Hoe hackers AI gebruiken voor phishing

Het is de laatste weken steeds vaker in het nieuws; het gebruik van Artificial Intelligence (AI) door hackers en criminelen. Het Financieel Dagblad publiceerde recent een artikel waarin het uitlegt hoe ChatGPT ingezet kan worden door hackers om phishing e-mails op te stellen. Inclusief linkjes en een gekopieerde pagina van bijvoorbeeld een bank. Het grootste voordeel voor de hacker is dat deze email vrijwel spelfout-vrij is, professioneel oogt en gegeneerd is in een handomdraai. 

Laat de AI denken dat het je helpt

Normaal heeft ChatGPT ingebouwde controles om dit soort misbruik te voorkomen, maar die blijken makkelijk te omzeilen. De reden waarom criminelen ChatGPT zo ver kunnen krijgen om mee te werken, is door een fenomeen dat “prompt engineering” wordt genoemd. Simpel gezegd betekent dit dat iemand ChatGPT probeert te verleiden om tóch een phishing email op te stellen. Dit doen ze door steeds andere vragen te stellen tot de AI de uitkomst biedt waar ze naar op zoek zijn. In het onderzoek van Het Financieel Dagblad werd bijvoorbeeld gevraagd om mee te helpen met een awareness campagne, een interne test om medewerkers bedacht te maken voor het gevaar van phishing. Daardoor dacht de AI iemand te helpen. Een aanvaller kan natuurlijk makkelijk dezelfde vragen stellen en het de AI-gegenereerde content inzetten voor kwade bedoelingen.

Moeilijk van echt te onderscheiden

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft inmiddels aangekondigd dat AI een gevaar vormt voor onze digitale veiligheid. Volgens de NCTV  zorgt het gebruik van AI ervoor dat aanvallers steeds sneller en slimmer worden. Dat klopt ook wel, want door de inzet van AI zijn er inmiddels ook al systemen ontwikkeld die URL’s genereren die niet worden herkend door anti-phishing en anti-spam filters. Door de inzet van deze AI URL generators is de effectiviteit van phishing mails met bijna 200% toegenomen. Door AI wordt het dus steeds moeilijker om phishing mails van echt te onderscheiden op basis van spelling, taalgebruik, huisstijl en URL’s. 

AI als dreiging én oplossing

In het verleden hebben criminelen en hackers verschillende methoden gebruikt om AI-taalmodellen te misbruiken, waaronder ChatGPT. Enkele mogelijke manieren waarop ze AI kunnen gebruiken voor kwaadwillende doeleinden zijn:

• Phishing-aanvallen: Criminelen kunnen AI gebruiken om geloofwaardige phishing-e-mails of berichten te genereren om mensen te misleiden en hun gevoelige informatie te stelen.
• Social engineering: Ze kunnen AI gebruiken om overtuigende verhalen te creëren en mensen te manipuleren om gevoelige informatie te onthullen of ongepaste acties uit te voeren.
• Verspreiding van desinformatie: AI kan worden gebruikt om nepnieuws, geruchten en valse informatie te verspreiden om het publieke sentiment te beïnvloeden of chaos te veroorzaken.
• Automatische aanvallen: Criminelen kunnen AI-taalmodellen inzetten om automatisch spam, haatdragende inhoud of andere schadelijke berichten op sociale media te genereren.
• Social media manipulatie: AI kan worden gebruikt om accounts te maken die menselijk gedrag nabootsen en zo sociale media te manipuleren door bijvoorbeeld nepvolgers of nep-interacties te genereren. 

Dit toont aan hoe gevaarlijk AI kan zijn op het gebied van digitale veiligheid. Toch is er ook nog licht aan het einde van de tunnel. AI kan namelijk ook gebruikt kan worden als oplossing tegen deze dreigingen. Terwijl hackers hun tactieken steeds meer verfijnen met behulp van AI, investeren beveiligingsonderzoekers en technologiebedrijven ook in AI om aanvallen te detecteren en te voorkomen. 

Machine tegen machine

Een veelbelovende benadering is het gebruik van machine-learning om patronen te herkennen in de manier waarop phishing-pogingen worden gedaan. Een voorbeeld van zo'n systeem is PhishHaven, een AI-gedreven tool die phishing-URL's kan detecteren. PhishHaven maakt gebruik van geavanceerde AI om de kenmerken van miljoenen URL's te analyseren en daaruit een conclusie te trekken of een URL legitiem of phishing is.  

Het is duidelijk dat AI een tweesnijdend zwaard is als het gaat om digitale veiligheid. Hoewel het kan worden gebruikt om aanvallen efficiënter en effectiever te maken, kan het ook een krachtig hulpmiddel zijn voor de verdediging tegen dergelijke aanvallen. Het evenwicht tussen deze twee kanten zal waarschijnlijk de koers van de digitale veiligheid in de komende jaren bepalen. De combinatie tussen verdedigende AI en menselijke expertise zorgt in ieder geval voor een krachtig hulpmiddel in de voortdurende strijd tegen phishing en andere vormen van cybercriminaliteit. 

Maarten Bevers was 3,5 jaar lang onze Information Security Officer & Data Protection Officer (ISDPO). Nu doet hij dat met veel plezier bij een andere werkgever. Zijn nuttige blogs over veiligheid laten we natuurlijk wel online. 

Wil je ook de spaar nieuwsbrief ontvangen? Schrijf je hier in.