Schaduwzijde van AI: deepfakes en geavanceerde phishing
De snelle opmars van kunstmatige intelligentie (AI) maakt cybercriminaliteit gevaarlijker dan ooit. Het bedrijfsleven zal haar digitale bewapening daarom nog sneller moeten opvoeren. AI-gegenereerde deepfakes en nog geavanceerder vormen van phishing brengen de continuïteit van bedrijven in gevaar, zeker in het mkb. Maar wat zijn de belangrijkste gevaren? En wat kunt u hiertegen inbrengen?
AI-gegenereerde deepfakes en nog geavanceerder vormen van phishing brengen de continuïteit in gevaar, zeker in het midden- en kleinbedrijf. Weten hoe een hacker denkt over uw beveiliging? Bekijk de #techtalk van Edwin van Andel.
“Hé, ik ben op reis. We hebben net een bedrijfsovername gedaan, we moeten snel een aanbetaling doen, want anders gaat de deal niet door.” Dat bericht kreeg een medewerker van de Nederlandse online bank Bunq in oktober via WhatsApp van zijn ceo, Ali Niknam. Althans: een nepversie van Ali Niknam. De medewerker kreeg een uitnodiging voor een videogesprek. In dat gesprek, waarin Niknam met behulp van AI-tooling werd opgevoerd, was de beeldkwaliteit vanwege ‘een slechte verbinding’ brokkelig. Deze medewerker deed navraag bij zijn baas en trapte niet in de val. Het was de eerste keer dat Bunq op deze manier te maken kreeg met cybercrime.
‘Deep Fake’ wordt nu echt gevaarlijk
Met AI gemanipuleerde video’s - deep fakes - bestaan al langere tijd. Sinds kort is er echter generatieve AI: een vorm van kunstmatige intelligentie waarmee iemand met gebruik van laagdrempelige digitale tools automatisch teksten, afbeeldingen, video’s en audio-items kan ontwikkelen. Zo toonde Alexander Klöpping 12 oktober op een zakelijk congres een video waarin Donald Trump redelijk realistisch in het Nederlands tekeer gaat. Door de snelle ontwikkeling van generatieve AI zal de echte video- of audioversie van Ali Niknam binnen enkele jaren waarschijnlijk al niet of nauwelijks meer zijn te onderscheiden van de AI-nepversie. Het is daarmee de hyperrealistische variant van de aloude ceo-babbeltruc. En dáár tuinden al zoveel bedrijven in, bijvoorbeeld bioscoopketen Pathé en staalbedrijf Jewo, die er respectievelijk 19 en 11 miljoen euro lichter van werden.
Ook interessant: 'Vier manieren waarop AI ondernemen gaat veranderen'
Een breed AI-aanvalsfront
Om het beeld nog alarmerender te maken: naast ceo-/identiteitsfraude kan AI uiteraard worden ingezet voor talrijke andere soorten cyberaanvallen, die daardoor geloofwaardiger en kansrijker worden. Met name in phishing en de ontwikkeling van kwaadaardige software met behulp van AI zien cyberdeskundigen een enorme bedreiging. Bij phishing verstuurt een kwaadwillende een e-mail die eruitziet alsof hij van een betrouwbare bron afkomstig is, met als doel de ontvanger ertoe te verleiden een link of bijlage te openen. Phishing wordt onder meer toegepast voor de bemachtiging van bedrijfsgevoelige data, de installatie van gijzelsoftware en voor digitale afpersing.
Hoe AI ook phishing extra gevaarlijk maakt
Onlangs waarschuwde de Nationaal Coördinator Terrorismebestrijding (NCTV) ook al dat het bij grootschalig gebruik van generatieve AI "steeds lastiger zal worden om de authenticiteit en autoriteit van tekstuele informatie, afbeeldingen, video’s en audio vast te stellen.”
Nog altijd is e-mail de veruit belangrijkste toegangspoort voor geslaagde cyberaanvallen. Met behulp van AI kan de misleiding die nodig is om toegang te krijgen tot iemands computer of bedrijfsnetwerk ook via die e-mail veel geraffineerder worden opgezet. Hierdoor neemt de kans toe dat de ontvanger een e-mailbericht als betrouwbaar ervaart en op die valse link klikt of inloggegevens prijsgeeft. Die misleiding kan worden gecreëerd door - ook hier - het gebruik van deep fakes waarbij spraak en beeld worden gemanipuleerd.
Maar AI kan ook worden toegepast om de tekstuele inhoud van e-mails heel realistisch te laten overkomen. Bijvoorbeeld door geautomatiseerd informatie uit sociale media van relevante collega’s, of bijvoorbeeld informatie op de website van het betreffende bedrijf, te verwerken in de inhoud van zo’n bericht. De kwaliteit van de input van de cybercrimineel bepaalt enkele seconden na zijn zoekopdracht de kwaliteit van de output van de AI-tool, waarmee hij zijn aanval vormgeeft.
Hoe u AI-phishingmails herkent
Tot voor kort waren phishing e-mails in veel gevallen snel te herkennen aan gebrekkig Nederlands taalgebruik. Een met behulp van AI opgezette phishingmail zal in correct Nederlands zijn opgesteld. Toch noemt het Digital Trust Center van de Rijksoverheid acties die uw medewerkers kunnen ondernemen om te detecteren of een mail met behulp van AI is aangemaakt. Uit deze tips blijkt wel dat hierbij een grotere inspanning dan voorheen nodig is:
- Controleer de inhoud op repetitieve zinnen of clichés
- Zoek naar patronen in de schrijfstijl of woordkeuze
- Controleer of de inhoud klopt met de context van de boodschap
- Voer een plagiaatcontrole uit
- Controleer de inhoud met behulp van een AI-detectieprogramma.