen wij jouw bericht wel vertrouwen? ;)
Oon
@Lanfear8915 oktober 2021 23:15
Multifactor authenticatie moet gewoon de standaard worden; iets dat je hebt, iets dat je weet, en iets dat je bent. Dus een fysiek apparaat, een vingerafdruk, oogscan of gezichtsherkenning, en een pincode of wachtwoord dat alleen jij kent.
EldraziKlap
@Oon16 oktober 2021 19:23
Ik vind dit altijd een beetje spannend klinken. Misschien is dat ongegrond hoor - ik ben verre, verre van een security expert en ik leer voornamelijk van op Tweakers zitten.

Hoe kan ik er (redelijkerwijs, 100% heb je nooit) zeker van zijn dat bijvoorbeeld iets als mijn vingerafdruk of iets anders wat ik 'ben' niet tegen me gebruikt kan worden? Zodat ik bijvoorbeeld in de toekomst nergens meer in kom omdat iemand mijn fysieke whatever heeft gestolen of gekopiëerd?

Ik ben fan van 2FA en betere beveiliging voor dingen, je kan niet op alleen een wachtwoord leunen.
Maar zoiets vraag ik me dan toch af. Hoe kan dat veilig gemaakt worden? Of is dat het al? Waarom?
Oon
@EldraziKlap16 oktober 2021 19:29
Het hele punt is dat je altijd die extra factors afdwingt, alleen een vingerafdruk of oogscan is niet veilig. Helaas is dat nu bij smartphones wel de standaard.

De vraag is inderdaad hoe ver je daar in kan gaan en wat de bijkomende risico's en nadelen zijn. Helaas ben ik ook geen expert op dat gebied, maar ik kan me wel veel scenario's voorstellen waar bijv. alleen een vingerafdruk gebruikt wordt en dus misbruikt kan worden met een kopie, maar juist daarom is het belangrijk dat multifactor ook altijd multifactor is.
batjes
@Oon16 oktober 2021 20:30
Dat is niet helaas. Voor een smartphone is een vingerafdruk over het algemeen een stuk veiliger dan een code. Het aantal false positives is dusdanig laag dat dit geen probleem vormt en het is veel te simpel om iemands code te achterhalen.
T-Forever
@batjes20 oktober 2021 16:07
Het gaat niet over de false positives, het is helaas omdat je overal je vingerafdruk achterlaat, en door slecht 1 ding je telefoon geunlocked kan worden, iets unlocken door één ding is per definitie onveilig, dus ook die code.

Ze gaan niet zomaar een random telefoon unlocken er moet eerst iets te halen zijn, je hoeft dus slechts één belangrijk persoon te volgen om aan zijn vingerafdruk te komen, een keer te rollen en je bent bij al zijn belangrijke informatie.

Daarom dus multiple factor.

En trouwens, iemands telefoon zit vol met vingerafdrukken, met een beetje geluk kan je dus bijna elke telefoon die je vind unlocken. (als je tenminste weet hoe)

edit:
Dat ligt weer een beetje aan waar de vingerafdruk sensor zit, zit deze onder het scherm, erg lastig. Is het een aparte sensor, dan moet je vrijwel altijd je vinger (ervaar ik zelf tenminste) op dezelfde plek zetten, als je niet gewent bent die af te vegen na gebruik kan het lastig worden.

Maar het gaat niet zozeer om dat de rest het niet kan doen, maar die ééne slimme crimineel.

[Reactie gewijzigd door T-Forever op 20 oktober 2021 17:42]

batjes
@T-Forever20 oktober 2021 16:51
Is het punt niet zo, een vingerafdruk is lastiger te stelen dan iemands code. Iemands code kan je 9/10 keer door de vetvlekken van het scherm aflezen en je kan veel te simpel gewoon meekijken terwijl iemand de code invoert.

Een vingerafdruk van een scherm afhalen en die gebruiken is een veel hogere drempel. Op de meeste telefoons lukt je dat niet met een plakbandje Hollywoodstyle
uiltje
@EldraziKlap17 oktober 2021 14:16
Goede vragen, dat kan je niet of niet met grote zekerheid. Natuurlijk is het bij 2FA in ieder geval zo dat je dan nog een ander middel ("factor") moet bezitten of hacken.

Wat betreft fingerprints: een goed biometrisch systeem gebruikt ook "livelyness detection". Dat betekend dat je niet met een foto (voor facial) of een gummi-beertje (voor fingerprint) aan kan komen. Helaas zijn momenteel veel systemen nog niet op een hoog genoeg niveau, en natuurlijk heb je hier ook te maken met een race tussen verifiers en hackers.

Zelf gebruik ik nog steeds wachtwoorden, maar die zijn dan gegenereerd door een wachtwoord manager, die op zichzelf weer met een lastig hoofdwachtwoord of biometrie op mijn telefoon is beveiligd. Alleen jammer dat dat niet zo goed werkt met Windows in de zakelijke omgeving, waar nog steeds om een wachtwoord wordt gevraagd voordat je bent ingelogd (en bij je PW manager kan).

