Un empleado de finanzas de una multinacional fue engañado para que pagara 25 millones de dólares a unos estafadores que utilizaron tecnología deepfake para hacerse pasar por el director financiero de la empresa en una videoconferencia, según la policía de Hong Kong. En la elaborada estafa se engañó al trabajador para que asistiera a una videoconferencia con lo que él creía que eran varios otros miembros del personal, pero todos ellos eran en realidad recreaciones de deepfake, dijo la policía de Hong Kong en una sesión informativa el viernes.
Comentarios
Lo raro es que una transferencia de 25 millones la pueda ordenar una sola persona y no requiera de un proceso de aprobación con un montón de firmas y verificaciones.
#4 bueno técnicamente varias personas estaban "presentes" cuando se le ordenó la transferencia, tenía "testigos"
"The elaborate scam saw the worker duped into attending a video call with what he thought were several other members of staff, but all of whom were in fact deepfake recreations"
Lo que no se es de donde sacaron todo el material para hacerlo
#4 #6 #7 En mi antiguo trabajo, cuando había que hacer un pago, yo realizaba la operación y esta debía ser firmada por otros dos autorizados (normalmente, miembros de la junta directiva) o bien físicamente en la oficina bancaria, o a través de sus propios dispositivos con sus firmas digitales. Por eso, les llamaba antes para informarles, si era necesario, y avisarles de que tenían pendiente la firma de la operación.
Esto era para cualquier pago de cierta importancia, tanto nóminas y similares, como pagos a proveedores. Había alguna excepción, por ser pagos recurrentes. Además, normalmente, era necesario que me mandaran antes algo de documentación (un presupuesto o una solicitud de gasto aprobada, por ejemplo)
Y ya os digo que no manejabamos millones ni de lejos. A mi la noticia me huele un poco a trabajo interno unido a falta de seguridad, pero a saber...
#16 ¿Qué hubiesen hecho esos "autorizados" si reciben una llamada fake tuya diciendo que autoricen un pago y a continuación te llaman a ti para que lo hagas efectivo, una vez "validado"?
Veo impepinable hoy en día lo de las firmas digitales como método de validación, pero la puta ingeniería social...
#19 Cualquier empresa medio decente que tenga un ERP necesita pasar por un workflow the aprobaciones en función del importe y otras veriables que la emrpesa dese controlar como puede ser el centro de coste, el tipo de producto, ....
Pero es que además, el banco require la firma digital antes de autorizar la operación, de manera que quien la ejecuta jamás es 100% responsable de la operación. Si gente como esta que puede pagar 25 millones (supongo que de USD) no tiene esos mínimos controles, o son extremandamente descuidados o como bien se menciona, es un golpe desde dentro.
#22 Diseño en ERPs workflows de aprobación para varios casos y para ciertas cantidades un orden de magnitud menor, ya lo tiene que autorizar el propio CEO.
#19 Si la operación era de importancia y no tenían conocimiento anterior de ella, probablemente no la firmarían y llamarían al otro autorizado o al gerente para confirmar que es correcta. Normalmente las operaciones se discutían antes, no se firmaban a ciegas, precisamente para evitar errores y malos entendidos.
La única excepción que se me ocurre es el pago de nóminas. Yo daba la órden y luego llamaba a los autorizados para informales. Las cantidades solían ser simlares todos los meses, así que enseguida notaban si había algo diferente. Además , supongo que también les extrañaría si no les llamaba en las fechas habituales que teníamos acordadas.
#36 "Si la operación era de importancia y no tenían conocimiento anterior de ella, probablemente no la firmarían y llamarían al otro autorizado o al gerente para confirmar que es correcta."
Por eso lo elaborado del timo de este meneo al incluir a varios en la misma videoconferencia. Si hay varias voces y caras "por encima tuyo" diciéndote en directo que adelante con la operación... como para llamarle al que te lo está diciendo en el momento y que te responda que si eres tonto o qué Que sería lo suyo por seguridad, aunque fuese para ver en directo cómo respondía al móvil, pero con la ingeniería social la vergüenza le pudo.
#39 A ver, cada empresa es un mundo. En la mia, el dinero no sobraba, así que los gastos grandes se discutían bastante, y, preferiblemente en persona. Había un proceso de escalamiento.
Por ejemplo, si la solicitud venía de un jefe de departamento, este iba a hablar con el gerente, y, a veces, también se pasaba por mi oficina. El gerente informaba al Tesorero. Este, hablaba con los autorizados pertinentes, y según el caso, venía junto al gerente a tratarlo conmigo (y a ver si había dinero o no, ya que yo llevaba la tesorería). Ocasionalmente venía él solo, o con alguno de los autorizados involucrados. Si todo estaba bien, yo hablaba con el que iba a recibir el pago, y una vez recibido el OK del tesorero o el gerente, daba la órden.
#4 Y así será. Por eso "se engañó al trabajador para que asistiera a una videoconferencia con lo que él creía que eran varios otros miembros del personal, pero todos ellos eran en realidad recreaciones de deepfake".
#7 lo que dice #4 tiene sentido. Al menos en muchas empresas europeas se sigue la política de "four eyes" para grandes inversiones o movimientos financieros, implicando al menos dos personas para aprobar una transacción. Ahí tendrían que haber engañado a dos personas, o la 2da persona firmar convencido por la 1ra . Entiendo que esta empresa no seguía esta política.
#9 Si, pero 4 ojos no significa que haya gente mirando, sino que haya gente que de su consentimiento a traves de un entorno seguro, es decir, a traves de una aplicacion interna de la empresa.
Es de un nivel de seguridad muy bajo hacer este tipo de transferencias asi, lo mismo que si se hacen porque llega un email o una llamada de telefono, muy inseguro.
#15 claro, pero la 2da persona no puede aprobar "tan solo" porque lo diga la primera, o este acuda a una reunión. De ahí la política. Esta 2da persona hubiera tenido que confirmar con el CFO la autorización de esta petición.
#24 Si, pero yo quiero incidir en que el canal de comunicacion tiene que ser seguro y que quede constancia, es decir, puede ser con un documento firmado si se esta en el mismo edificio o reunion y ya se ha hablado del tema con el por un canal seguro o sino a traves de una aplicacion interna que requiera de una contraseña segura para entrar y que avise a otros miembros autorizados de la peticion que se va a realizar.
#9 Sí, si estoy de acuerdo de que se debería de requerir de ello, pero si estás en una videoconferencia con los sheriffs supremos de la empresa diciéndote a 4 voces de hay que hacerlo y dando la aprobación "en persona"... pues es bastante fácil que te la cuelen para saltarte la burocracia si tienes la potestad para el "botón rojo" de hacer el movimiento.
Un descuido por parte del currito y una currada por parte de los descuideros
#18 pues es bastante fácil que te la cuelen para saltarte la burocracia si tienes la potestad para el "botón rojo" de hacer el movimiento.
Si alguien se puede saltar arbitrariamente el proceso de aprobación de pagos entonces el proceso no sirve para absolutamente nada, porque tiene esta puerta trasera para saltárselo.
#4 no te creas. En el empresas con alto movimiento de fondos, como aseguradoras, bancos, entidades financieras o grandes holdings no es nada raro ver docenas de operaciones de esos importes de manera diaria. Y si, firman varias personas pero de manera casi automática. En este caso el quid está en la reunión con videollamada y que no sería algo habitual. Para ordenar un transferencia (desde mi experiencia en España) todo queda registrado por al menos tres firmas eléctricas de tres personas diferentes para que se ejecute fehacientemente la orden. Y antes de eso, al menos otras tres de tres departamentos diferentes para "solicitar" esa orden.
#10 aunque lo haga en automático, pero lo tiene que hacer, en el caso del artículo parece que no tenían sistema de validación.
#10 ¿firma eléctrica?
#46 electronica, pero el puño colector haciendo de las muchas!!!
#48 el autocorrector siempre deshabilitado que lo carga el diablo y nos vuelve más tontos si cabe
Por cierto, tu lapsus me ha recordado esta joya:
#4 el CFO puede sin mi firma (CCO).
Si eran chinos, igual no hacía tanta falta usar tecnología deepfake.
A la gente capaz de mangar de maneras tan creativas como esta, creo que les deberían permitir quedarse con lo robado. Ya han trabajado más que las víctimas en algunos casos
#1 Cuanto menos contratarles por dejar en evidencia a auténticos zoquetes (ya no por el estafado, sino el sistema con el que se puede pagar 25 millones así, sin mucho más).
#8 Pues probablemente porque se dan órdenes verbales para mover dinero sin que quede nada por escrito.
#8 Cuando pueden pagar 25 millones así de fácil es porque tienen muchos más millones en la saca.
#1 cuando hagan un deep fake porno con la cara de alguien que aprecies y lo usen para extorsionarle nos lo cuentas.
#12 ¿Te ha pasado? ¿Como sabes que era un deepfake?
#13 no es divertido. Por suerte la policía se lo toma más en serio.
#17 Lo que yo digo también es en serio. Que no digo que esté bien, pero es otra clase de delito. Lo de "es un deepfake" en algún punto se pondrá de moda como excusa para tapar ciertos temas.
#20 el tema es que hay menores haciendo burradas con compañeras y compañeros de instituto.
Respecto a lo de las excusas para tapar ciertos temas no es complicado: piensa en lo que se filtra y se ha filtrado durante años del ámbito privado de la gente; si ves un aumento significativo de estas filtraciones es que nos la están intentando colar. Que hay mucho subnormal suelto y mucha gente con ganas de hace daño de forma gratuita a personas que ni conocen.
Lo que ha pasado con Taylor Swift estos días atrás ha sido demencial.
#25 Lo que ha pasado con Taylor Swift estos días lleva pasando desde que hay ordenadores, y fotos, y en la época en que solamente había pinturas al óleo también pasaba. Solo cambia el esfuerzo necesario para hacerlo y la calidad del resultado.
#32 La difusión que hay hoy en día no la había antes. No se si intentas minimizar la importancia de un delito o justificarlo o qué.
#34 No intento minimizarlo sino ponerlo en contexto. Difundir imágenes (aunque sean falsas) de menores es un delito. Difundir imágenes privadas sin consentimiento también. Hacer chantajes, aún con cosas falsas, también. Ahora, difundir imágenes falsas (que por tanto no encajan como "privadas") de personas adultas a otras personas adultas, pues en algunas legislaciones ya cae en un limbo. En algunos casos se alude al "derecho al honor", en otros a la libertad de expresión artística (igual que los pintores ya hacían, por cierto).
El encaje legal para proteger a la gente de esos temas tiene que ser finísimo, porque puede tener graves repercusiones. Imagina que el día de mañana alguien saca pruebas fotográficas de un fraude, los acusados dicen que es un deepfake y empuran al que las haya difundido.
#37 O al contrario, llevar un negocio a la ruina por un deepfake. En lo que tienes toda la razón es que el derecho tiene que hilar muy muy fino para que esto no se vaya de madre.
#32 Tienes razón pero en esta época se junta una calidad de resultado abismal con una increible capacidad de propagación de dicho resultado. Y eso nunca se había dado.
#13 Porque tenía 6 penes.
#12 Yo creo que para estas presidenciales americanas de noviembre vamos a ver alguna cosa divertida. Y que ya hay gente trabajando en ello. Son las primeras elecciones que se dan con esta tecnología madura y no lo van a dejar pasar.
#14 Ya circula un video generado por IA de Trump con manos sifilíticas: https://www.businessinsider.com/donald-trump-mysterious-red-marks-hand-may-be-ai-generated-2024-2?amp
#56 Por ahí van los tiros. Pero creo que veremos algo mucho más chungo que eso.
#59 Era sarcasmo, ahora cuando pillen a un político dirá "está generado por IA" y tan pancho
#12 eso ahora mismo se puede hacer con cualquiera que tenga Instagram o una red social similar
#12 Realmente una extorsión así ya no tendría mucho sentido, si es real dices que es deepfake y a otra cosa
#27 explícale a tu mujer o a tu madre o a tu jefe que es deepfake y confía en que te crean.
#29 ¿Bastaría con enseñarles el video de Taylor Swift, no?
#54 ¿Qué video?
#12 Uff, lo que más me jodería en esta vida es que se hiciera público un video porno mío.
#33 Díselo a una chavala de doce años que difundan fotos suyas en el instituto, cómo afecta a su desarrollo y autoestima.
Menuda empatía tenéis algunos.
#35 Esto pasó en Badajoz no hace mucho:
Una veintena de madres de Badajoz denuncian el "desnudo" de sus hijas con Inteligencia Artificial
Una veintena de madres de Badajoz denuncian el &qu...
epe.es#35 A una chavala de doce años lo que habría es que educarla para que no le afectara a su desarrollo y autoestima el vivir en una sociedad retrógrada y machista, que por algo es una chavala y no un chaval.
#52 Y fijate que ahí la primera en culpabilizarla pensando que era cierto era su propia madre, que es una persona más de esta sociedad.
#62 A lo mejor a los que habría que educar es a los chavales de su misma edad que se ponen a hacer los deep fakes por joder y por los jajas y porque todas putas que me lo ha dicho un yutuber.
#63 Claro, es que a eso es a lo que me refiero. Pero a esos y a todos los demás.
#12 Oh. Eso heríría mis sentimientos. Uh Ah Oh
#12 Correcto.
Una empresa en la que el director financiero puede mover 25 millones porque si, no está, ni de lejos, bien estructurada, por lo menos a nivel de seguridad, por mucha video con 4 o 5 directores globales....
Valiente trola le ha contado a la policía el empleado de finanza ese
Yo apuesto a que no existieron los deepfake o los creó el mismo para enseñárselos a la policía
#31 #23 Pues yo sí me lo creo, porque he visto cosas... Hay empresas, incluso de cierto tamaño, en las que a los jefes les resulta un engorro eso de firmar, ási que se limitan a dar la órden y es el responsable financiero el que se encarga del resto para hacer el pago. Si además, la empresa tiene cierta cultura de, digamos, poca transparencia y autoritarismo por parte de los jefes... tienes un caldo de cultivo ideal para estas estafas, a las que llaman "el timo del Jefe" o "del CEO", en moderno.
El fraude del CEO, la estafa que robó 25 millones a empresas en todo el mundo
El fraude del CEO, la estafa que robó 25 millones ...
elespanol.comDetenida una mujer en Palma por estafar a la RFEF casi medio millón de euros con el 'timo del CEO'
Detenida una mujer en Palma por estafar a la RFEF ...
20minutos.esEl conocido como 'fraude del CEO' está causando miles de millones en pérdidas en empresas de todo el mundo
El conocido como 'fraude del CEO' está causando mi...
eldiario.esCazan a la banda del timo de Nigeria y de la "estafa al CEO"
Cazan a la banda del timo de Nigeria y de la "...
adslzone.netFalse Johannes, ahora en streaming
Qué eso lleva un trabajazo, oye...
(Aún no puedo, pero te doy positivo)
Y esto mismo os lo pueden hacer con vuestras familias. Recomiendo siempre una llamada para asegurarse a otro teléfono y además si tenéis una palabra o número clave aún mejor.
Imaginaos si nos engañan a nosotros los simples mortales, menos mal que nuestras cuentas apenas llegarán a los cuatro dígitos (con suerte)
Se viene una época de timos gracias a la IA bastante peligrosa.
Lo que más me preocupa es el clonado de voces. Cada vez hace falta menos muestreos para conseguir buenos clonados.
parece la promoción de la peli "the beekeeper"
no se yo Rick ... pero yo creo que hace falta mas firmas para hacer un pago de 25 millones, no creo que se paga asi como si pagarias un cafe