Egy multinacionális vállalat pénzügyi alkalmazottja csatlakozott egy teljesen átlagosnak tűnő videókonferenciához. A képernyőn ott volt a pénzügyi igazgató, mellette több ismert kolléga. A hangok stimmeltek, az arcok ismerősek voltak, a meeting pontosan úgy zajlott, ahogy egy hétköznapi vállalati egyeztetés szokott. A dolgozó végül jóváhagyott egy 25,6 millió dolláros átutalást – csakhogy a megbeszélés egyetlen résztvevője sem volt valódi.
A történet az AI-korszak egyik első igazán nagy deepfake-alapú vállalati csalása. Az eset áldozata az Arup mérnöki vállalat volt. Az a londoni cég, amely többek között a Sydney-i Operaház tervezésében is részt vett. A hongkongi rendőrség szerint a támadók mesterséges intelligencia segítségével generálták újra a vezetők és kollégák arcát és hangját, majd ezeket egy élő videóhívás során használták fel a pénzügyi alkalmazott megtévesztésére.
Az ügy sokkal többről szól, mint egy különösen kifinomult csalásról. Arról árulkodik, hogy a digitális bizalom alapjai kezdenek összeomlani.
Az új generációs csalások már nem egyetlen hamis e-mailre épülnek
A vállalati kibercsalások hosszú ideig viszonylag egyszerű mintát követtek. A támadók küldtek egy gyanús e-mailt, megpróbálták megszerezni a belépési adatokat, vagy sürgős utalásra vették rá az alkalmazottakat. Az ilyen próbálkozások gyakran nyelvtani hibákkal, furcsa megfogalmazásokkal vagy gyanús linkekkel buktak le. A mesterséges intelligencia azonban teljesen új szintre emelte ezt a világot.
Az Arup elleni támadás különlegessége nem önmagában a deepfake-technológia volt, hanem az, hogy a csalók egyszerre több kommunikációs csatornát kombináltak. Nem csupán egy hamis e-mailt küldtek vagy egy klónozott hanghívást indítottak. Egy komplett, mesterségesen felépített vállalati környezetet hoztak létre: AI-generált videót, klónozott hangokat és valós céges kontextust használtak, mindezt pedig élő videókonferenciába integrálták.
A pénzügyi alkalmazott eredetileg gyanakodott az első megkeresés után. A videóhívás azonban eloszlatta a kétségeit. Hiszen látta a vezetőket. Hallotta a hangjukat. A kollégák megerősítették a kérés jogosságát.
Utólag derült ki, hogy a támadók online konferenciák, vállalati meetingek és nyilvánosan elérhető videók alapján építették fel a deepfake szereplőket.
A LinkedIn és a konferenciavideók ma már fegyvernek számítanak
A vállalatvezetők évek óta arra törekednek, hogy láthatóbbak legyenek online. LinkedIn-videók, konferencia-előadások és podcastok százai kerülnek fel az internetre, sokszor kiváló minőségben. Ezek korábban a márkaépítés és a hitelesség eszközei voltak. Most azonban egyre inkább nyersanyagként szolgálnak a csalók számára.
A Világgazdasági Fórum szerint ma már elegendő 20–30 másodpercnyi hangfelvétel ahhoz, hogy valaki meggyőzően lemásolja egy másik ember hangját. A videós deepfake-ek elkészítése szintén drámaian leegyszerűsödött: megfelelő szoftverekkel akár 45 perc alatt létrehozható egy hitelesnek tűnő hamis videó.
A probléma ráadásul már nem csak elméleti. A Ferrari vezérigazgatóját, Benedetto Vignát például mesterséges intelligenciával klónozott hanghívásokkal próbálták megszemélyesíteni. A támadók még az olasz akcentusát is lemásolták. A csaló csak azért bukott le, mert az egyik vezető olyan kérdést tett fel, amelyre kizárólag az igazi vezérigazgató tudhatta a választ.
Robbanásszerűen nőnek az AI-alapú csalások
A deepfake-technológiára épülő úgynevezett „vishing” (hangalapú adathalász) támadások száma elképesztő tempóban nő. A CybelAngel adatai szerint 2025 első negyedévében az ilyen támadások száma 1600 százalékkal emelkedett az Egyesült Államokban az előző negyedévhez képest.
Az FBI 2025-ös Internet Crime Reportja több mint 22 ezer AI-jal kapcsolatos csalási bejelentést regisztrált, a veszteségek pedig meghaladták a 893 millió dollárt. A valós szám ennél jóval magasabb lehet, mivel sok vállalat inkább nem hozza nyilvánosságra az ilyen incidenseket reputációs okokból.
Különösen veszélyeztetettek a nagyvállalatok. A PYMNTS Intelligence kutatása szerint az évi 1 milliárd dollárnál nagyobb árbevételű cégek 58 százaléka találkozott már AI-generált dokumentumokkal vagy deepfake-alapú támadásokkal az elmúlt egy évben.
Ez azt jelenti, hogy a deepfake-ek néhány év alatt kísérleti technológiából a vállalati kibercsalások egyik legfontosabb eszközévé váltak.
A legijesztőbb rész: az áldozat nem hibázott
Az Arup történetének talán legnyugtalanítóbb aspektusa, hogy az alkalmazott valójában körültekintően járt el. Gyanakodott az eredeti e-mailre. További megerősítést kért. Videóhívást kezdeményezett. Kollégákkal egyeztetett. Pontosan azt tette, amit a legtöbb vállalati biztonsági tréning javasol. A támadók azonban már ezekre a védelmi mechanizmusokra is felkészültek.
A csalás csak akkor derült ki, amikor az alkalmazott utólag kapcsolatba lépett az Arup valódi központjával. Ekkor vált világossá, hogy semmilyen tranzakciót nem hagytak jóvá, és a videókonferencia valójában soha nem is létezett.
Ez alapjaiban kérdőjelezi meg azokat a vállalati folyamatokat, amelyek eddig a vizuális megerősítésre és a vezetői jóváhagyásra épültek. Ha egy videóhívás, egy hang és egy arc többé nem tekinthető bizonyítéknak, akkor a cégeknek teljesen új biztonsági protokollokat kell kialakítaniuk.
A digitális bizalom válsága következik
A deepfake-ek fejlődése túlmutat a pénzügyi csalásokon. Egy olyan korszak kezdetét jelzi, ahol egyre nehezebb lesz eldönteni, hogy amit látunk vagy hallunk, az valódi-e.
A technológia önmagában nem gonosz. A mesterséges intelligencia rengeteg területen kínál valódi innovációt és hatékonyságot. Ugyanakkor a mostani eset jól mutatja, hogy a társadalom és a vállalati világ védelmi rendszerei nincsenek felkészülve arra a sebességre, amellyel ezek az eszközök fejlődnek. A jövő vállalati biztonsági kérdése talán már nem az lesz, hogy „ki küldte az e-mailt”, hanem az: valóban az volt-e a képernyőn, akinek látszott.
(Forrás: PYMNTS)
(Címlapkép: Depositphotos)
