Research BriefStudie

Deepfakes & Startups Deepfakes a startupy

How synthetic audio and video have become a real, fast-growing threat to startups — from fundraising and hiring to everyday finance — and what a small team can actually do about it.

Jak se syntetické audio a video stalo reálnou a rychle rostoucí hrozbou pro startupy — od fundraisingu a náboru až po každodenní finance — a co s tím malý tým reálně může udělat.

Bruncsoft ResearchBruncsoft Research · June 2026Červen 2026 · 9 cited sources9 citovaných zdrojů

Executive Summary

Shrnutí

The threat is real, measurable, and rising

Hrozba je reálná, měřitelná a roste

Deepfakes — AI-generated audio and video impersonations — have moved from novelty to a working fraud tool. The best-documented and most expensive class of attack is CEO/CFO impersonation: in early 2024 an employee at the engineering firm Arup was tricked into wiring US25ドル million after a video call in which every colleague except the victim was a deepfake.[1] The trend lines all point up: deepfakes now account for one in five biometric fraud attempts, and analysts project gen-AI-enabled fraud losses in the US could reach 40ドル billion by 2027.[5] [6] For startups — with lean teams, informal approval processes, and pressure to move fast in fundraising and hiring — the exposure is disproportionately high.

Deepfakes — falešné audio a video generované umělou inteligencí — přestaly být kuriozitou a staly se funkčním nástrojem podvodu. Nejlépe doloženou a nejnákladnější třídou útoku je impersonace CEO/CFO: na začátku roku 2024 byl zaměstnanec inženýrské firmy Arup přiměn poslat 25 milionů USD po videohovoru, ve kterém byli všichni kolegové kromě oběti deepfake.[1] Všechny trendy míří nahoru: deepfakes dnes tvoří jeden z pěti pokusů o biometrický podvod a analytici odhadují, že ztráty z podvodů s generativní AI by v USA mohly do roku 2027 dosáhnout 40 miliard USD.[5] [6] Pro startupy — s malými týmy, neformálními schvalovacími procesy a tlakem na rychlost při fundraisingu a náboru — je expozice nepoměrně vysoká.

The Numbers

Čísla

A steep, well-measured climb

Strmý, dobře měřený nárůst

The data below comes largely from identity-verification vendors measuring their own platforms, so read it as directional rather than as a neutral industry census — but the direction is unmistakable.

Data níže pocházejí převážně od poskytovatelů ověřování identity, kteří měří vlastní platformy — berte je proto jako směrová, ne jako neutrální průmyslový census — ale směr je jednoznačný.

+700%
Rise in deepfake incidents in fintech in 2023[5]
Nárůst deepfake incidentů ve fintechu v roce 2023[5]
1 in 5
Of biometric fraud attempts now involve a deepfake (20%)[6]
Pokusů o biometrický podvod dnes zahrnuje deepfake (20 %)[6]
+58%
Year-over-year rise in deepfaked selfies attacking identity checks (2025)[6]
Meziroční nárůst deepfake selfie útočících na ověření identity (2025)[6]
+40%
Year-over-year rise in injection attacks feeding fake media into verification (2025)[6] [7]
Meziroční nárůst injection útoků vkládajících falešné médium do ověření (2025)[6] [7]
40ドルB
Projected US gen-AI fraud losses by 2027 (from 12ドル.3B in 2023; upper scenario)[5]
Odhad ztrát z gen-AI podvodů v USA do 2027 (z 12,3 mld. v 2023; horní scénář)[5]
25ドルM
Stolen in a single deepfake video-call fraud (Arup, 2024)[1]
Ukradeno jediným deepfake video-podvodem (Arup, 2024)[1]

How the Attacks Work

Jak útoky fungují

Three vectors that hit startups hardest

Tři vektory, které startupy zasahují nejvíc

1. CEO/CFO fraud and fraudulent transfers

1. Podvod „na CEO/CFO" a podvodné převody

The highest-value attack. A fraudster impersonates a senior executive over a video or voice call and instructs an employee to make an urgent, confidential transfer. The realism of a live deepfake overrides the doubts a plain phishing email would raise.

Útok s nejvyšší hodnotou. Podvodník se přes video- nebo audiohovor vydává za vrcholového manažera a instruuje zaměstnance, aby provedl urgentní, důvěrný převod. Realističnost živého deepfaku překoná pochybnosti, které by samotný phishingový e-mail vyvolal.