[Reactie gewijzigd door uiltje op 17 oktober 2021 14:17]

stimpak
@Oon16 oktober 2021 20:55
Dus in jouw toekomstbeeld is de smartphone onmisbaar voor iedere betaling en moet iedereen altijd verifiëren dmv onze biometrie, maar hoe garandeer je dan dat die biometrische data niet alsnog misbruikt wordt door bijv. malware, hoe garandeer je dat al die biometrie niet op straat komt te liggen?
Ga er trouwens maar beter vanuit dat je vingerafdrukken al in een database staan ergens, en dat die database al enkele tientallen keren verhandeld is door een overheidsmedewerker met een grote hypotheekschuld. Als je een iPhone of Chinese smartphone of dergelijke device gebruikt met biometrie, kan je er ook veilig van uit gaan dat ook nog eens een 3D scan van je gezicht en irissen al ergens op straat liggen. Al deze gegevens zijn massaal verzameld door (alleen al bijvoorbeeld) regeringen lang voordat ze ooit van de term hashing hadden gehoord, en zo hebben ze eigenlijk alle biometrische verificatie onbruikbaar/onbetrouwbaar gemaakt terwijl het nog in de kinderschoenen stond. En zoals dit verhaal laat zien, is het ook niet uitzonderlijk moeilijk meer om je stem na te bootsen. Dus zo zijn we helemaal niets opgeschoten, want ook je wachtwoord of pincode is makkelijk te ontfutselen dmv malware.

En momenteel is SMS-verificatie nog steeds populair als 2FA, terwijl er maar één kwaadwillige bij je telco hoeft te werken om een MITM-aanval uit te voeren, zoals al meerdere keren is gebeurd in afgelopen jaren. Het enige wat dan zou veranderen was dat je de criminele organisaties die al over jouw biometrie beschikken het makkelijker maar vooral verleidelijker maakt om die data te gaan gebruiken.
Oon
@stimpak16 oktober 2021 21:41
Waarom zou je een smartphone nodig hebben voor multifactor authenticatie? Als je bij het stad/gemeentehuis moet zijn voor sommige dingen vragen ze ook je geboortedatum en moet je je ID laten zien, waarop ze de foto controleren tov je gezicht. Dat is al twee factoren: je ID heb je, je gezicht ben je.

Ook zeker niet bij iedere interactie zijn meerdere factoren nodig, en welke factoren acceptabel zijn verschilt.
stimpak
@Oon16 oktober 2021 22:07
Dus een fysiek apparaat, een vingerafdruk, oogscan of gezichtsherkenning, en een pincode of wachtwoord dat alleen jij kent.
Reactie was specifiek hierop. Ik neem aan dat je met fysiek apparaat zowel doelt op een hardware token als een smartphone die ook nog eens vingerafdrukscanner, gezichtsscan (klassiek 2D danwel LIDAR 3D) en irisscan plus microfoon bezit, maw een hele "biometrische toolkit in één".

MFA kan inderdaad zonder natuurlijk, maar ik betwijfel toch of veel implementaties van MFA en vooral een steeds groeiendere afhankelijkheid van MFA de dingen daadwerkelijk veiliger maakt. We zitten zo, in zekere zin, steeds meer attack surfaces toe te voegen voor kwaadwillenden.
Oon
@stimpak16 oktober 2021 22:13
Nouja het was maar een voorbeeld. Fysiek apparaat kan ook bijvoorbeeld een YubiKey of NFC-chip zijn (al zijn die te clonen, maar NFC wordt ook veel bij bijv. alarmsystemen gebruikt).

Het gaat er vooral om wat haalbaar en nuttig is. Er zijn genoeg kantoorgebouwen waar je een NFC-sleutel nodig hebt om binnen te komen en je pasje met daarop je foto altijd zichtbaar boven je kleding moet dragen, maar ook daar zijn pentesten vaak succesvol in het binnendringen tot kritieke ruimtes. Meer lagen toevoegen maakt het lastiger voor kwaadwillenden maar ook voor mensen die daar wel horen te zijn, dus ideaal is dat niet.

Maar als ik bijv. 500 euro of meer wil pinnen bij een pinautomaat zou ik er geen probleem mee hebben als ik dan naast mijn bankpas (hebben) en pincode (kennen) ook een vingerafdruk (zijn) zou moeten aanbieden. Afgedwongen moet het zeker niet worden, maar die optie toevoegen maakt het voor de mensen die het gebruiken wel veiliger omdat het nóg een factor is die een kwaadwillende moet kunnen kopiëren.
GertMenkel
@Lanfear8915 oktober 2021 22:21
Maar, was dat niet al zo? Natuurlijk was het vroeger moeilijker (je moest een acteur inhuren, en een latexmasker maken van je slachtoffer) maar voor 30 miljoen kon dit al lang.

Van wat ik gehoord heb van de deepfake-stemtechnologie denk ik niet dat de technologie de laatste stap is. Het helpt natuurlijk in een reeks van langzame manipulaties en infiltratie, maar je kunt heus niet met de stem van de directeur opbellen en zeggen "stort eens een miljoen of 30 naar I.C. Wiener".

