De opmars van de deepfake
Deepfakes. Niet van echt te onderscheiden video’s of spraakberichten van personen, die wel degelijk nep blijken te zijn. Ze komen steeds vaker voor. Vaak in een onschuldige vorm, vooral met als doel om je te entertainen. Maar met een techniek die zich steeds verder ontwikkelt, waardoor nep en echt steeds minder van elkaar te onderscheiden zijn, wordt de deepfake ook steeds vaker ingezet voor minder onschuldige doeleinden. In dit artikel zoomen we in op de risico’s van deze ontwikkeling én wat jij kunt doen om deepfakes te herkennen.
Wat is een deepfake?
Een deepfake is een afbeelding, video of audiofragment, waarbij een onbekende persoon digitaal wordt vervangen door het beeld of de stem van een, voor de toeschouwer bekende, andere persoon. De naam is een samentrekking van ‘deep learning’ en ‘fake’, waarbij de term aangeeft dat de ‘neppe’ uitkomst is gegenereerd op basis van machine learning en artificial intelligence principes. Ja precies, nu even in het Nederlands: je ziet en hoort iemand die je kent, maar alles wat je ziet en hoort komt eigenlijk uit een computer rollen. Als dat écht goed is uitgevoerd, weet je dan eigenlijk nog wel wat realiteit is en wat niet?
Deepfakes in de praktijk
We openden ermee: de deepfakes die we in de dagelijkse praktijk tegenkomen dienen nu nog vooral een entertainend karakter. Recent gingen bijvoorbeeld kerstliedjes en dansvideo’s van Mark Rutte en Hugo de Jonge viral. En met apps als Wombo (waarmee je je foto’s zingend tot leven laat komen) of FaceApp (waarmee je jezelf ouder kunt laten lijken), is de deepfake technologie zelfs toegankelijk geworden via je eigen mobiele telefoon. Allemaal voorbeelden en toepassingen, waarbij er ook voor de ongeoefende of niet kritische kijker al snel duidelijk is dat je te maken hebt met een gefabriceerd beeld. De context, de kwaliteit, het is allemaal zo vreemd of zo net niet passend genoeg: niemand zal geloven dat deze politici een écht serieuze gooi hebben gedaan naar het scoren van een kersthit.
Maar wat als die scheidslijnen vager worden? Wanneer de uitvoering zo goed is gedaan én geplaatst in een context waarvan de wenkbrauwen niet per se omhoog gaan? Dan ontstaan de problemen. In april ‘21 dachten Kamerleden een gesprek te hebben met een stafchef van Russische oppositieleider Navalny. Een inhoudelijk gesprek, op hoog niveau, maar niet tussen de juiste personen dus (1). Of een door Donald Trump op Twitter geplaatste video van Nancy Pelosi, de Democratische voorzitter van het Huis van Afgevaardigden, waarbij haar bestaande speech werd veranderd in onsamenhangende dronkemanspraat. Alhoewel ontkracht in de traditionele media, was de video al miljoenen keren gedeeld op Social Media.
De risico’s
Met deze voorbeelden én de zekerheid dat deze technologie zich alleen maar verder zal ontwikkelen, is het bedenken van kwaadwillende toepassingen van de deepfake een benauwend gedachte experiment. Wanneer iemand zien en horen niet automatisch meer betekent dat je iets ook echt kunt geloven, wat zijn dan de risico’s?
Nu al worden stemimitaties ingezet om bankoverschrijvingen te forceren. Technologie die in de toekomst waarschijnlijk alleen nog maar toegankelijker wordt voor criminelen en daarmee nog vaker ingezet gaat worden. En hoewel we allemaal steeds beter nepmailtjes met inlog verzoeken kunnen herkennen, of ons doordrongen zijn van het feit dat je nooit je wachtwoorden deelt met anderen: hoe ingewikkeld wordt dat, als je IT Directeur je er in een videocall om vraagt? Naarmate de drempel tot de techniek lager wordt, de techniek verbetert en het slagingspercentage stijgt, zal het aantal toepassingen alleen maar toenemen. Deepfakes hebben in die zin de potentie om een, voor kwaadwillenden, veel effectiever alternatief dan de phishing mail te worden.
Zijn de risico’s op grotere schaal dan vooral toekomstmuziek? Nee. We haalden al even de huidige applicaties Wombo en FaceApp aan. Met deze en toekomstig soortgelijke populaire toepassingen wordt vaak niet duidelijk gemaakt wat er met je persoonsgegevens gebeurt. Wat wordt er eigenlijk opgeslagen? Met welk doel? Welk gedeelte van je data wordt doorverkocht aan andere partijen?
Het is niet voor niets een bekend adagium: ‘if you’re not paying for the product then you are the product’. De transparantie is zelden goed op orde bij dit soort applicaties en daarbij: wat als de data van deze clubs door kwaadwillende derden wordt verkregen? Wat begon als dat grappige toekomstbeeld van jouw 30 jaar oudere selfie, eindigt mogelijk al veel sneller in een security incident.
Daarbij ligt nu nog vooral gelatenheid op de loer: hoe interessant ben je voor een kwaadwillende, zul je misschien denken. Maar met de groeiende toegankelijkheid van de techniek, groeit ook het vermogen dit soort aanvallen in bulk in te richten én af te vuren. Het is een kwestie van tijd, voordat de deepfake óók voor fraude met kleine bedragen een effectief én haalbaar middel wordt op grotere schaal.
Help. Wat nu?
Laten we beginnen met nog meer slecht nieuws, we zitten er toch al lekker in: het merendeel van de deepfakes wordt op dit moment niet herkend door detectiesoftware. Sterker nog, dat herkenningspercentage loopt alleen maar terug, omdat criminelen zich blijven ontwikkelen in een sneller tempo dan de detectiesoftware dat bij kan benen. Daar liggen uitdagingen voor overheid en producenten, om die inhaalslag op orde te krijgen.
Ok, dus nog geen echte oplossing vanuit de techniek dus. Wat kun jij doen? We sommen je belangrijkste wapens in de strijd tegen de deepfake op:
Bewustzijn. Het begint met weten dat deepfakes bestaan. En daarmee dus audio, video en foto’s met een kritische blik te ontvangen.
Red flags. Totdat de techniek echt geperfectioneerd is, zijn er indicaties dat je met een deepfake te maken hebt. Zoals het afzonderlijk van elkaar bewegen van ogen, het niet knipperen ervan, of rare vervagingen in het beeld als het hoofd te snel beweegt.
Uiting geven aan je kritiek. Kun je in een videogesprek iets vragen wat alleen de ander kan weten? Vraag eens of iemand zijn handen voor zijn mond (een cruciaal deepfake onderdeel) kan doen. Of check bij een video of je micro-expressies goed kunt waarnemen. Kleine bewegingen in het gezicht namaken, is vaak nog moeilijk uitvoerbaar.
Bron. Als je een video tegenkomt waarover je twijfelt, wat is de bron? Is het een betrouwbare site of persoon die het deelt? Vind je dezelfde video op meerdere, afzonderlijke bronnen terug?
Check live. Daar waar dat mogelijk is; je laatste ultieme verificatie, dat is de persoon live vragen naar de inhoud van een video of audiobericht. Face to face, in dezelfde kamer. Live.
Zoals wel vaker met bedreigingen in het digitale domein, zit de beperking van de risico’s vooral in het creëren van bewustwording van en het trainen op herkenning van die risico’s. Verder perk je risico’s in, als er minder is om mee te werken: hoe minder beeld er van je beschikbaar is, hoe moeilijker het voor welk computermodel dan ook wordt om er een deepfake van te creëren. Dat gezegd hebbende, wachten wij dus nog even met het delen van die ouderdoms-selfie. Zo’n 30 jaar.
(1) Er is nog steeds veel onduidelijk, zo zou er ook sprake kunnen zijn geweest van een lookalike.
(2) Headerafbeelding is een still uit een deepfake van Bob de Jong voor Diep Nep.
Ook behoefte aan meer Security Awareness in jouw organisatie? Lees dan hier meer over onze MnP Academy en maak je organisatie weerbaarder met interactieve E-Learnings. Een keertje samen met ons sparren over de Privacy & Informatiebeveiliging in jouw organisatie? Neem dan vrijblijvend contact met ons op.