Anchor case — Arup, 2024
Klíčový případ — Arup, 2024

25ドル million wired after a fully faked video conference

25 milionů USD odesláno po zcela zfalšované videokonferenci

It began with a spear-phishing email from a supposed CFO about a "confidential transaction." The employee's suspicion was overcome by a multi-person video call in which the CFO and other colleagues were all AI-generated, built from publicly available meeting footage. The finance worker in Arup's Hong Kong office made 15 transfers totaling HK200ドル million (~25ドル.6M) to five accounts. Arup publicly confirmed the incident.[1] [2] [4]

Začalo to spear-phishingovým e-mailem od domnělého CFO o „důvěrné transakci". Pochybnosti zaměstnance překonal vícečlenný videohovor, ve kterém byli CFO i ostatní kolegové AI generovaní — sestavení z veřejně dostupných záznamů z jednání. Pracovník financí v hongkongské pobočce Arup provedl 15 převodů v celkové výši HK200ドル milionů (~25,6 mil. USD) na pět účtů. Arup incident veřejně potvrdil.[1] [2] [4]

2. Fake candidates in hiring

2. Falešní kandidáti v náboru

Remote-first hiring opens a second front: applicants who use real-time deepfakes to alter their face and identity during video interviews. In March 2026 a suspected deepfake applicant infiltrated an online interview at a Japanese IT firm, impersonating a real executive from his public materials; analysts (Okta and a Tokyo detection startup) assessed the footage as likely AI-generated. The pattern is repeatedly linked to North Korean IT-worker schemes that plant operatives inside foreign companies.[8] For a startup, a fake hire can mean a malicious insider with code and data access.

Vzdálený nábor otevírá druhou frontu: uchazeče, kteří během videopohovorů používají deepfake v reálném čase k změně obličeje a identity. V březnu 2026 pronikl podezřelý deepfake uchazeč do online pohovoru japonské IT firmy a vydával se za reálného manažera podle jeho veřejných materiálů; analytici (Okta a tokijský detekční startup) vyhodnotili záznam jako pravděpodobně AI generovaný. Tento vzorec je opakovaně spojován se severokorejskými schématy IT pracovníků, kteří umisťují své lidi dovnitř zahraničních firem.[8] Pro startup může falešný nábor znamenat škodlivého insidera s přístupem ke kódu a datům.

3. KYC and identity fraud at onboarding

3. KYC a podvody s identitou při onboardingu

Any product that verifies identity from a selfie or a video is a target. Two techniques dominate: deepfaked selfies (up 58% in 2025) presented to the camera, and injection attacks (up 40%) that feed manipulated media straight into the verification pipeline, bypassing the camera entirely.[6] [7] Startups building fintech, marketplaces, or anything with KYC inherit this threat on day one.

Cílem je jakýkoli produkt, který ověřuje identitu ze selfie nebo videa. Dominují dvě techniky: deepfake selfie (+58 % v roce 2025) předkládané kameře a injection útoky (+40 %), které vkládají zmanipulované médium přímo do ověřovací pipeline a kameru zcela obcházejí.[6] [7] Startupy stavějící fintech, marketplaces nebo cokoli s KYC tuto hrozbu dědí hned první den.

Why Startups

Proč zrovna startupy

Lean teams, fast decisions, thin controls

Malé týmy, rychlá rozhodnutí, tenké kontroly

The documented mega-losses have hit large enterprises, because that is where the money sits. But the same attack mechanics map cleanly onto startup weak points — so the following is an informed inference about exposure, not a measured startup-specific loss figure.

Doložené mega-ztráty zasáhly velké firmy, protože tam jsou peníze. Stejná mechanika útoku ale přesně sedí na slabá místa startupů — následující je proto poučená úvaha o expozici, ne změřené číslo ztrát specifické pro startupy.

A startup often has no second pair of eyes on a wire transfer, a founder whose voice and face are all over podcasts and demo videos (free training data for a clone), informal Slack/WhatsApp approvals, and a culture that rewards moving fast — exactly the urgency the Arup attackers exploited. In fundraising and hiring, the pressure to respond quickly to an "investor" or a promising "candidate" lowers the bar for verification at the worst possible moment.

Startup často nemá druhý pár očí na bankovním převodu, zakladatele, jehož hlas i obličej jsou všude na podcastech a demo videích (tréninková data pro klon zdarma), neformální schvalování přes Slack/WhatsApp a kulturu, která odměňuje rychlost — přesně tu naléhavost, kterou útočníci u Arup zneužili. Při fundraisingu a náboru tlak rychle odpovědět „investorovi" nebo slibnému „kandidátovi" snižuje laťku ověření v tom nejhorším možném okamžiku.

Defenses

Obrana

What a small team can actually do

Co malý tým reálně může udělat

Most of these are process, not technology — which is exactly what a resource-constrained team can afford. They target the single point every documented attack relied on: a human acting on a realistic impersonation under time pressure.

Většina z nich je proces, ne technologie — což je přesně to, co si tým s omezenými zdroji může dovolit. Cílí na jediný bod, na kterém stál každý doložený útok: člověk jednající na základě realistické impersonace pod časovým tlakem.

