Hackers en cybercriminelen hebben een nieuwe manier gevonden om geld te stelen. Door een malafide app op een smartphone te installeren, stelen ze biometrische gegevens. Door deze informatie in een deepfake te verwerken, krijgen ze toegang tot hun bankrekening en sluizen ze geld over naar andere rekeningen. “Mensen kunnen jouw gezicht stelen en namaken.” Daarvoor waarschuwt advocaat en onderzoeker bij het Instituut voor Informatierecht Ot van Daalen in De Telegraaf.
Biometrische identificatie is al jaren een bekend begrip in de smartphone-industrie en de financiële wereld. Daarbij beschermt een vingerafdruk, irisscan of gezichtsprofiel je mobiele telefoon en je bankrekening tegen ongeoorloofde toegang. In de beginperiode waren er de nodige kinderziektes -zo was het aanvankelijk mogelijk om met een pasfoto een toestel te ontgrendelen- maar door de jaren heen zijn er oplossingen bedacht voor deze onvolkomenheden.
Met de snelle ontwikkeling van algoritmes en kunstmatige intelligentie, hebben hackers een nieuwe truc bedacht om slachtoffers te maken. Door een kwaadaardig programma op je smartphone te installeren, krijgen ze toegang tot je inloggegevens, vingerafdruk en gezichtsprofiel. Als criminelen deze informatie in handen hebben, kunnen ze met kunstmatige intelligentie relatief eenvoudig een nepbeeld van iemands gezicht maken. Dit wordt ook wel een deepfake genoemd. Deze nepvideo van iemands gezicht gebruiken ze vervolgens om toegang te krijgen tot zijn of haar bankrekening.
Volgens De Telegraaf is het een nieuwe manier van hacken die zelfs experts verbaast. Advocaat en onderzoeker Ot van Daalen zegt dat hij deze hackmethode nog niet eerder heeft gezien. Tegelijkertijd zag hij het wel aankomen. “De technologie om gezichten te kopiëren en dus daarmee deepfakes te maken, ontwikkelt zich steeds verder. Banken maken nog steeds gebruik van gezichtsherkenning als manier om mensen te identificeren. Voor criminelen wordt het steeds aantrekkelijker om zo bankrekeningen te plunderen.”
De meeste slachtoffers van deze nieuwe hackmethode vallen momenteel in Azië. Maar volgens Van Daalen is het een kwestie van tijd voordat het ook in ons land problemen gaat opleveren. Nu moeten hackers eerst een mobiele telefoon zien te infecteren met een malafide app, wat veelal gebeurt via phishing. Mogelijk is dat in de toekomst niet meer nodig en hebben aanvallers genoeg aan een profielfoto of video die ze van sociale media halen.
“Je kunt er niets aan doen”, waarschuwt Van Daalen. “Foto’s van jouw gezicht staan overal op het internet, op straat loop je langs camera’s en die filmen je. Ook die gegevens zijn te stelen. Het is onmogelijk om dat te omzeilen.”
De advocaat en onderzoeker vindt dat de verantwoordelijkheid van de veiligheid van jouw bankrekening bij banken ligt. Zij moeten manieren zien te vinden om de rekeningen van hun klanten te beschermen tegen deepfakes.
Eén van de banken die zich bewust is van de gevaren van deepfakes, is de ING. De bank bevestigt tegenover De Telegraaf dat ze verschillende ‘zichtbare en onzichtbare’ maatregelen neemt om ervoor te zorgen dat klanten veilig kunnen internetbankieren. Klanten hebben echter ook een eigen verantwoordelijkheid. “Wij waarschuwen onze klanten ook altijd om niet op linkjes te klikken waardoor je mogelijk malware kan downloaden”, aldus een woordvoerder.
ING ziet dat de manier waarop criminelen te werk gaan continu verandert en inventiever wordt. “AI is een belangrijke ontwikkeling die al op grote schaal wordt gebruikt in de wereld om ons heen. We nemen dit soort technologieën zeer serieus en houden de ontwikkelingen hierover in de gaten om te bepalen hoe we hier in onze dienstverlening rekening mee houden”, zo zegt de bank in een reactie.
Als consument kun je je op een aantal manieren wapenen tegen deze nieuwe hackerstruc. Om te voorkomen dat hackers malafide apps op je smartphone installeren, is het verstandig om applicaties alleen via de Google Play Store of App Store te downloaden. Sideloading -apps installeren buiten de officiële app stores van Google en Apple om- vergroot het risico dat je kwaadaardige software binnenhaalt. Daarnaast moet je niet zomaar op linkjes klikken in berichten: voor je het weet installeer je op die manier malware op je smartphone.
Tot slot is het raadzaam om kritisch na te denken wie er toegang hebben tot jouw sociale media, en welke foto’s je wel en niet op jouw socials plaatst. Hoe meer beeldmateriaal je van jezelf online zet, des te gemakkelijker je het voor criminelen maakt om jouw gezicht te misbruiken.