Er zijn vele vormen van phishing, maar het meest voorkomende doel is om gebruikers zover te krijgen dat ze hun logingegevens verstrekken, waarmee aanvallers toegang willen krijgen tot e‑mail accounts en systemen. Phishing is al een enorme dreiging, maar met nieuwe AI-tools zoals ChatGPT die volledig natuurlijke teksten kunnen genereren, kan het binnenkort nog erger worden.
Onderzoekers hebben al laten zien hoe machine learning kan worden gebruikt om tekst te genereren voor grootschalige phishing en business email compromise (BEC) campagnes. Hoewel taalmodellen gewoonlijk worden getraind met behulp van een specifieke dataset, zijn onderzoekers erin geslaagd om aanvullende inhoud aan deze modellen aan te bieden, die kan worden gebruikt om een specifieke uitkomst te stimuleren. Zo zou een artikel met onjuiste beweringen gebruikt kunnen worden om een hele stroom van soortgelijke schadelijke of misleidende inhoud te genereren.
Er is inmiddels aangetoond dat deze modellen zelfs schrijfstijlen op een zodanige manier kunnen nabootsen dat de gemiddelde persoon moeilijk onderscheid kan maken een e‑mail van zijn baas en een die gegenereerd is door een computer.
Groeiende interesse aanvallers in AI
Dit is al een bron van zorg voor securityprofessionals, aangezien de belangstelling van aanvallers voor AI-platforms sterk is toegenomen. Momenteel zijn er nog beperkingen voor manieren waarop platforms als ChatGPT gebruikt kunnen worden, maar de kans is groot dat er op termijn andere platforms zullen komen. Platforms die beheerd worden door organisaties of zelfs natiestaten die misschien minder scrupules hebben als het gaat om het inzetten van AI. De kern van iedere propagandacampagne is desinformatie, dus iedere tool dat het makkelijker maakt om op grote schaal content te genereren, zal zowel ten goede als ten kwade gebruikt worden. Een manier om de ontwikkeling van dit soort platforms te financieren, is door cybercriminelen toegang te geven.
Phishingaanvallen zullen binnenkort zowel grootschaliger als geavanceerder worden. Organisaties zullen veel digitale processen opnieuw onder de loep moeten nemen, simpelweg omdat het huidige niveau van vertrouwen dat we gewend zijn niet langer voldoende is in een tijdperk waarin e‑mail gemakkelijk kan worden gecompromitteerd.
Het goede nieuws is dat er al tools zijn die kunnen nagaan of een stuk tekst door een machine is gemaakt. Het zal waarschijnlijk niet lang duren voordat dit soort hulpmiddelen opgenomen wordt in anti-phishingplatforms.
Hou de ontwikkeling van AI in de gaten
Het is voor securityprofessionals echt aan te raden om op de hoogte te blijven over de ontwikkeling van dit soort AI-modellen. Het tempo waarin deze AI-platforms zich ontwikkelen en extra mogelijkheden krijgen, zal alleen maar toenemen. Het zal ook niet lang duren voordat ze niet alleen tekst, maar ook bijbehorende afbeeldingen en video’s gaan genereren. Ik denk dat het slechts een kwestie van tijd is voordat het management van organisaties aan securityprofessionals gaat vragen om de risico’s van deze platforms te beoordelen. Daarbij moeten securityteams niet alleen kijken naar wat deze platforms vandaag kunnen. Binnenkort kunnen deze werken met kleinere datasets die niet alleen minder IT-infrastructuur vereisen om een model te trainen, maar die ook kunnen worden geoptimaliseerd voor toepassing in verticale industrieën.
ChatGPT is een interessante nieuwe ontwikkeling. Maar naast legitieme toepassingen zijn er ook potentiële risico’s. OpenAI geeft zelf toe dat ChatGPT schadelijke en bevooroordeelde antwoorden kan produceren en kan feiten mixen met fictie. Dus laten we de verdere ontwikkelingen scherp in de gaten houden.