Out-of-band verification

Ověření jiným kanálem

Confirm any payment or sensitive request by calling back a known number — never the channel the request came in on.

Každou platbu nebo citlivý požadavek potvrďte zpětným hovorem na známé číslo — nikdy přes kanál, kterým žádost přišla.

Dual approval over a limit

Dvojí schválení nad limit

Require two people to approve any transfer above a set threshold. Removes the single-victim failure mode entirely.

Vyžadujte schválení dvěma lidmi u jakéhokoli převodu nad stanovený limit. Zcela odstraní selhání založené na jediné oběti.

Code words on live calls

Kódová slova u živých hovorů

Agree a private challenge phrase for video/voice requests. A real executive knows it; a deepfake does not.

Domluvte si soukromou ověřovací frázi pro video/audio požadavky. Skutečný manažer ji zná; deepfake ne.

Harden KYC liveness

Posilte KYC liveness

If you verify identity, add liveness detection and injection-attack defenses (not just a selfie match).

Pokud ověřujete identitu, přidejte detekci živosti a obranu proti injection útokům (nejen porovnání selfie).

Verify candidates

Ověřujte kandidáty

For remote hires, require a verified ID step and at least one in-person or strongly-authenticated checkpoint before access.

U vzdálených náborů vyžadujte krok s ověřeným dokladem a alespoň jeden osobní nebo silně ověřený kontrolní bod před udělením přístupu.

Train for urgency

Trénujte na naléhavost

Teach the team that urgency + confidentiality is the classic fraud signature — and that pausing to verify is always allowed.

Naučte tým, že naléhavost + důvěrnost je klasický podpis podvodu — a že zastavit se a ověřit je vždy povoleno.

Methodology & caveats

Metodika a výhrady

This brief was built by fanning out web searches across five angles, extracting falsifiable claims, and adversarially verifying each one (a claim was kept only if it survived a majority vote). Four widely-circulated claims were refuted and excluded, including "60% of deepfake attacks target crypto/finance," a specific 50ドルk fake-investor loss, and a "6,500 cases" figure. Trend statistics come largely from identity-vendor reports (commercial interest, own-platform data). Arup is the one fully-documented hard-number incident — it should be read as a single canonical case, not as many. Direct, measured startup-specific loss data remains scarce; the startup-exposure argument is inference from attack mechanics.

Tato studie vznikla rozvětvením webových rešerší do pěti úhlů, extrakcí ověřitelných tvrzení a adversariálním ověřením každého z nich (tvrzení zůstalo jen tehdy, pokud přežilo většinové hlasování). Čtyři široce rozšířená tvrzení byla vyvrácena a vyřazena, mimo jiné „60 % deepfake útoků cílí na krypto/finance", konkrétní ztráta 50 tis. USD u fake investora a údaj o „6 500 případech". Statistiky o trendech pocházejí převážně z reportů identity-vendorů (komerční zájem, data z vlastní platformy). Arup je jediný plně doložený incident s tvrdými čísly — je třeba ho číst jako jeden kanonický případ, ne jako mnoho. Přímá, změřená data o ztrátách specifická pro startupy zůstávají vzácná; argument o expozici startupů je úvahou z mechaniky útoků.

Sources

Zdroje

Cited sources

Citované zdroje

  1. CNN Business — Arup revealed as victim of 25ドル million deepfake scam involving Hong Kong employee
  2. CFO Dive — Scammers siphon 25ドルM from engineering firm Arup via AI deepfake 'CFO'
  3. Fortune — Arup confirmed as the victim of a 25ドルM Hong Kong deepfake fraud
  4. AI Incident Database — Incident 634: Arup deepfake video-conference fraud
  5. Deloitte Center for Financial Services — Deepfake banking fraud risk on the rise (gen-AI losses to 40ドルB by 2027; +700% fintech incidents, via Sumsub)
  6. Entrust — 2026 Identity Fraud Report (deepfakes = 1 in 5 biometric fraud attempts; deepfaked selfies +58%; injection attacks +40%)
  7. Biometric Update — Protect every layer of identity to thwart deepfake injection attacks (reporting Entrust 2026)
  8. UPI — Suspected deepfake job applicant infiltrates online hiring interview (March 2026; North Korea links)
  9. DeepStrike — Deepfake statistics 2025 (aggregated incident data)

Worried about this for your team?

Řešíte to ve svém týmu?

Bruncsoft helps you secure your startup against deepfake fraud — we put lightweight, practical controls in place before an incident, not after. Reach out.

Bruncsoft vám pomůže zabezpečit váš startup proti deepfake podvodům — zavedeme lehké, praktické kontroly ještě před incidentem, ne po něm. Ozvěte se.

Get in touch →Kontaktujte nás →

AltStyle によって変換されたページ (->オリジナル) /