Dit soort dingen worden geroepen sinds voor de uitvinding van photoshop, maar ik denk dat we er als samenleving nog teveel vertrouwen op de vertrouwdheid van slechte webcams en telefoontjes.
MKoot
@GertMenkel16 oktober 2021 08:40
Het punt is mijns inziens vooral dat het zo makkelijk te automatiseren wordt. Tuurlijk, in heel specifieke en gerichte gevallen zoals dit kon je vroeger met acteurs en ‘ouderwets’ Photoshop al een heel eind komen. Maar dat kost een enorme berg met moeite, dus je kunt er wel vanuit gaan dat niet alle digitale data die je te zien krijgt gemanipuleerd is. Met kunstmatige intelligentie zoals de taalgenerator GPT-3 kun je echter met één text-prompt tienduizenden nepprofielen met bijbehorende comments genereren. Combineer dat met een DeepFake-GAN die afbeeldingen creëert om in één klap een berg profielfoto’s te hebben. (thispersondoesnotexist.com) En met een DeepVoice-GAN om er ook stemmen bij te hebben. En binnen een paar jaar met een neuraal netwerk dat hetzelfde voor video doet. Het wordt dan wel érg eenvoudig om een volledig fictieve en parallelle werkelijkheid te creëren. Je hebt dan geen team van acteurs, designers, tekstschrijvers, nodig om een Truman-achtige online omgeving te creëren, maar enkel een verveelde tiener met een computer.
Mic2000
@MKoot16 oktober 2021 09:35
Hebben we dan eindelijk die parallelle dimensie gevonden :+
GertMenkel
@MKoot16 oktober 2021 13:07
Hoewel ik het met je eens ben als het aankomt op normale oplichting (marktplaats/bol.com/amazonfraude) denk ik dat het weinig verschil zal maken voor een crimineel die op het punt staat miljoenen over te hevelen.

De marges zijn wellicht beter, maar voor zulke georganiseerde misdaad heb je meer nodig dan een script van github. Ik denk dat een IT'er die een custom neural network kan opbouwen voor jouw criminele doeleinden nog wel eens duurder kan zijn dan een acteur inhuren.

Een parallele werkelijkheid is in de meeste gevallen echt compleet overkill om mensen mee op te lichten. Nog steeds vallen mensen voor de "gratis iPhone" scams, waarom zou je dan nog moeilijk doen met deep learning en GPT-3. Zelfs als je zo'n werkelijkheid op wilt zetten, kun je denk ik beter de ouderwetse scraper- en Mechanical Turk-aanpak gebruiken. Mensen oplichten kost in vergelijking erg weinig, zelfs zonder machine learning.

Nee, ik denk dat we vooral bang moeten zijn voor grootschalige manipulatie van en door politici als het aankomt op dit gebied. Botlegers op Twitter met gegenereerde accounts die misinformatie verspreiden zijn in mijn ogen een stuk problematischer dan conference call met een filter.

Eén voordeel voor ons: al die ontwikkelingen op taalgeneratie lijken vooral te werken op het Engels, ik heb nog geen enkel betrouwbaar systeem gezien om Nederlandse teksten te genereren. Je kan GPT-3 door Google Translate heen gooien, maar de output daarvan is bcb vaak niet overtuigend. Op de Nederlandse markt denk ik daardoor dat we kunnen zien hoe de Engels-sprekende landen hier mee omgaan en indien nodig bijsturen voordat wij er ten prooi aan vallen.
EldraziKlap
@GertMenkel16 oktober 2021 19:26
Is zo'n taalgenerator in het Nederlands overtuigend kunnen laten zijn niet voornamelijk een kwestie van tijd? Als het in het Engels kan..
T-Forever
@MKoot21 oktober 2021 00:07
Er zullen staatshoofden afgezet worden, dit is toch perfecte digitale oorlogvoering? Mensen opjutten met letterlijk verzonnen nep nieuws, en niet van echt te onderscheiden.

Natuurlijk er bestaat ook AI wat de neppe er tussen uit plukt, maar dan word het toch op een conspiracy gegooid. Het gevolg zal zijn dat meer landen hun eigen afgesloten Internet zullen krijgen, zodat de buitenlandse informatie stromen beter in hand te houden zijn.

Doemdenker?
GenomDalar1983
@Lanfear8916 oktober 2021 06:57
Ik heb een (handmatige) handtekening als authenticatie nooit begrepen...
ultimasnake
@GenomDalar198316 oktober 2021 09:05
Ik ook niet, zo na te maken door jan en alleman en haast niet te controleren voor een ontvanger (naast ‘dat ziet er ongeveer hetzelfde uit’)
Genosha
@ultimasnake16 oktober 2021 09:35
Laat mij honderd keer mijn handtekening zetten en hij zit er honderd keer anders uit, waarvan zeker de helft niets of nauwelijks iets met elkaar te maken heeft.

Het is meer het proces; je hebt een afspraak bij de bank/werkgever op een tijdstip dat in de agenda staat. Daar staat ook in wat voor een afspraak het is. De datum van tekenen staat ook het het document. Dus als er stront aan de knikker is; u was daar, op dat tijdstip en u bent met deze voorwaarden akkoord gegaan. Kijk maar, we hebben jou handtekening als bevestiging van lezen en akkoord.

Enige "oplossing" is niets meer digitaal doen, maar dat is onmogelijk.
harakiri576
@Genosha16 oktober 2021 11:58
Of digitale handtekeningen gebruiken. Probleem is dat de gros van bevolking digitaal ongeletterd is.
FilipSP
@GenomDalar198316 oktober 2021 14:09
Ik ook niet.

