De good old phishing-e-mail is onder cybercriminelen nog altijd een populair middel. Verontrustend is dat de automatisering van social engineering wordt uitgevoerd met ondersteuning van machine learning en ai.
Cybercriminelen maken al jaren gebruik van alle technische mogelijkheden om hun activiteiten te automatiseren en te voorkomen dat ze worden gepakt. Een van de meest effectieve en gemakkelijkste manieren om een it-systeem binnen te dringen, is zoals gezegd de phishing-e-mail. 67 procent van de beveiligingsincidenten die Verizon in het ‘Data Breach Investigations Report 2020‘ onderzocht, was terug te voeren op sociale-hackingtechnieken zoals phishing. De technieken zijn populair omdat een nep-e-mail-alias snel is in te stellen. Bovendien kost het verzenden van dergelijke mails in tegenstelling tot een telefoontje geen geld en is het bijna onmogelijk te achterhalen door wetshandhavingsinstanties. Steeds vaker wordt dit soort automatisering van social engineering ook uitgevoerd met ondersteuning van machine learning en ai. Machine learning duikt voornamelijk op om de meest succesvolle campagnes te verfijnen en in te zetten in een grote verscheidenheid aan talen en culturen. Dit alleen al zou een reden tot bezorgdheid moeten zijn.
Ai leert menselijk gedrag sturen
In Australië ontwikkelde het onderzoeksteam CSIRO Data61, een datagedreven bedrijf met goede connecties met de wetenschappelijke wereld, een systematische methode voor het analyseren van menselijk gedrag. Deze ‘recurrent neural network and deep reinforcement-learning‘-methode beschrijft hoe mensen beslissingen nemen en wat die beslissingen triggert.
In tests zijn drie experimenten uitgevoerd waarbij proefpersonen werd gevraagd om verschillende games tegen een computer te spelen. CSIRO-baas Jon Wittle heeft de resultaten samengevat in het artikel voor het tijdschrift The Conversation. Na elk experiment leerde de machine van de reacties van de deelnemers en identificeerde gerichte zwakke punten in de besluitvorming van mensen. Zo leerde de machine hoe hij de deelnemers kon verleiden om bepaalde handelingen uit te voeren. De resultaten zijn – en dat geeft Wittle openlijk toe – op dit moment nog vrij abstract en slechts van toepassing op beperkte en nogal onrealistische situaties. Wat it-beveiligingsexperts over de hele wereld echter doet fronsen is dat uit deze resultaten blijkt dat machines met voldoende training en gegevens door middel van interacties in staat zouden zijn menselijke beslissingen te beïnvloeden.
De status quo van ai in cybercriminaliteit
Hoe ver zijn cybercriminelen op dit gebied? Ai zal voornamelijk worden gebruikt voor spear phishing. Het gebruik van ai bij spear phishing is alsof je gaat vissen met een sluipschuttersgeweer. Geen van beide wordt momenteel gedaan, maar is theoretisch wel mogelijk. En dat is het grotere probleem. Want hoe moeten bedrijven zich voorbereiden op iets dat in de praktijk nog niet bekend is? Natuurlijk is spear phishing vooral de moeite waard als het doelwit financieel aantrekkelijk genoeg is. Dit is meestal het geval wanneer, zoals bij business email compromise (bec)-fraude of ceo-fraude, ‘uit naam van’ een bestuurder of een ander lid van het managementteam wordt nagebootst om snel een aanzienlijk bedrag weg te kunnen sluizen.
Deepfakes beïnvloeden gedrag van mensen
Als we het hebben over ai bij spear phishing, hebben we het over deepfakes. Met name deepfakes in voice phishing zijn een veelvoorkomend middel. Voice phishing is het meest effectief als het simpelweg gaat om het nabootsen van een stem. Ervaren criminelen kunnen dit zelf doen met wat stemtraining, maar er zijn ook genoeg programma’s zoals Mixed, Respeecher of Deepfakenow die dat ook, zo niet beter kunnen en vertrouwen op ml- en ai-methoden. Cybercriminelen zouden dan op precies dezelfde manier te werk gaan als bij opgenomen en nagebootste stemmen; ze verzamelen eerst alle informatie over de persoon die ze willen imiteren op internet, evalueren deze en bereiden de actie voor. Ze gaan dan op zoek naar zwakke punten en leren de medewerkers kennen. Enerzijds via de informatie die op internet beschikbaar is en anderzijds via nepoproepen naar het secretariaat. Vervolgens krijgen ze toegang tot de contactgegevens van de baas, bellen hem of haar onder een voorwendsel, nemen zijn of haar stem op en laten de it-systemen deze repliceren. Ten slotte bedenken ze een goede reden voor bec-fraude, nemen contact op met de boekhoudafdeling en laten de vermeende baas bellen en druk uitoefenen. Het imiteren van stemmen is voor de programma’s gemakkelijk te leren, en zal op niet al te lange termijn ook echt overtuigend worden.
Natuurlijk is er ook de mogelijkheid om deepfakes te maken met afbeeldingen of video’s, maar de inspanning is nog te groot voor het gewenste succes. Het vervalsen van afbeeldingen kost meer tijd, en met video’s met mensen ben je nog veel meer tijd kwijt. Bovendien kost het veel tijd voordat het resultaat zo bedrieglijk echt is dat het een tweede blik vereist. Zowel het gebruik van afbeeldingen als video’s beschouwen beveiligingsexperts als de volgende fase van bec-fraude. Daarom spreekt de FBI sinds kort van een nieuw soort fraude, namelijk business identity compromise (bic). Bij dit type fraude maken criminelen gebruik van afbeeldingen of video’s die zijn gemodificeerd met behulp van machine learning of ai. Momenteel is de methode om een simpele e-mail of een voice deepfake te gebruiken nog veel te succesvol. Werknemers vallen nog steeds voor dit soort cyberfraude, dus investeringen zijn nog niet absolute noodzaak. Cybercriminelen zoeken altijd naar de optimale inspanning in relatie tot opbrengstverdeling.
Conclusie
De hype rond ai is groot en tast natuurlijk ook de it-beveiliging aan. Cybercriminelen gebruiken de technologie vandaag al, maar nog niet zo uitgebreid. Deepfakes zullen op de lange termijn de voorkeursmethode zijn. Met steeds betere stemimitaties, nepfoto’s of zelfs video’s, wordt het mogelijk emoties en menselijk gedrag beter te controleren en er beter op te anticiperen dan het geval is met e-mails met platte tekst. Dit toont het enorme potentieel aan waarmee zowel cybercriminelen als it-beveiligingsmedewerkers vandaag de dag te maken hebben. Daarom moeten trainingen die medewerkers laten zien waar ze op moeten letten, hoe ze deepfakes kunnen herkennen en wat ze moeten leren om situaties te kunnen beoordelen, een integraal onderdeel zijn van elke it-beveiligingsstrategie.
