Tekoälypohjaiset omakuvat ja karikatyyrit ovat vallanneet sosiaalisen median, mutta viihdyttävien trendien takana piilee vakava tietoturvauhka. Tietoturvayhtiö Check Point muistuttaa, että luovuttamalla kasvoistasi korkealaatuisen kuvan tekoälysovellukselle, luovutat samalla biometrista tunnistetietoa, jota ei voi vaihtaa uuteen kuten salasanaa.
– Jos et luottaisi palveluun passikuvasi kanssa, älä luovuta sille myöskään kasvojasi, tietoturvayhtiö muistuttaa tiedotteessa.
Check Point muistuttaa, että sosiaalisessa mediassa leviävät tekoälypohjaiset omakuvat ja karikatyyrit altistavat käyttäjiä identiteettivarkauksille ja syväväärennöksille. Kyseessä on tietoturvariski, jossa biometristä tunnistetietoa luovutetaan viihdyttäväksi naamioidun työkalun kautta ulkopuolisille.
– Tekoälytrendit yhdistävät inhimilliset asenteet ja tietoturvauhat houkuttelevassa muodossa. Ne on helppo valjastaa väärinkäytöksiin, ja ne kannustavat ihmisiä jakamaan itsestään liikaa tietoa, tietoturvayhtiö varoittaa.
Ilmiön vaarallisuutta ei vähennä sekään, että jopa asiantuntijat ovat osallistuneet tekoälypohjaisten omakuvien luomiseen. Tietoturvayhtiön mukaan ilmiössä riski on naamioitu viihteeksi ja hauskalta vaikuttavan työkalun kanssa kriittinen harkinta voi pettää jopa osaavillakin asiantuntijoilla.
Check Pointin mukaan samanlainen ilmiö nähtiin sosiaalisen median alkuvaiheessa. Silloin tietynlaisesta käyttäytymisestä tulee normaalia ja automaattista paljon ennen kuin uhat ymmärretään kunnolla.
Ilmiöön vaikuttaa myös vahva sosiaalinen paine.
– Jos esimerkiksi arvostamamme kollegat ja ammattilaiset osallistuvat trendiin, se luo valheellisen turvallisuudentunteen. Kyse ei ole enää tietoisesta päätöksestä vaan refleksistä. Kun tähän lisätään yleinen väsymys riskeihin ja se, että tekoälytyökalut kehittyvät nopeammin kuin suojatoimet, syntyy luottamusvaje. Tuote tuntuu turvalliselta, koska se tuntuu normaalilta, tietoturvayhtiö selventää.
Check Point kertoo, miten rikolliset hyödyntävät omakuvia syväväärennösten luomisessa tai identiteettivarkauksissa. Yleisin tapa on käyttää omakuvia ja julkisia profiilikuvia uskottavien valeprofiilien luomiseen.
Tietoturvayhtiö huomauttaa, että yksikin selkeä kasvokuva voi riittää väärennetyn LinkedIn-profiilin, WhatsApp-hahmon tai tekaistun työkaverin identiteetin luomiseen.
– Kun identiteetti on luotu, sitä käytetään huijausten jakelukanavana. Huijauksissa ei ole kyse vain kuvasta, vaan niihin liitetyistä uskottavista taustatarinoista ja mahdollisesta kiireen tunteesta, joilla ohitetaan tavanomaiset tarkistusprosessit.
Rikolliset yhdistävät kasvokuvia myös ääneen ja videoon luodakseen vakuuttavia syväväärennöksiä (deepfake).
-Niiden ei tarvitse olla täydellisiä – riittää, että ne ovat uskottavia tarpeeksi kauan, jotta uhri saadaan jakamaan tietoja, hyväksymään maksu tai palauttamaan pääsykoodit. Omakuvat auttavat rikollisia siirtymään massahuijauksista yksilöityihin ja erittäin uskottaviin identiteettivarkauksiin, Check Point kertoo.
Tavallinen verkon käyttäjä saattaa pohtia, miten tällaisilta hyökkäyksiltä voisi suojautua. Check Pointin mukaan omiin kasvoihin tulisi suhtautua kuten muihinkin kirjautumistietoihin.
– Minimoi jaetun tiedon määrä ja vältä kuvia, joissa on selkeä yhteys arkielämään. Rajaa kuvat tiukasti, pidä tausta neutraalina ja poista kuvista kulkukortit, univormut, työpaikan logot tai muut sijaintiin ja työnantajaan viittaavat vihjeet, tietoturvayhtiö painottaa.
Ole tarkkana myös sovellukseen syötettävien lisätietojen kanssa.
– Riskiä ei luo vain valokuva, vaan myös ammattinimikkeet, kaupungit tai työnantajatiedot, joita ihmiset syöttävät palveluihin ajattelematta. Näitä tietoja hyökkääjät käyttävät kohdennetuissa tietojenkalasteluhyökkäyksissä (spear-phishing) ja tilien kaappauksissa.
Lopuksi on syytä muistaa, että trendit houkuttelevat kopioijia. Jos sovellus tai sivusto on tuntematon, ole varovainen.
– Monet huijaustyökalut on luotu vain keräämään kirjautumistietoja, levittämään haittaohjelmia tai keräämään dataa salaa. Jos et luottaisi palveluun passikuvasi kanssa, älä luovuta sille myöskään kasvojasi, Check Point muistuttaa.
Entä miten toimia tilanteessa, jossa tekoäly-yhtiö väärinkäyttää kuvia? Tässä kohtaa kuvaan astuu Euroopan unionin yleinen tietosuoja-asetus eli GDPR. Se antaa vahvat oikeudet henkilötietoihin, myös valokuviin.
– Käyttäjällä on oikeus tietää, mitä dataa hänestä säilytetään, miksi sitä käsitellään, ja tietyissä tilanteissa pyytää tietojen poistamista. Valvontaviranomaisille voi tehdä valituksen, ja organisaatioita odottavat tuntuvat sanktiot, jos tiedonkeruuta ja tietoturvaa ei voida perustella.
Check Pointin mukaan on kuitenkin oltava realistinen sen suhteen, kuinka nopeasti sisältö leviää.
– Vaikka sääntely on tiukkaa, kuvien kopioinnin ja edelleenjakamisen peruuttaminen on erittäin vaikeaa. Siksi tiedon minimointi on tärkeää. Paras suoja on vähentää jaettavaa tietoa jo ennalta, sillä lainsäädännölliset toimet tulevat usein vasta vahingon tapahduttua.