Ik was een jaar of 10, in de vorige eeuw dus nog, dat ik al eens een brief kreeg van de bank dat mijn zelf gezette handtekening op een overschrijvingskaart van de pennyrekening niet goed was. Moest ik er van mijn ouders op gaan oefenen, nou op 1 a4 zette ik 50 verschillende handtekening die toch echt allemaal authentiek waren. Wel mocht ik mij even Marco van Basten wanen met het zetten van zoveel handtekeningen.

Later altijd lastig gevonden om handtekeningen te zetten. Op die betaalpasjes met veel te kleine vakjes, bij diploma's als ik dacht nu moet het een beetje netjes zat de krul weer verkeerd en bij de notaris kwam er niet uit wat het moest zijn.

Absoluut een kutmethode op de authenticiteit vast te stellen..
Zeerob
@FilipSP16 oktober 2021 18:33
Inderdaad. Gelukkig wordt een handtekening bijna nooit gecontroleerd (behalve toen bij je Pennyrekening). Dus dat je op je hypotheekakte weer een heel andere handtekening zet, maakt eigenlijk niks uit.
EldraziKlap
@Zeerob16 oktober 2021 19:27
Is een handtekening niet op een bepaalde manier ook een soort fysieke bevestiging in veel gevallen?
'Deze persoon was hier'.

Al kan natuurlijk elk kalf een handtekening namaken. hmmm.
downtime
@GenomDalar198316 oktober 2021 11:13
Nog leuker is dat veel mensen “digitale handtekening” uitleggen als handtekening inscannen en dan als plaatje invoegen in je Word document.
onlinegangster
@downtime20 oktober 2021 07:26
Vond ik ook altijd vreemd, tot ik het zat was om elke keer een printer te zoeken en papier te printen puur om een handtekening te zetten en dat weer in te scannen...

Tegenwoordig gebruik ik de handtekening feature van Adobe Reader, zelfde principe, maar voelt net wat veiliger en word ook gewoon overal geaccepteerd. Aanrader!
thibaultvdb
@Lanfear8915 oktober 2021 22:25
Gelukkig bestaan er cryptografische handtekeningen :) :+
amarissimo
@Lanfear8916 oktober 2021 09:52
Als dit toegepast wordt icm whatsapp fraude (hé pap ik heb n nieuw telefoonnummer) ga ik me zorgen maken.
Mijn ouders nogmaals instrueren dat ze bij ongebruikelijke voorstellen en transacties eerst even terugbellen op t bekende nr.
EldraziKlap
@amarissimo16 oktober 2021 19:29
Je kan je ouders ook leren bepaalde codewoorden te gebruiken bij je. Dit doe ik met mijn moeder - als ze twijfelt dan vraagt ze letterlijk "Heb je Flits nog uitgelaten vanochtend voor je wegging?".

Er is geen Flits.

We hebben afgesproken dat ik altijd antwoord met "Ja, want Anneke had honger".

(Ik heb deze zinnen veranderd, ik laat mijn moeder wat anders zeggen met andere namen, maar zo voor het idee).

Het is voor haar makkelijk onthouden want als ze twijfelt staat sowieso de afspraak eerst mij bellen/appen.
BastiaanF
@EldraziKlap17 oktober 2021 06:39
Oke dit komt dus uit de film terminator 2... ;)
https://www.youtube.com/watch?v=H4OzlOWNmIM
What's the dog's name? | Terminator 2 : Judgment Day 4k (Remastered)
EldraziKlap
@BastiaanF17 oktober 2021 14:07
Oh ik heb het zelf bedacht! Geinig, nooit die films gezien
Zarhrezz
@Lanfear8916 oktober 2021 12:53
Dat denk ik niet. Alles in person en ouderwetse handtekeningen terwijl je snel moet schakelen terwijl de CEO in Azie zit en de andere partij in de US en de advocaten op hoofdkantoor in de EU?

Ik denk eerder dat door dit soort "inbraken" partijen als banken eindelijk eens serieus gebruik gaan maken van reeds bestaande technologieën voor gevalideerde transacties...en dit ook verplicht maken voor hoger management.

Digital signing zijn al prima oplossingen voor beschikbaar, oplossingen waarbij allerlei zaken worden vastgelegd en afgedwongen (vanaf welke hardware, welk IP, 2-factor verplicht, etc.). Wil de CEO een grote overboeking gedaan hebben? Ok, een ondergeschikte kan die transactie klaarzetten (gevalideerd, digitally signed) maar de CEO moet nog wel digitaal ondertekenen (en wellicht ook nog een extra signature van de CFO). En dat soort signatures kan natuurlijk alleen vanaf hardware die bekend is bij het bedrijf (in beheer bij de IT afdeling) vanaf een IP van het bedrijf.

