Stel, je ontvangt een e-mail van je ceo met de vraag om wat informatie door te sturen. Het is geschreven in dezelfde taal en met exact dezelfde toon die ze gewoonlijk gebruikt. Ze maakt zelfs een grapje over haar hond. Het is volkomen overtuigend. Het addertje onder het gras? Het is gemaakt door generatieve ai, op basis van informatie die een cybercrimineel uit sociale-mediaprofielen heeft weten te achterhalen.
De opkomst van ChatGPT heeft de zorgen over de implicaties van ai voor cybersecurity aangewakkerd. Binnen enkele weken na de lancering konden onderzoekers al aantonen dat ChatGPT phishing-e-mails kan schrijven, malwarecode kan maken en kan uitleggen hoe malware in documenten is in te sluiten. ChatGPT is niet de eerste chatbot die op de markt komt, en zal ook niet de laatste zijn. Ook Google en Baidu kwamen al met alternatieven aanzetten. Wat betekent dit voor de toekomst van cybersecurity, nu alle techgiganten staan te trappelen om de beste generatieve ai te ontwikkelen?
- Drempel voor het maken van aanvallen is nog niet aanzienlijk verlaagd
Een van de eerste debatten die ChatGPT opriep was die over cyberveiligheid: kunnen cybercriminelen ChatGPT of andere generatieve ai-technologie gebruiken om hun aanvalscampagnes te verbeteren? Kan het de toegangsdrempel voor (potentiële) cybercriminelen verlagen?
In een wereld die wordt gekenmerkt door snelle digitale transformatie, is ChatGPT een krachtig hulpmiddel. Het brede potentieel voor toepassingen kan bestaande gebruikers helpen efficiënter te worden, kennis te verzamelen en taken op lager niveau te automatiseren.
Toch is generatieve ai nog niet het wondermiddel dat alles in één keer oplost; het heeft zijn beperkingen. Om te beginnen weet het alleen waarop het is getraind en moet het voortdurend opnieuw worden getraind om actueel te blijven. En zoals we hebben gezien, worden er ook vraagtekens geplaatst bij de data die zijn gebruikt om het model te trainen. Universiteiten en persbureaus maken zich nu al zorgen over de mogelijkheid van plagiaat met behulp van ai en de verspreiding van verkeerde informatie. Als gevolg daarvan moeten mensen vaak de output verifiëren – soms is het moeilijk te zeggen of ChatGPT de inhoud gewoon heeft verzonnen of dat de output is gebaseerd op betrouwbare informatie.
Hetzelfde geldt voor de toepassing van generatieve ai op cyberbedreigingen. Natuurlijk helpt het wel bij het maken van geloofwaardige phishing-e-mails. Maar als een crimineel malware wil schrijven, moet hij/zij ChatGPT nog steeds begeleiden bij het maken van deze malware en vervolgens controleren of het wel werkt. Een cybercrimineel zou nog steeds heel wat voorkennis over aanvalscampagnes moeten hebben om het effectief te kunnen gebruiken – wat betekent dat de drempel tot het maken van aanvallen nog niet aanzienlijk is verlaagd als het gaat om de technische uitwerking van aanvallen.
- Generatieve ai-aanvallen leiden tot kwaliteit boven kwantiteit
Bij Darktrace vroegen we ons af of de vrees dat ChatGPT een toename van het aantal cyberaanvallen tegen bedrijven zou veroorzaken, gegrond was. Maar de conclusies die uit het onderzoek binnen onze klantenkring zijn te trekken, vertellen een ander verhaal.
Hoewel het aantal aanvallen via e-mail grotendeels gelijk is gebleven sinds de lancering van ChatGPT, is het aantal phishing-e-mails waarbij het slachtoffer wordt overgehaald om op een kwaadaardige link te klikken, gedaald van 22% naar 14%. De gemiddelde taalkundige complexiteit van de phishing-e-mails is echter met 17% toegenomen.
Hoewel correlatie natuurlijk geen oorzakelijk verband betekent, is een van onze theorieën dat ChatGPT cybercriminelen in staat stelt hun focus te verleggen. In plaats van e-mailaanvallen te gebruiken met schadelijke links of malware, zien criminelen een hogere return-on-investment in het bedenken van geraffineerde social engineering-aanvallen waarbij misbruik wordt gemaakt van vertrouwen en de gebruiker wordt verzocht direct actie te ondernemen. Bijvoorbeeld door er bij hr op aan te dringen om de salarisgegevens van de ceo te veranderen naar de bankrekening van een door de aanvaller gecontroleerde geld-ezel. Dit zijn mensen die worden geronseld om hun bankgegevens te laten misbruiken door criminelen.
Stel je de situatie voor die ik in het begin schetste: een crimineel kan in enkele minuten tijd informatie over een potentieel slachtoffer uit sociale media-accounts schrapen en ChatGPT vragen een e-mail te maken op basis van die informatie. Binnen enkele seconden zou die crimineel een geloofwaardige, goed geschreven en gecontextualiseerde spear-phishing-e-mail kunnen versturen.
- Een toekomst waarin machines bestrijd worden met machines
Al bijna tien jaar voorspelt Darktrace een toekomst van ai-ondersteunde aanvallen, en het lijkt erop dat w nu aan de vooravond van die toekomst staan.
De generatieve ai-wapenwedloop zal techreuzen ertoe aanzetten om de meest nauwkeurige, snelste en geloofwaardige ai op de markt uit te brengen. En het is onvermijdelijk dat cybercriminelen deze innovatie zullen uitbuiten voor hun eigen gewin. De introductie van ai, die ook deepfake-audio en -video kan omvatten, zal het voor criminelen makkelijker maken om gepersonaliseerde aanvallen uit te voeren die sneller opschalen en beter werken.
Voor verdedigers die belast zijn met het beschermen van hun werknemers, infrastructuur en intellectueel eigendom, zal het antwoord zijn om zich te wenden tot door ai aangedreven cybersecurity. Zelflerende ai die tegenwoordig op de markt beschikbaar is, baseert zijn vermogen om subtiele aanvallen te identificeren en te beheersen door grondige kennis van gebruikers en apparaten op te bouwen binnen de organisaties die het beschermt. Door deze levenspatronen te leren, ontwikkelt het een alomvattend begrip van wat normaal is voor gebruikers binnen de real-world context van alledaagse bedrijfsgegevens. Simpel gezegd, de manier om hypergepersonaliseerde, door ai aangestuurde aanvallen te stoppen, is door een ai te hebben die meer weet over je bedrijf dan externe, generatieve ai ooit zou kunnen.
Nu het toepassen van generatieve ai steeds gangbaarder wordt, is het belangrijk om algoritmes met algoritmes te bestrijden. Het is nu het moment voor cybersecurity-professionals om ai in hun toolkits te introduceren
