Wat betekent generatieve AI voor cybersecurity?
Bij elke nieuwe technologie is er snel de vrees dat ze niet alleen voordelen heeft voor bedrijven, maar ook dat ze het leven van beveiligers moeilijker kan maken. Gen AI is niet anders.
‘Waar mensen en organisaties meestal het meeste geld verliezen, is via alle vormen van fraude: social engineering, phishing, pig butchering, romance scams enzovoort’, zegt Shannon Murphy, global security and risk strategist bij Trend Micro. Ze brengt haar keynote op het Risk to Resilience event in Antwerpen. En die fraude evolueert mee met de technologie. Murphy ziet in generatieve AI vooral gevolgen voor phishing.
E-mails
Zo maakt een technologie als ChatGPT het sneller en makkelijker om een geloofwaardige scam email te sturen. Denk daarbij dan vooral aan de massale e-mails die van Nigeriaanse prinsen, of phishing mails vermomd als berichten van de koerier. Afhankelijk van de kwaliteit worden die meestal aangeklikt door mensen die niet echt ‘tech savvy’ zijn. ‘Voordat large language models bestonden, kon je mensen trainen om erop te letten of de tekst wat raar was, of het domein niet juist is enzovoort,’ zegt Murphy. Maar met een dienst die specifiek gemaakt is om menselijke teksten na te bootsen, wordt dat een pak moeilijker. ‘Als je bijvoorbeeld een aanvaller bent uit Rusland, dan is het niet meer zo’n probleem dat je geen goed Engels spreekt. Dan ga je veel efficiënter en beter scam mails schrijven met gen AI.’
Ze merkt daarbij op dat een aanvaller niet eens een illegale vorm van die tools nodig heeft. ‘Je heb daar geen ‘DarkGPT’ voor nodig, je kan zo’n mail gewoon gratis op het gewone web voor je laten schrijven.’ Een en ander betekent dat ook phishingtraining anders moet. ‘Je kan de schuld niet meer bij de slachtoffers leggen, je moet meer op technologie baseren, om dat soort mails sneller te detecteren.’
‘Door die verbeterde kwaliteit wordt de kloof tussen dit soort phishing en spearphishing steeds kleiner,’ aldus nog Shannon Murphy. Spearphishing, dat is de wat meer arbeidsintensieve vorm van phishing, waarmee aanvallers vaak gaan proberen om specifieke medewerkers van een bedrijf in de val te lokken, met onderwerpen die hen kunnen interesseren.
Deepfake
Wat echter nog iets meer tot de verbeelding spreekt is het gebruik van deepfakes voor fraude. ‘Ook hier kan je gewoon legitieme tools gebruiken,’ zegt Murphy. Bij deepfakes ga je een geloofwaardige kloon maken van bijvoorbeeld de stem of videobeeldenings van een persoon, bijvoorbeeld de CEO van een bedrijf. Die kan je vervolgens laten zeggen wat je wil. In de politiek kan dat soort technologie gebruikt worden voor reputatieschade, in de bedrijfswereld voor fraude. Stel dat je bijvoorbeeld telefoon krijgt waarbij de stem van de ‘CFO’ je vraagt nog snel een overschrijving te doen.
‘Onze processen moeten daarom aangepast worden. Onder meer rond de goedkeuring van financiële transacties. Als je in hetzelfde kantoor zit, is dat handig om even te dubbelchecken, maar veel mensen werken van thuis of voor een multinational met kantoren in verschillende landen,’ zegt Murphy daarover. ‘Je moet dus zorgen dat je een lijst hebt van stakeholders, liefst meer dan één, die moeten goedkeuren. Je kan zelfs werken met codewoorden om te tonen dat jij het bent.’ Veel van de manieren om dit soort cybercrime tegen te gaan zijn niet technologisch van aard, maar draaien om processen en interne cultuur. ‘Je moet ook wel zorgen dat je mensen zich comfortabel genoeg voelen om te zeggen wanneer ze een mail niet vertrouwen.’
Fout opgemerkt of meer nieuws? Meld het hier