Audit trials zijn er niet voor niets. Multi-person approvals ook niet. Dit soort hacks / roof hangt op social engineering zodat 1 enkele persoon iets doet wat hij / zij simpelweg niet zonder double-checks zou moeten kunnen doen. Veel van degenen die over de echt grote bedragen / beslissingen gaan, zijn geen techneuten en die hebben geen enkel idee / besef van wat er zoal mogelijk is. Het wordt tijd dat die groep users tegen zichzelf beschermd gaat worden, ook al vinden ze dat maar vervelend en lastig (1 belletje naar een ondergeschikte om een deal rond te krijgen is natuurlijk makkelijker). Het soort "aanvallen" zoals deze bankroof is wel een mooi voorbeeld om aan deze gebruikersgroep uit te leggen waarom dit nodig is en welk risico ze accepteren als ze stug vasthouden aan "met 1 belletje moet het geregeld zijn".
tapkcir
@Lanfear8916 oktober 2021 14:14
Er zijn wel meer technieken waarbij je je afvraagt waar dat heen moet gaan. Bang gemaakte bejaarden stemmen op lieden die de jeugd geen normaal leven meer gunnen enz. enz. Denk dat we binnen de 10 jaar(hooguit) wel wat mee gaan maken.
bbob
@Lanfear8916 oktober 2021 10:34
Terug naar de 15de eeuw, op de markt met de stadsomroeper die het nieuws verkoopt.

Maar wacht wie zegt dat daar over 30 jaar niet een ai robot met jou gezicht en stem een leuk verhaal aan het verkopen is.
Cergorach
@Lanfear8916 oktober 2021 11:12
Je doet alsof alles in persoon en via een ouderwetse handtekening zo veilig is en je vroeger niet werd belazerd waar je zelf bijzat. Omdat mensen niet zelf die tijd (bewust) hebben meegemaakt denkt men dat het veiliger is, terwijl dat in de realiteit niet het geval was/is.

Handtekeningen vervalsen is al een heel oud vak, gaat terug zolang er al geschriften zijn. Het issue daarmee is dat het gros van de mensen sowieso al niet een echte van een nep handtekening kan onderscheiden. En er zijn zat criminelen die met een beetje makeup goed genoeg op die directeur kunnen lijken die je alleen maar kent van een (slechte) foto. €30 miljoen is het type geld waarvoor iemand plastische chirurgie kan laten uitvoeren...

Wil je vervolgens ook met alleen cash geld over straat? Want een pistool in je mond is een ervaring die iedereen toch wel wil hebben...

Het is altijd al een strijd geweest tegen de creativiteit (en gewelddadigheid) van criminelen en over het algemeen lopen de niet-criminelen achter de feiten aan. Het maakt niet uit of dat in een 'digitale' of een 'niet-digitale' wereld is...
Timmmeeehhh
@Lanfear8916 oktober 2021 11:50
Er is absoluut geen reden om terug te gaan naar een ouderwets systeem. Distributed ledgers (blockchain e.d) fixen dit. Niemand kan iets signen behalve de eigenaar van de private key.
Wolfos
@Lanfear8916 oktober 2021 15:57
Voor eHerkenning word inderdaad de identiteit in persoon gecontroleerd, zodat het zeker is dat jij daadwerkelijk bent wie je zegt en gemachtigd bent door dat bedrijf.

Inloggen daarna gaat via password met 2FA en/of cryptografische sleutel.

[Reactie gewijzigd door Wolfos op 16 oktober 2021 15:58]

gepebril
@Lanfear8916 oktober 2021 21:44
Er is al oplossing voor Bitcoin. Iedereen kan beweren Satoshi te zijn, zo lang je private key van Genesis block niet hebt..... Tot één issue na is Bitcoin flawless gebleken
UncleEddy
@Lanfear8917 oktober 2021 01:47
Wat dacht je van smart contracts? Bedoelt om dit soort problemen op te lossen. Straks is er geen enkele tussenkomst meer benodigd juist.
honey
15 oktober 2021 23:26
Ik ben bang dat in de nabije toekomst alles fake kan zijn. Alles wat je ziet een hoort kan gefabriceerd worden. Lijkt me een verschrikkelijke wereld.
Dwarlorf
@honey16 oktober 2021 09:36
Die wereld is er eigenlijk al min of meer. Van politici met hun halve waarheden of hele onwaarheden, tot de gesponsorde influencers en de gefotoshopte instamodels. Van de rappers met hun 'dure' huizen en auto's, tot gefabriceerde 'echt gebeurde' grappige filmpjes en memes, liegende techreuzen, de vele oplichters op marktplaats. De google bubbels, de Siewerts van deze wereld. Noem het maar op. Aan alle kanten wordt je tegenwoordig beduveld.

[Reactie gewijzigd door Dwarlorf op 16 oktober 2021 09:39]

bbob
@Dwarlorf16 oktober 2021 10:33
Er is een oud gezegde, de wereld wil bedonderd worden dus bedonder haar.

Waarom kopen mensen geen eigen mark melk in de supermarkt maar de 50% duurdere versie met mooie verpakking. De inhoud is echt dezelfde.
Het begint al op de lagere school, hoe zie je er uit bent je cool hoor je er bij, merkkleding of wibra betekend het verschil soms tussen gepest worden of niet. Het is een menselijk trekje dat de massa gevoelig maakt voor beïnvloeding. Op de ene of andere manier willen mensen ook beïnvloed en je geeft daar mooie voorbeelden van.
Kimaaa
@bbob16 oktober 2021 14:44
Ik daag je uit om 4 pakken in 4 prijsklassen melk te kopen en ze dan te beoordelen op smaak.

Zal je vies tegenvallen. En je wereld misschien wat lekkerder maken.
bbob
@Kimaaa18 oktober 2021 10:19
Op ieder pak melk staat een code waar je kan zien uit welke fabriek deze komt.

