Deepfake overovanie

Posted on by Natália Šimková
Deepfake overovanie

Prečo „rýchly manuál overovania“ pri deepfake a AI podvodoch

Generatívna AI radikálne znížila bariéry pre tvorbu presvedčivých podvodov: syntetický hlas, tvár, podpis, ba dokonca aj celá „osoba“ dokáže v priebehu minút vyvolať falošnú naliehavosť a vylákať peniaze, prístupy či citlivé dáta. Tento manuál poskytuje praktické, okamžite použiteľné postupy na overenie pravosti hlasu, videa, fotky, textu a identity volajúceho/odosielateľa. Je písaný pre jednotlivcov aj organizácie a zdôrazňuje zásadu: pred akoukoľvek platbou, zdieľaním kódov alebo údajov – over a dokumentuj.

Spektrum hrozieb: čo všetko dnes deepfake a AI zvládnu

  • Hlasové klony (voice cloning): napodobnenie hlasu z krátkej ukážky (10–60 s). Typické pri „urgentných“ telefonátoch (falošné výkupné, „šéf žiada prevod“).
  • Videodeepfake: realistická tvár, synchronizované pery; často v kombinácii s face swap a syntetickým hlasom.
  • Fotorealistické snímky: falošné dôkazy, profilové fotky, „printscreen“ konverzácií a dokladov.
  • Textové podvody s pomocou LLM: dlhé, bezchybné e-maily, chaty a skripty sociálneho inžinierstva s osobným tónom.
  • „Živé“ videohovory: prekrývanie tváre v reálnom čase a synchronizovaný preklad (lipa-sync) – používa sa pri onboardingoch a KYC podvodoch.

Rýchla rozhodovacia schéma: STOP–OVER–KTO–ČO–PREČO

  1. STOP: prerušte automatizmus (neplaťte, nezdieľajte kódy, neklikajte).
  2. OVER: použite druhý kanál (iné číslo/e-mail/chat), ktorý už poznáte, nie ten, ktorý vám práve diktujú.
  3. KTO: vyžiadajte tajné heslo/kľúčovú frázu dohodnutú vopred („dohodnutý kód“).
  4. ČO: požadujte presný dôvod a overiteľné detaily (číslo zmluvy, interná referencia, kontaktná osoba).
  5. PREČO: pýtajte sa na účel a alternatívy (prečo núdzovo, prečo mimo bežného procesu, prečo práve teraz).

Manuál preverenia videa (deepfake) – 10 krokov

  1. Zdroj: kde sa video objavilo prvýkrát (originál vs. reupload). Preferujte primárny kanál osoby/inštitúcie.
  2. Konzistencia obrazu: okraje vlasov a uší, okolie očí, mihotanie a tieňovanie; hľadajte „gélový“ look, neplynulé zuby, nepasujúce zuby/jazyk pri artikulácii „f“/„v“/„s“.
  3. Osvetlenie a odlesky: či svetelné zdroje a odrazy v očiach sedia so scénou; pohyby hlavy vs. zmena tieňov.
  4. Geometria: proporcie rúk, prstov, krku; deformácie pri rýchlych gestách alebo prekrývaní objektov.
  5. Sync: oneskorenie pier vs. hlas (mikroskopické „lip off“), zvlášť pri rýchlych slabikách.
  6. Zvuk: „kovový“ dozvuk, nesúlad akustiky miestnosti, chýbajúce mikropauzy a sánkový šum.
  7. Metadáta: ak máte originál súboru, skontrolujte kontajner/EXIF (neštandardné editor tagy, nepravdepodobné timestampy).
  8. Referenčné klipy: porovnajte s autentickými videami (tempo reči, mimika, slovník, typické gestá).
  9. Kontext: dáva tvrdenie zmysel v čase/mieste? Overte dátum, miestnych svedkov, oficiálne vyjadrenia.
  10. Druhý kanál: potvrďte u osoby/inštitúcie cez iný komunikačný kanál (známe číslo, oficiálny helpdesk).

