Executive Summary
Our
researchers discovered dozens of scam campaigns using deepfake videos featuring
the likeness of various public figures, including CEOs, news anchors and top government
officials. These campaigns appear in English, Spanish, French, Italian,
Turkish, Czech and Russian. Each campaign typically targets potential victims
in a single country, including Canada, Mexico, France, Italy, Turkey, Czechia,
Singapore, Kazakhstan and Uzbekistan.
Due to their
infrastructural and tactical similarities, we believe that many of these
campaigns likely stem from a single threat actor group. We have observed this
threat actor group using deepfake videos to spread fake investment schemes and
fake government-sponsored giveaways.
As of June
2024, we had discovered hundreds of domains being used to promote these
campaigns. Each domain has been accessed an average of 114,000 times globally
since going live, based on our passive DNS (pDNS) telemetry.
Starting
with a campaign promoting an investment scheme called Quantum AI, we studied
the infrastructure behind this campaign to track its spread over time. Through
this infrastructure investigation, we discovered several additional deepfake campaigns
leveraging completely different themes that the same threat actor group created
and promoted. These additional scam campaigns used different languages and the
likeness of different public figures, suggesting that each campaign is intended
for a different target audience.
Despite the
use of generative AI (GenAI) in these campaigns, traditional investigative
techniques remain useful to identify the hosting infrastructure leveraged by
these threat actors. As the malicious usage of deepfake technology increases
among threat actors, so should defenders’ efforts to proactively detect and
prevent these types of attacks.
Customers of
Palo Alto Networks are better protected from these attacks via Advanced URL Filtering, which will continue to detect and
block websites that are used to propagate deepfake-based scam campaigns.
To access
the full report, click here
اكتشاف حملة احتيال واسعة تستخدم مقاطع الفيديو المعتمِدة على التزييف العميق
انتشار أدوات لتبديل الوجوه في الفيديو بقيمة تقلّ عن 249 أمريكي
دبي، الإمارات العربية المتحدة، 3 سبتمبر 2024: اكتشف الباحثون لدى شركة بالو ألتو نتوركس العشرات من حملات الاحتيال القائمة على استخدام مقاطع فيديو بتقنية التزييف العميق والتي تعرض أشباه شخصيات عامة مشهورة تضم رؤساء تنفيذيين ومذيعي أخبار ومسؤولين حكوميين رفيعي المستوى. وجرى تنظيم حملات الاحتيال هذه بالعديد من اللغات مثل الإنجليزية والإسبانية والفرنسية والإيطالية والتركية والتشيكية والروسية، حيث استهدفت كل منها فئة من الضحايا المحتملين في دول مختلفة حول العالم.
ونظراً للتشابه الهيكلي والتكتيكي لهذه الهجمات، فمن المرجح أن يكون مصدر العديد منها جهة تخريبية واحدة. كما عملت هذه الجهة التخريبية على استخدام مقاطع فيديو بتقنية التزييف العميق من أجل نشر برامج استثمار ومِنَح حكومية زائفة.
كما اكتشفت بالو ألتو نتوركس خلال شهر يونيو 2024 استخدام المئات من أسماء النطاقات (domains) للترويج لهذه الحملات، حيث تم الدخول إلى كل من أسماء النطاقات هذه نحو 114,000 مرة وسطياً على الصعيد العالمي منذ نشرها.
وكانت البداية مع الحملة التي تروج لبرنامج استثماري يحمل اسم الذكاء الاصطناعي الكمومي (Quantum AI)، حيث قامت بالو ألتو نتوركس بدراسة البنية التحتية المستخدمة في هذه الحملة بهدف رصد ومتابعة انتشارها بمرور الوقت. واكتشفت الشركة من خلال هذا التحقيق في البنية التحتية، العديد من حملات التزييف العميق الإضافية التي ركزت على موضوعات مختلفة تماماً ابتكرتها نفس الجهة التخريبية وروجت لها، حيث استخدمت حملات الاحتيال الإضافية هذه لغات مختلفة وصوراً لشخصيات عامة مختلفة ما يشير إلى استهداف كل حملة لشريحة مختلفة من الجمهور.
وعلى الرغم من استخدام الذكاء الاصطناعي التوليدي في هذه الحملات فإن أساليب الاستقصاء التقليدية لا زالت مفيدة في تحديد البنى التحتية المستضيفة التي تستخدمها الجهات التخريبية. ومع انتشار استخدام تقنيات التزييف العميق لأغراض خبيثة من قبل الجهات التخريبية الفاعلة، فمن الأهمية بمكان تعزيز جهود الجهات الدفاعية للكشف عن هذه الأنواع من الهجمات ومنعها بشكل استباقي.
التزييف العميق كخدمة
كما اكتشف الباحثون في شركة بالو ألتو نتوركس أيضاً قيام الجهات التخريبية ببيع وتأجير أدوات التزييف العميق وتوفير حزم من الخدمات على امتداد المنتديات وقنوات المحادثة على وسائل التواصل الاجتماعي ومنصات المراسلة الفورية. وتقدم هذه الأدوات والخدمات القدرات اللازمة لإنشاء محتوى مخادع وخبيث بما في ذلك مقاطع الصوت والفيديو والصور. وتتسم المنظومة المحيطة بإنشاء أدوات التزييف العميق بنشاطها وحيويتها، حيث تقوم الجهات التخريبية ببيع مجموعات متنوعة من الخيارات بدءاً من أدوات تبديل الوجوه وصولاً إلى مقاطع فيديو التزييف العميق.
وتتراوح تكلفة أدوات تبديل الوجوه مثل (Swapface) من كونها مجانية لتصل إلى 249 دولار أمريكي شهرياً. وتقوم الجهات التي تشتري هذه الأدوات بإساءة استخدامها حيث تنشر مقاطع الفيديو التي يتم إنشاؤها باستخدام هذه الأدوات على المنصات المختلفة ومواقع التواصل الاجتماعي. وتوفر أداة (Swapface) مرشحات (فلاتر) سهلة الاستخدام وإمكانية التبديل الآني لصورة الوجه ما يتيح للمستخدمين تعديل أو استبدال الوجوه في مقاطع الفيديو.
وتشمل التطبيقات والاستخدامات الخبيثة لأدوات وخدمات التزييف العميق كلاً من الأنشطة التالية:
- تسهيل إنشاء هويات مزيفة.
- ارتكاب جرائم احتيال مصرفية.
- تنظيم حملات تضليل.
- تخطى حواجز التحقق من هوية العميل.
- تنفيذ سرقات العملات المشفرة.
وتتيح هذه الخدمات التحكم بالمواد المصورة والصوتية بدقة مثيرة للقلق ما يطرح مخاوف أخلاقية وأمنية جدية. وتتباين تكلفة إنشاء مقاطع الفيديو بالتزييف العميق بشكل كبير إذ تتراوح ما بين 60-500 دولار أمريكي ما يعكس مدى التعقيد والجودة المطلوبة للتزييف.
ويحظى عملاء بالو ألتو نتوركس بحماية أفضل من هذه الهجمات بفضل أداة (Advanced URL Filtering) التي تتمتع بالقدرة على مواصلة ضبط وحجب المواقع التي يتم استخدامها للترويج لحملات الاحتيال القائمة على التزييف العميق.