Keuringsdienst van waarde heeft er een mooi programma over gemaakt: https://www.npo3.nl/de-melkplas-gedecodeerd

Wat je dus ziet is bijv eigen merk jumbo kan uit dezelfde fabriek komen als campina die veel duurder is.
Als je smaak met extra lang houdbaar vergelijk met niet lang houdbaar heb je idd smaakverschillen.
Maar uit dezelfde fabriek alleen andere verpakking is het gewoon dezelfde melk.
Kun je met info op een pak checken via: http://eucode.info/
T-Forever
@bbob20 oktober 2021 16:09
Hoeft niet, ze kunnen ook melk afromen en die room toevoegen bij de andere productielijn. Heb je toch 2 verschillende smaken en soorten melk in een andere verpakking van dezelfde fabriek.

Alle informatie is wel op te zoeken uiteraard, en veelal zul je gelijk hebben.

[Reactie gewijzigd door T-Forever op 20 oktober 2021 16:11]

bbob
@T-Forever20 oktober 2021 16:39
Afromen is normaal dat is het verschil volle halfvolle en marge melk.
Maar volle campina melk of volle melk zonder campina verpakking maar uit dezelfde fabriek is gewoon hetzelfde qua samenstelling. Die vet percentages kun je gewoon op de verpakking vinden.
DennisH82
@Dwarlorf16 oktober 2021 10:30
Dat is inderdaad helaas de waarheid, nu is het een bankroof, morgen een moord, en overmorgen de start van een oorlog....
Is 2 staps verificatie genoeg, of moeten we naar nog veiligere technologische toepassingen, of juist terug naar "ouderwets" in persoon iets gaan regelen ?
Ik ben erg benieuwd waar dit naartoe gaat
Cergorach
@honey16 oktober 2021 11:23
Ik ben bang dat in de nabije toekomst alles fake kan zijn.
En dat was vroeger niet zo? De term Ponzi scheme komt van een man die leefde en dit deed voordat er computers waren (Charles Ponzi). Zo zijn er vroeger zat hele grote leugens geweest die mensen gewoon geloofden, er werden presidenten op gekozen...

Het grote verschil met vroeger is dat nu de hele wereld met je kan communiceren, dus elk incident kan je te horen krijgen. Denk je dat je in 1985 wat had gehoord over een roof in de Verenigde Arabische Emiraten? En het nieuws wat je te horen kreeg via bepaalde kanalen was ook al heel er politiek getint en als men keihard loog kwam ook dat maar moeilijk aan bij de mensen waarbij het gebeurde. Want men leefde toen ook al in informatie bubbels.
OxWax
@honey16 oktober 2021 11:49
Al eens gezien hoeveel plamuur er op sommige vrouwen zit of filters op instagram vs reality? :X :+
ari3
@honey17 oktober 2021 22:52
Ik ben bang dat in de nabije toekomst alles fake kan zijn. Alles wat je ziet een hoort kan gefabriceerd worden.
Er wordt al duizenden jaren nepnieuws en desinformatie verspreid in de vorm van religie. Een man die zich uit eigenbelang voordoet als bankdirecteur is niet anders als iemand die zich uit eigenbelang voordoet als boodschapper van god (Jezus, Mohammed, L. Ron Hubbard, Abraham, J. Smith, kies maar). Oplichting is van alle tijden.
xoniq
15 oktober 2021 21:20
En nooit een keer zelfstandig een belletje doen om eea te verifiëren met zulke bedragen. Ja er was neppe conversatie, maar als ie persoonlijk de bankdirecteur benaderd had, was het al klaar.

Leer ik m’n ouders en opa en oma enz ook. Als je appjes krijgt, zogenaamd van mij, hoe persoonlijk gericht ook, even bellen naar mijn eigen nummer.
Flapperbol
@xoniq15 oktober 2021 21:26
Alleen gaat dit geval over een "deep voice" stem, dan heeft een belletje terug natuurlijk niet zoveel zin, want je hebt de persoon in kwestie toch al gehoord/gesproken? (Afhankelijk van hoe ver dit gaat)

In een dergelijk geval gaat dit je (groot)ouders ook niet helpen vrees ik, dit gaat wel een stap verder dan een tekstueel appje en zal een veel groter slagingspercentage hebben
dmystic
@Flapperbol15 oktober 2021 22:12
Als je niet het nummer dat jou belde terugbelt, maar zelf het nummer dat je van hem weet, zou je dit dus voorkomen
Waterfietser
@dmystic16 oktober 2021 10:49
Je kan elk nummer spoofen… zolang men maar niet terug belt.

Op die manier wordt heel veel opgelicht momenteel. Het is strafbaar maar blijkbaar lastig te traceren…
xoniq
@Flapperbol15 oktober 2021 22:07
Met zulke bedragen kan 1 extra belletje van de andere partij geen kwaad. Dan zit de crimineel weet niet meer tussen.
thanalas
@Flapperbol16 oktober 2021 08:26
Je belt dan natuurlijk wel terug naar het jou bekende nummer van je collega, en niet naar het onbekende nummer waar je vandaan gebeld bent.