Manuál preverenia hlasu (voice clone) – 8 krokov

  1. Kontrolná otázka: vyžiadajte dohodnutý kód alebo detail známy len vám (nie dátum narodenia z verejných zdrojov).
  2. Rušenie a dynamika: syntetické hlasy mávajú neprirodzene čistý signál, chýba im šum prostredia pri náhlych zmenách.
  3. Melódia a dysfluencie: umelý hlas má plochú intonáciu, chýba koktanie, „ehm“, prežúvanie slabík.
  4. Latencia: neobvyklé pauzy po vašej otázke (model „skladá“ odpoveď).
  5. „Núdzová“ žiadosť: tlak na rýchle platby/prevody, odpor proti overeniu druhým kanálom – červená vlajka.
  6. Call-back: zavolajte späť na známe číslo z adresára, nie na číslo z hovoru/SMS.
  7. Bezpečné prostredie: nikdy nediktujte jednorazové kódy (MFA, podpisy) cez hovor; tieto kódy nie sú určené na hlasové zdieľanie.
  8. Záznam: ak je to legálne, urobte záznam hovoru pre neskoršiu forenznú analýzu a nahlásenie.

Preverenie fotiek a „screenshotov“ – 7 krokov

  1. Reverse image: spätné vyhľadávanie rámov/obrázka (či nejde o starší obsah s novým popisom).
  2. Kompozitné chyby: ruky a prsty, texty na tričkách/ceduliach (krivky, deformácie, nečitateľné fonty).
  3. Okuliare a odrazy: či odrazy zodpovedajú scéne; deepfake často odlesky zanedbáva.
  4. EXIF: model zariadenia, čas, softvér; zjavné rozpory.
  5. Okraje a bokeh: nerealistická hĺbka ostrosti, „vytekanie“ vlasov do pozadia.
  6. Text v obraze: preklepy, nelogické rozloženie UI prvkov, „divné“ ikony/notifikácie v screenshotoch.
  7. Kontextové potvrdenie: rovnaký obraz by mal existovať v nezávislých zdrojoch (nie len série reuploadov jednej anonymnej entity).

Overovanie identity pri „živom“ hovore alebo videohovore

  • Dvojkanálový handshake: počas hovoru požiadajte osobu, aby napísala SMS/e-mail z vopred známeho kontaktu so slovom, ktoré mu nadiktujete.
  • Náhodné výzvy: požiadajte o tri rýchle úkony: ukáž ľavé ucho, povedz dnešný dátum, obráť kameru k oknu. Reálne deepfake majú problém s interakciou a osvetlením v reálnom čase.
  • Oddelený kalendár: ak ide o nadriadeného, overte v internom kalendári, či je dostupný; podvodníci „volajú“ počas porád a mimo bežných hodín.
  • Bez peňazí na hovore: žiadne prevody či kódy počas hovoru; po overení použite štandardný finančný proces.

Organizačné zásady: procesy, ktoré rušia „urgentný scenár“

  1. Finančné „two-person rule“: každá platba nad prah má mať dvoch nezávislých schvaľovateľov.
  2. Callback policy: pri neštandardnej žiadosti povinný spätný hovor na číslo z adresára/CRM.
  3. Kódové slová: tajná fráza pre krízové situácie; rotujte každých X mesiacov.
  4. Vzdelávanie: kvartálne školenia s novými príkladmi; zdieľaný „podvodný zošit“ s reálnymi incidentmi.
  5. Incident response: formulár, kam sa nahlasuje podozrenie, a hotline bezpečnosti; bez sankcií za „falošné poplachy“.

Nástroje a signály „proveniencie“ (C2PA, watermarking, hashovanie)

  • Provenienčné značky: digitálne podpisy a manifesty obsahu (C2PA) môžu preukázať, kto a čím obsah vytvoril/upravil.
  • Vodotlače modelov: niektoré generátory vkladajú zistiteľné vzory; berte ich ako pomocný signál, nie absolútny dôkaz.
  • Hashovanie originálov: pri kritických nahrávkach (porady, vyhlásenia) uložte originál a jeho hash – uľahčí to dokazovanie originálnosti.

Limity detekcie: prečo stačí malá chyba v procese

Moderné deepfake sú čoraz presnejšie; vizuálne a akustické artefakty miznú. Preto sa nespoliehajte len na „odhalenie“, ale na procesné brzdy (druhé kanály, viacnásobné schvaľovanie, zákaz kódov cez hovor). Overenie identity je multifaktorový problém: technické stopy + organizačné pravidlá + zdravý skepticizmus.

Najčastejšie scenáre AI podvodov a odporúčaná obrana

Scenár Signály Okamžité kroky
„Šéf“ žiada urgentný prevod Netradičný kanál, časová tieseň, odpor voči overeniu Callback na známe číslo, two-person rule, žiadne IBANy cez chat
„Rodina“ v núdzi (hlasový klon) Emocionálny tlak, žiadosť o kódy/darčekové karty Dohodnutý kód, druhý kanál, nahrávka hovoru (ak legálne)
Investičné „zaručené“ ponuky Celebrity/video, nereálne výnosy Overenie zdroja, neveriť screenshotom, nikdy neposielať seed/privátne kľúče
KYC/Onboarding cez video Žiadajú obísť oficiálnu appku, „pomoc“ pri verifikácii KYC len v oficiálnej aplikácii, nikdy cez ad-hoc linky
Reputančný útok (falošné vyhlásenie) Vírusové video bez potvrdenia inštitúcie Čakať na oficiálne stanovisko, archivovať originál, nekonáte impulzívne

„Nezdieľaj kódy“: špeciálne pravidlá pre MFA a podpisy

  • Jednorazové kódy (OTP): nikdy neunášajte z telefónu do hovoru/četu. Legitímne procesy nikdy nežiadajú váš OTP hlasom.
  • Schvaľovania v appke: atak „push fatigue“ – keď prichádzajú opakované pushy na schválenie, oznámte bezpečnosti.
  • Autorizácia platieb: používajte firemné schvaľovacie aplikácie, nie e-mailové „potvrdenia“.

Forenzná pripravenosť: čo a ako archivovať pri podozrení

  1. Originály: uložte pôvodný súbor/URL, nesťahujte reuploady s recompressiou.
  2. Kontext: dátum, čas, kanál, účty, čísla, ID hovorov, meno operátora.
  3. Reťazec držby: kto mal prístup k materiálu; zachovajte integritu (hashy).
  4. Právne: rešpektujte zákony o nahrávaní a ochrane osobných údajov; pri eskalácii pripravte stručné zhrnutie pre orgány.

Domáci a firemný „playbook“ – pripravené skripty

Osobný skript (telefonát v núdzi)

  1. „Zastavme sa: poviem naše kódové slovo, ty ho zopakuješ.“
  2. „Zložím a volám ti naspäť na číslo v kontaktoch.“
  3. „Kým nepotvrdíme identitu, nič neplatím a neposielam kódy.“

Firemný skript (finančná požiadavka)

  1. „Ďakujem, zadávam callback podľa politiky – ozvem sa z interného čísla.“
  2. „Bez druhého schválenia a ticketu v systéme platba neprejde.“
  3. „Overujem v kalendári dostupnosť a žiadosť pripájam do incident logu.“

Minimálny balík opatrení pre jednotlivca

  • Dohodnuté kódy s najbližšími; rotácia každých 6–12 mesiacov.
  • Druhý kanál pre overovanie (alternatívny e-mail/číslo).
  • Žiadne OTP/kľúče cez hovor/čat; platby len po overení.
  • Archivačný návyk: screenshoty, poznámka k incidentu (čas, číslo, požiadavka).

Minimálny balík opatrení pre organizáciu

  • Two-person rule a callback policy v smerniciach.
  • Bezpečnostný helpdesk s jednoduchým kanálom na nahlásenie podozrenia.
  • Simulované cvičenia (table-top) s deepfake scenármi každé 3–6 mesiacov.
  • Technické kontroly: DMARC/SPF/DKIM pre e-maily, bloky linkov skracovačov v korporátnej sieti, logging hovorov cez oficiálne nástroje.

Etické a právne hranice: obrana bez porušenia súkromia iných

Overovanie má byť primerané a účelové. Nezhromažďujte a neuchovávajte zbytočné biometrické dáta. Pri nahrávaní hovorov rešpektujte legislatívu a informujte účastníkov, ak to vyžaduje zákon alebo interné pravidlá.

Budúcnosť: čo sledovať

  • Lepšie „real-time“ deepfake → posilniť procesné brzdy a viacfaktorové overovanie identity.
  • Širšia adopcia C2PA a vodotlačí → uľahčia overovanie pôvodu, ale neochránia pred „živými“ podvodmi.
  • Detekčné modely na strane klienta → pomocné signály, nie náhrada procesov.

Overovanie ako zvyk, nie ako výnimočná reakcia

Najlepšou obranou proti deepfake a AI podvodom je zvyk – automaticky zapnúť kontrolu zdroja, použiť druhý kanál, pýtať si kód a odmietnuť akékoľvek žiadosti o kódy či urgentné prevody mimo štandardu. Technika sa mení rýchlo, no tieto jednoduché princípy ostávajú pevné. Urobte z nich denný štandard pre seba aj svoj tím.

Related Posts

dodávkový limit

Dodávkový Limit vo Výrobe Dodávkový limit je ekonomický termín, ktorý označuje najmenšie množstvo tovaru, ktoré musí odberateľ odobrať za stanovenú cenu z jednej dodávky. Tento […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *