I februar 2024 overførte en finansmedarbejder hos et multinationalt selskab i Hongkong HK$200 millioner — svarende til ca. 215 millioner kroner — til svindlere, der havde brugt deepfake-teknologi til at udgive sig for selskabets CFO og flere seniorkollegaer under et live videoopkald. Sagen er den første bekræftede storskala-virksomhedssvindel, hvor AI-genereret video er blevet brugt til at bedrage ansatte i realtid.

Et opkald der så ægte ud

Medarbejderen modtog en e-mail, der tilsyneladende kom fra selskabets britiske hovedkvarter, med instruks om at gennemføre en serie store pengeoverførsler. Mistænksom deltog han i et videoopkald for at verificere anmodningen. På skærmen genkendte han CFO'en og flere kolleger — alle fremstod og lød fuldstændig normale, fortalte han efterfølgende til politiet.

Ingen af personerne i opkaldet var ægte. Hongkongs politi bekræftede på et pressemøde den 5. februar 2024, at alle deltagere var digitalt genskabt ved hjælp af offentligt tilgængeligt videooptagelsesmateriale af de rigtige medarbejdere. Svindlerne havde syntetiseret stemme og video i realtid.

I løbet af 15 transaktioner overførte medarbejderen midlerne til fem forskellige lokale bankkonti. Han anmeldte svindlen en uge senere, efter at have tjekket direkte med selskabets hovedkvarter.

Efterforskningen

Sagen blev offentliggjort af fungerende seniorsuperintendent Baron Chan Shun-ching på en pressekonference hos Hongkong Police Force. På tidspunktet for meddelelsen var der ikke foretaget anholdelser, men efterforskerne bekræftede, at de undersøgte de involverede bankkonti.

Chan beskrev det som den første sag af sin art i Hongkong med et deepfake-videoopkald med flere deltagere. Tidligere deepfake-svindelsager i regionen havde typisk involveret én person på skærmen, ofte ved brug af stillbilleder eller forudindspillede klip. Denne sag brugte synkroniseret, realtidsvideo af flere fabrikerede personer.

Hvordan deepfaken blev bygget

Efterforskerne mener, at kriminelle har hentet eksisterende videomateriale — interviews, pressemøder, interne optagelser — til at træne AI-modeller, der kunne replikere udseende og stemme hos specifikke navngivne medarbejdere. Medarbejderen, der foretog overførslerne, fortalte politiet, at han indledningsvis havde været mistænksom, men at han var blevet overbevist af det realistiske udseende af opkaldsdeltagerne.

Svindlen krævede forhåndsviden om, hvem der arbejdede i selskabet og i hvilke roller. Politiet sagde, at den indledende phishing-e-mail sandsynligvis blev brugt til at identificere mål med finansiel godkendelse, inden deepfake-opkaldet blev iscenesæt.

Hvorfor sagen er central for agent crime

Hongkong-sagen repræsenterer en tærskel: en forbrydelse, hvor AI-systemer ikke blev brugt som støtteværktøjer, men som det primære bedrageriinstrument. Svindlerne interagerede måske aldrig direkte med offeret. I stedet gjorde en AI-genereret repræsentation det.

Dette er strukturen i agent crime — hvor autonome eller semi-autonome systemer udfører handlinger med direkte juridiske og finansielle konsekvenser, mens de menneskelige bagmænd befinder sig et eller flere skridt væk. Offeret handlede med en maskine. Maskinen var bygget til at bedrage.

Skala og udførelse tyder på organiserede kriminelle grupper med adgang til AI-infrastruktur — ikke opportunistiske enkeltpersoner. Hongkong-politiet bekræftede, at de efterforskede, om den samme gruppe havde forsøgt lignende svindel andre steder.

Hvad skete der med pengene

Fra den indledende politimeddelelse i februar 2024 var de fulde HK$200 millioner ikke inddrevet. De fem bankkonti, der blev brugt til at modtage midlerne, var tømt, og transaktionssporet spredt ud i det finansielle system. Hongkong-politiet samarbejdede med bankpartnere og Interpol, men offentliggjorde ingen inddrivelse.

Det berørte selskab er ikke blevet offentligt identificeret.