Phishing in het AI-tijdperk
Artificial Intelligence (AI) biedt enorm veel kansen om onze productiviteit te verhogen en efficiënter te werken. Niet voor niets klinken overal ter wereld hosannaverhalen over de ontwikkelingen op dit vlak. We moeten echter niet onze ogen sluiten voor de keerzijde en risico’s van AI. Zoals de inzet van AI voor phishing.
Boost in kwaliteit
Cybercriminelen proberen met phishing gevoelige informatie te stelen. Denk hierbij aan wachtwoorden en creditcardgegevens. De belangrijkste methode is om zich voor te doen als betrouwbare afzender, zoals een familielid, bank, webshop of bijvoorbeeld de CEO van een bedrijf (dat laatste kennen we als ‘CEO-fraude’). Iedereen kent wel de slechtgeschreven e-mails van zogenaamd betrouwbare partijen. Daar trap je niet zo gemakkelijk in. Maar de komst van AI heeft de kwaliteit van phishing-berichten een enorme boost gegeven. En daardoor is het oppassen geblazen.
Lastiger te detecteren
De briljante serie Black Mirror (te zien op Netflix) belicht in meerdere afleveringen de schaduwzijde van AI. De manier waarop deze technologie aanvallers de tools biedt om geavanceerdere en doelgerichtere aanvallen uit te voeren, zou in deze serie niet misstaan. Zo gebruiken cybercriminelen AI voor het verzamelen van persoonlijke gegevens. Vervolgens stellen ze berichten op in de taal en communicatiestijl van de ontvanger. Hiervoor gebruiken ze - ook via AI - verzamelde gegevens. Dit maakt het steeds lastiger om phishing-pogingen te detecteren.
Gezamenlijke inspanning
Kwaadwillenden zetten AI ook in om geautomatiseerde phishing-campagnes op te zetten. Met machine learning analyseren ze grote datastromen. Hiermee identificeren ze patronen die weer worden ingezet voor de ontwikkeling van effectieve phishing-aanvallen. Kortom: de ‘kwaliteit’ van de methodes en inhoud van de berichten zal in de komende tijd alleen maar toenemen. De vraag is hoe we ons hiertegen kunnen wapenen. We zullen meer tijd en aandacht moeten besteden aan sterke authenticatie en het verhogen van het bewustzijn. Maar ook AI-ontwikkelaars hebben hierin een verantwoordelijkheid. Zij zullen moeten werken aan de ontwikkeling van mechanismen om phishing-pogingen te detecteren en blokkeren. Wij zien het dan ook als een gezamenlijke inspanning tussen medewerkers, bedrijven én technologieleveranciers om het hoofd te bieden tegen phishing.