Net als met die opa en oma, die ook hun kleinkind op zijn eigen, bij hen bekende, nummer gaan bellen/appen.
Genosha
@Flapperbol16 oktober 2021 09:37
Hoezo niet? Dat belletje had een hoge kans om bij de echte man te komen. Of hadden de dieven ook de telefooncentrale gehackt en het nummer van de hoge pief opnieuw geroute?
CzMichiel
@xoniq15 oktober 2021 21:23
In veel culturen is het u vraagt ik draai.
downtime
@CzMichiel16 oktober 2021 03:23
In Europa is het niet anders. Bij Pathé gebeurde dit in 2018 ook. Als de directie een cultuur kweekt waarin kritische vragen niet geduld worden is het makkelijk om daar misbruik van te maken.

https://nos.nl/artikel/22...oor-nepmails-hoofdkantoor
musiman
@downtime16 oktober 2021 11:05
Dat komt omdat pathé een Franse moeder heeft en in Frankrijk heerst ook zo'n top-down cultuur. Je luistert naar de baas.
adam76
@CzMichiel15 oktober 2021 21:29
Dat is in de UAE niet anders. Het is een vreselijk land om in te werken. En ja. Daar is het U vraagt Ik draai. Heb er te lang gezeten voor werk vanwege deze omgangs cultuur.... Tegenwoord word niet geduld daar. ! Het is gewoon oprotten als je ze aanspreekt... Ze gooien je letterlijk het land uit.

[Reactie gewijzigd door adam76 op 15 oktober 2021 21:31]

theobril
@adam7615 oktober 2021 21:32
Beetje zure les, maar misschien gaat men nu minder blind varen op autoriteit? /naief
adam76
@theobril15 oktober 2021 21:43
Het zit in de cultuur. De mensen die daar het werk doen zijn vaak immigranten. De arabieren zelf werken bijna niet. en als ze wel werken bekleden ze hoge posten waardoor ze altijd genoeg ruimte hebben om naar beneden te trappen. De immigranten daar denken wel 2 keer na om iets verkeerd te doen omdat ze dan gelijk het land uitgezet worden en dan hebben ze helemaal geen inkomsten meer. Het is cultuur daar. En dat is wat de arabieren op langere termijn ook kwetsbaar maakt..

Mijn ervaring was dat ik een bepaald certificaat nodig had om het droogdok ( Drydock World naast Bur Dubai ) op te komen om bij het schip te komen wat daar lag. Ik was iets te bijdehand en ze laten je gewoon verotten je krijgt het papiertje niet. Alleen na dat je ze een paar briefjes geld geeft dan gaan ze iets doen.

Het midden oosten is een plek waar ik liever niet meer terug kom om te werken.

[Reactie gewijzigd door adam76 op 15 oktober 2021 21:43]

LordLynx
@adam7615 oktober 2021 22:49
Ik vraag me alleen af of mensen die 30 miljoen over mogen maken ook tot de arbeidsmigranten behoren.....
adam76
@LordLynx15 oktober 2021 23:12
Wijs antwoord. Ik zo van wat ik heb gezien van het midden oosten, en dan spreek ik niet alleen over AUE ( maar wel genoeg naar mijn ziens ) is deze kans wel degelijk aanwezig dat dit een arbeidsmigrant geweest is. Er zijn in de UAE genoeg hoog geplaatste arbeidsmigranten uit india en zo voorts die deze functies bekleden en die zijn maar wat bang om hun mooie plekje kwijt te raken. Dus mijn antwoord is Ja. Die mogelijkheid is er wel degelijk.
arbraxas
@LordLynx16 oktober 2021 13:15
En jij dacht dat iemand die, laten we zeggen op 80% van de ladder staat een grote bek tegen de directeur / sjeik whatever gaat hebben? Want dan zijn ze zelf ineens van niveau "arbeidsmigrant".
Bankmanager vs lokale bankdirecteur.
surfin
@adam7616 oktober 2021 00:19
Geen angst, komt vanzelf hierheen
Tweddy
@surfin17 oktober 2021 11:35
Minus de miljoenen
hooibergje
@theobril16 oktober 2021 00:33
Nee hoor, dat gaat natuurlijk niet gebeuren.
gepebril
@theobril16 oktober 2021 21:40
Hoeveel mensen volgen hier niet blind de overheid/autoriteit.... inclusief journalistiek...
Lanfear89
@xoniq15 oktober 2021 21:28
Maar dat is het em juist, als ze zo goed stemmen na kunnen maken kan je daar ook al niet meer op vertrouwen. Even een paar keer met het slachtoffer bellen zodat je voldoende materiaal hebt voor de AI om wat te leren, laat 'jouw mannetje' het slachtoffer even bestuderen zodat ie aan de telefoon precies zijn of haal stijl van praten te pakken heeft en voor je het weet is de halve mensheid ineens 'de lokale bankdirecteur'.

Telefoongesprekken kan je straks niet meer op vertrouwen, dan krijg je uiteindelijk van dit soort vragen "Wat zei ik op 14 maart 2049 tegen jou nadat jij dat flesje bier kapot liet vallen".
AmigaWolf
@xoniq16 oktober 2021 00:33
En nooit een keer zelfstandig een belletje doen om eea te verifiëren met zulke bedragen. Ja er was neppe conversatie, maar als ie persoonlijk de bankdirecteur benaderd had, was het al klaar.

