30 november 2022 markeerde een technologisch keerpunt. Vanaf die dag konden alle internetgebruikers gebruikmaken van een geavanceerde AI-chatbot: ChatGTP.
Deze AI-tool is, net als andere large language models (LLM’s) als Google Bard en Bing Chat, gebaseerd op een uitgebreid taalmodel en getraind met een schat aan internetdata. De modellen maken het mogelijk om teksten te schrijven en te vertalen, fictieve verhalen te creëren en te programmeren zonder programmeerkennis.
Verhoogde cyberdreiging door AI
De hype rond ChatGPT en andere grote taalmodellen heeft het afgelopen jaar grote proporties aangenomen. Maar deze chatbots zijn niet zonder gevaar en hun razendsnelle opkomst leidt tot zorgen bij cybersecurity-experts. De tools blijken namelijk ook een zegen voor criminelen. Bewijzen stapelen zich op dat hackers LLM’s en andere AI-innovaties inzetten voor het plegen van nieuwe, krachtige cyberaanvallen.
En nee, dit is geen donker toekomstscenario. Een gerenommeerd cybersecuritybedrijf ontdekte al in de eerste twee maanden na de lancering van ChatGPT vijf verschillende aanvallen die te herleiden waren naar de chatbot. Hackers gebruiken AI-tools op verschillende manieren die verschillende soorten dreigingen veroorzaken. We zetten de belangrijkste op een rij:
Dreiging 1: gerichte phishing wordt makkelijker
Phishing betekent dat cybercriminelen algemene berichten – via e-mail of sociale media – naar veel mensen tegelijk verzenden. Dat geldt niet voor gerichte phishing, ofwel spear phishing. Bij deze verfijnde aanpak sturen criminelen speciaal op de ontvanger afgestemde berichten. Vaak voegen ze kwaadaardige bijlagen toe of verwijzen ze naar nagebootste websites van bekende organisaties. Hun doel? Het installeren van malware of het ontfutselen van gevoelige informatie, zoals wachtwoorden.
Met tools als ChatGPT wordt het voor phishers eenvoudiger om overtuigende en natuurlijk klinkende berichten te creëren. LLM’s versnellen niet alleen het proces van unieke tekstproductie – wat bij gerichte phishing een uitkomst is – maar maken het ook voor hackers die niet vloeiend Engels of Nederlands spreken mogelijk om geloofwaardige phishingberichten op te stellen.
Dreiging 2: verfijning van manipulatietechnieken, zoals CEO-fraude
Bij social engineering worden mensen op slinkse wijze bewogen tot het delen van informatie of het uitvoeren van handelingen. CEO-fraude is een bekend voorbeeld van deze manipulatietechniek in de zakelijke wereld: oplichters doen zich voor als een leidinggevende. Op dit moment benaderen cybercriminelen hun slachtoffers vaak per e-mail, maar door AI worden hun instrumenten krachtiger.
Neem bijvoorbeeld een situatie waarin een medewerker niet via e-mail, maar telefonisch door zijn of haar ‘leidinggevende’ wordt gevraagd met spoed geld over te maken voor een zogenaamd dringende transactie. In werkelijkheid is het een fraudeur die gebruikmaakt van een getraind taalmodel, spraakherkenningstechnologie en een tool om iemands stem na te bootsen. Hierdoor lijkt het alsof de oproep echt van de CEO komt.
Hoewel dit scenario misschien futuristisch lijkt, heeft de Federal Trade Commission (FTC) in de Verenigde Staten onlangs gewaarschuwd voor een snelle toename van dit soort AI-gerelateerde fraude.
En wat als een medewerker in de toekomst een digitale vergadering heeft met ‘de CEO’ via Teams, compleet met video? Er bestaan al technologieën die van een enkele foto een bewegend beeld kunnen creëren en de mond natuurlijk kunnen laten bewegen met gesproken woorden. Probeer dan maar eens echt van nep te onderscheiden.
Dreiging 3: malware maken zonder programmeerkennis
ChatGPT en consorten blinken uit in het schrijven en optimaliseren van programmeercode. Dat maakt het mogelijk om zonder programmeerkennis schadelijke software – oftewel malware – te ontwikkelen.
Helaas hebben cybercriminelen dit ontdekt en er zijn al concrete voorbeelden van hoe dit in de praktijk gebeurt. Op het internet circuleert zelfs een handleiding die uitlegt hoe je met behulp van ChatGPT een malware systeem kunt opzetten met de optie voor betalingen in cryptocurrencies.
Dreiging 4: ChatGPT is expert in het opsporen van software kwetsbaarheden
LLM’s zijn goed in het identificeren van kwetsbaarheden in software. Ontwikkelaars plaatsen soms bewust een kwetsbaarheid in de code als test, om vervolgens te ontdekken dat een LLM ook andere, onbekende kwetsbaarheden aan het licht brengt. Deze technologie biedt hackers uiteraard ook kansen om zwakke plekken in systemen te vinden.
Cybersecurity en de opkomst van AI
Het is duidelijk: LLM’s vergroten de toolkit van hackers. Als ondernemer is het dan ook extra belangrijk om je basisprincipes op het gebied van cybersecurity op orde te hebben. Denk aan regelmatige back-ups, consequent updaten, netwerksegmentatie, versleuteling van gegevens en een plan voor incidentrespons.
Tips om de cybergevaren van AI te verkleinen
- Gebruik geavanceerde antivirussoftware. Moderne oplossingen zoals endpoint detection & response (EDR) scannen niet alleen op malware, maar herkennen ook verdacht gedrag.
- Plan trainingen in securitybewustzijn. Leer je medewerkers om cyberdreigingen te herkennen. Tip: KPN biedt voor mkb-klanten een speciale training in security-awareness.
- Tweefactorauthenticatie (2FA). Inloggen met tweestapsbeveiliging is effectief tegen phishingaanvallen.
- Activeer Extra Veilig Internet. Hiermee vorm je een automatische blokkade van schadelijke websites door middel van DNS, web- en malwarefilters.
- Zorg voor betrouwbare back-ups van al je gegevens. Niet alleen op harde schijven, maar ook in de cloud. Bijvoorbeeld met Acronis Cyber Protect.