Leer ik m’n ouders en opa en oma enz ook. Als je appjes krijgt, zogenaamd van mij, hoe persoonlijk gericht ook, even bellen naar mijn eigen nummer.
Ik denk dat ze te bang waren om het te controleren, want als hij het wel was kregen ze de wind van voren, maar ja die krijgen ze nu ook.
Serefsiz
@xoniq16 oktober 2021 02:23
Maar wat zou je opa of oma doen als ze worden gebeld door een ai technologie met jou stem?
FuaZe
@Serefsiz16 oktober 2021 09:14
Vragen of ik weer een keer langs kom :X
Elefant
@xoniq15 oktober 2021 21:29
Hij heeft de bankdirecteur persoonlijk gesproken via de telefoon

Dat is nu juist de hele clou.

[Reactie gewijzigd door Elefant op 15 oktober 2021 22:55]

xoniq
@Elefant15 oktober 2021 22:09
Ja en dan even een extra verificatie die terug te bellen naar het bekende nummer, en klaar. Je kan alles wat eenzijdig jou kant op komt digitaal niet meer vertrouwen.
Elefant
@xoniq15 oktober 2021 22:20
Captain hindsight

De Verenigde Arabische Emiraten is geen Nederland. In een relationele sfeer waarin mensen buigen als een knipmes en geacht worden elke order direct uit te voeren, komen ze niet op dat idee. Technische mensen onderschatten vaak wat je kan bereiken met social engineering.
divvid
@Elefant16 oktober 2021 07:40
Dat ligt er er aan. Zo ben ooit met een wazig verhaal gebeld door Visa. De man z’n naam gevraagd en het hoofdkantoor gebeld. Ik werd keurig doorverbonden en zo wist ik dat die vent echt was. Hij was ernstig verbaasd.
SmokingCrop
@xoniq15 oktober 2021 22:19
En wat als ze reeds van het correcte nummer gebeld hebben?
Een nummer spoofen is echt niet moeilijk.
Een persoon in die positie zal dan niet even terugbellen om de "oh zo drukke bank directeur onnodig te storen" voor een mogelijkheid wat op dit moment toch nog altijd een ver-van-mijn-bed-show is.

(Dergelijke bedragen zouden natuurlijk niet via 1 telefoontje mogen gebeuren, maar dit is wel next level phishing)

[Reactie gewijzigd door SmokingCrop op 15 oktober 2021 22:27]

TomsDiner
15 oktober 2021 22:36
Dit gaat eigenlijk niet over de kracht van AI, maar over wat er gebeurt als mensen verleid worden de opgestelde protocollen aan hun laars te lappen. Ik neem althans aan dat de bankmanager ver buiten zijn boekje is gegaan, omdat hij dacht dat hij daar opdracht toe kreeg van de directeur.

Twintig jaar geleden (maar ook vorige week) had een imitator dit ook kunnen doen.
dez11de
@TomsDiner16 oktober 2021 01:55
Niets in het artikel, het gelinkte Forbes artikel of het gelinkte rechtbankdocument wijst daarop. Vanwaar dan toch de aanname?
Ayporos
@dez11de16 oktober 2021 16:38
Je neemt aan dat een bank orgaan strikte regels en protocollen heeft, uitgaand dat de opgestelde regels van het bedrijf (bank notabene!) door meerdere mensen bekeken en bekritiseerd zijn en dat er ten minste een minimale vorm van competentie aanwezig is over die hele groep mensen.

Dit is gewoon een social engineering aanval geweest.
Leuk dat er AI deepvoice bij betrokken was, maar het betekent niet ineens dat ál onze bedrijven en banken technisch gezien kwetsbaar zijn.

Wij krijgen bij mijn bedrijf elk jaar een (opfris) cursusje over veiligheid, en social engineering wordt hier (terecht) in uitgelicht als aanvalsvector waar je voor moet waken.

[Reactie gewijzigd door Ayporos op 16 oktober 2021 16:39]

Evexium
15 oktober 2021 21:39
Ergens vind ik dit wel erg gaaf!
Meliscool
@Evexium16 oktober 2021 01:04
Lijkt wel een scene uit het spelletje Hitman..
"Good work 47, transaction completed!"
Rouwette
@Evexium15 oktober 2021 22:06
Erg goed uitgedacht van te voren, dat respect hebben ze wel verdiend.
mutley69
15 oktober 2021 23:37
Biometrie gebruiken voor beveiliging is oliedom. Iets wat waarneembaar is, is copierbaar, of nabootsbaar!
MrMonkE
15 oktober 2021 23:51
Is het al zeker dat het AI was of is dit weer zo'n Navalny-deepfake verhaal? O-)
Hee_Martijn
16 oktober 2021 09:14
Klinkt toch wel een beetje als een inside job.
Wasabi!
16 oktober 2021 09:28
Haha, ik had ooit een baas die dubbelcheckte met een codewoord, kon alleen telefonisch.
opa uche
16 oktober 2021 10:15
Een van de redenen waarom "directeuren" moeten inzien dat ze niet meer boven moeten procedures staan. En als dat nodig is, is ook daar een procedure voor.
Want personeel wat zich zo gedraagt, heeft een oorzaak.

[Reactie gewijzigd door opa uche op 16 oktober 2021 10:16]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee