Cybersecurity 
Het St. Anna Children’s Cancer Research Institute (CCRI) in Wenen, Oostenrijk is één van de toonaangevende Europese centra voor onderzoek naar kinderkanker. Met meer dan 250
Gepubliceerd op september 13, 2024
Phishing-aanvallen vinden plaats wanneer cybercriminelen hun slachtoffers misleiden door zich voor te doen als iemand die ze niet zijn, zodat ze hun persoonlijke gegevens zullen delen zoals wachtwoorden of creditcardnummers. Kunstmatige intelligentie (AI) heeft het voor cybercriminelen gemakkelijker gemaakt om phishing-aanvallen uit te voeren door geloofwaardige phishing-berichten te schrijven, de stemmen van mensen na te bootsen, onderzoek uit te voeren naar hun doelwitten en deepfakes te maken. Door AI te gebruiken bij deze aanvallen, komen cybercriminelen geloofwaardiger en betrouwbaarder over, waardoor meer slachtoffers geneigd zijn om persoonlijke informatie te delen of geld te sturen. Op basis van een onderzoek uit 2024 in opdracht van Keeper®, zagen IT-leiders een toename van 51% betreft AI-gestuurde aanvallen.
Lees verder om te ontdekken hoe cybercriminelen AI inzetten bij phishing-aanvallen, hoe AI wordt gebruikt en hoe u uzelf tegen dergelijke aanvallen kunt beschermen.
Zo maken cybercriminelen gebruik van AI voor phishing-aanvallen
AI maakt het mogelijk voor cybercriminelen om nog gevaarlijkere phishing-aanvallen uit te voeren tegen individuen en bedrijven.
AI voor berichten
Met behulp van generatieve AI-tools, zoals ChatGPT, kunnen cybercriminelen phishing-berichten maken zonder de gebruikelijke grammaticale en spelfouten die veelal duiden op een scam. Om te laten zien hoe eenvoudig dit kan zijn voor cybercriminelen, heb ik ChatGPT gevraagd om een phishing-e-mail op te stellen. De inhoud die ik heb ingevoerd werd direct verwijderd met de melding van ChatGPT: “Deze inhoud kan ons gebruiksbeleid schenden.” Ondanks deze schending produceerde ChatGPT evengoed een voorbeeld van een phishing-e-mail. Dit zijn de resultaten van ChatGPT:
Merk op dat dit bericht geen grammaticale of spelfouten bevat, in tegenstelling tot de gebruikelijke phishing-e-mails. Cybercriminelen die generatieve AI-tools gebruiken, zoals ChatGPT, hoeven niet na te denken over hoe ze iets moeten formuleren om de gewenste informatie te verzoeken. ChatGPT formuleerde het bericht in dringende taal, samen met de mogelijkheid voor de cybercrimineel om een phishing-link te toe voegen. Het bevatte zelfs de dreiging dat het account van het doelwit anders wordt opgeschort.
AI voor onderzoek
Generatieve AI kan cybercriminelen ook helpen bij het onderzoeken van hun doelwitten. Eerder dit jaar waarschuwde de FBI individuen en bedrijven voor het ontvangen van zeer gepersonaliseerde en op maat gemaakte berichten, die cybercriminelen kunnen creëren met behulp van AI. Omdat het tijd kost om al hun doelwitten te onderzoeken, versnelt AI deze taak voor de cybercrimineel door informatie over het doelwit te verwerken en te synthetiseren. Hierdoor kunnen cybercriminelen meer te weten komen over hun doelwitten en hun interesses, zonder veel tijd te hoeven besteden aan uitgebreid onderzoek.
AI voor imitatie
In sommige situaties kunnen cybercriminelen AI inzetten om de manier waarop mensen hun e-mails of sms’jes schrijven te imiteren. Ze kunnen zelfs AI gebruiken om de stem van iemand na te bootsen. AI kan ook visuele inhoud genereren, zoals foto’s of video’s, om zich voor te doen als iemand die hun doelwit vertrouwt. Nadat iemand een bekende profielfoto of een geposte video heeft gezien, denken ze mogelijk dat ze hun persoonlijke informatie of geld aan een bekende geven. Cybercriminelen gebruiken AI echter om deepfakes te maken. Hier zullen we zometeen nader op ingaan.
Voorbeelden van AI-ondersteunde phishing-aanvallen
Naarmate AI-gebaseerde phishing-aanvallen vaker voorkomen, zijn er een aantal belangrijke soorten waar u alert op moet zijn. Laten we eens kijken naar enkele voorbeelden van AI-ondersteunde phishing-aanvallen.
Door AI gegenereerde phishing-e-mails en -sms’jes
Voordat AI een nuttige tool werd voor cybercriminelen bij phishing-aanvallen, konden mensen phishing-berichten gemakkelijk herkennen via e-mail of sms, omdat ze meestal een aantal spellings- en grammaticale fouten bevatten. De meeste phishing-e-mails bevatten bijvoorbeeld typefouten of onhandig geformuleerde zinnen, alsof de persoon die het bericht schrijft de taal niet spreekt. Door AI gegenereerde phishing-e-mails en -sms’jes zijn echter minder makkelijk te herkennen omdat deze opvallende fouten ontbreken bij AI.
Een cybercrimineel kan bijvoorbeeld een door AI gegenereerde phishing-e-mail sturen naar een specifieke werknemer bij een groot bedrijf. De werknemer is mogelijk getraind om phishing-e-mails te kunnen detecteren als ze zichtbare tekenen van spel- en grammaticale fouten bevatten. Als de phishing-e-mail echter overtuigend genoeg is en de cybercrimineel zich voordoet als de baas van de werknemer, kan het bericht legitiem lijken voor de werknemer, met als gevolg dat ze vertrouwelijke informatie via e-mail delen.
AI-ondersteunde vishing-aanvallen
Vishing, een soort phishing-aanval dat plaatsvindt via telefoongesprekken, is gevaarlijker geworden vanwege het gebruik van AI-tools. Het is gebruikelijk dat de cybercrimineel bij vishing-aanvallen een bedrijf of persoon imiteert die het doelwit vertrouwt, waardoor de kans op het ontvangen van geld of informatie wordt vergroot. Bij AI-ondersteunde vishing-aanvallen kunnen cybercriminelen zich echter voordoen als iemand die hun doelwit kent door bekende stemmen te analyseren aan de hand van video- of audio-opnamen. Zodra AI deze stemmen heeft verwerkt, kan de cybercrimineel hun eigen stem maskeren en zich voordoen als een familielid, kennis of baas van het doelwit. De vishing-aanval wordt overtuigender als AI op deze manier wordt ingezet, omdat het doelwit de stem aan de andere kant van de telefoon herkent.
Dit is onlangs gebleken bij technologisch geavanceerde grootouderoplichting, waarbij cybercriminelen video’s of audio-opnamen van familieleden van hun doelwit downloaden via sociale media. Cybercriminelen gebruiken AI om zich voor te doen als de stem van een familielid, waardoor een oudere persoon denkt dat ze in gevaar zijn en daarom meestal geneigd zijn om geld te sturen.
AI-ondersteunde spear-phishing-aanvallen
Spear-phishing-aanvallen vinden plaats wanneer een cybercrimineel een specifiek persoon of organisatie als doelwit heeft met behulp van eerder verzamelde informatie, zoals hun naam, e-mailadres of telefoonnummer. Hoewel dit lijkt op een traditionele phishing-aanval, is spear-phishing een meer gepersonaliseerde en gerichte cyberaanval, waardoor het doelwit moeilijker kan opmerken dat het bericht onderdeel is van een phishing-aanval. Cybercriminelen gebruiken AI voor onderzoeksdoeleinden om informatie over hun doelwitten te verzamelen. Ze gebruiken vervolgens generatieve AI-tools zoals ChatGPT om e-mails en sms’jes te schrijven op basis van de verzamelde informatie.
Stel dat een cybercrimineel zich bijvoorbeeld wil richten op een student die stage loopt bij een grote financiële onderneming. Om tijd te besparen, gebruikt de cybercrimineel AI om de sociale media en andere openbare informatie van het doelwit te analyseren. Zodra AI voldoende informatie heeft verzameld over het doelwit en hun rol in hun organisatie, kan de cybercrimineel deze informatie invoeren in een generatieve AI-tool. Er wordt vervolgens een gepersonaliseerde e-mail opgesteld waardoor deze afkomstig lijkt te zijn van een collega of baas van het doelwit om hen te overtuigen vertrouwelijke informatie te delen.
AI-gegenereerde deepfakes
Hoewel deepfakes al geruime tijd bestaan, worden ze steeds moeilijker te detecteren vanwege de ontwikkeling in AI-technologie. Deepfakes zijn vormen van media, zoals foto’s, audio-opnamen en video’s, die een aspect van een persoon veranderen zodat ze lijken op iemand die ze niet zijn. Recente deepfakes op sociale media tonen bijvoorbeeld beroemdheden die ongepaste activiteiten uitvoeren met andere beroemdheden of gewone mensen, terwijl die interacties nooit hebben plaatsgevonden. Ze worden vaak gebruikt met kwaadaardige bedoelingen, zoals chantage of verkeerde informatie. AI-gegenereerde deepfakes worden zo realistisch dat zelfs de politie moeite heeft om te bepalen of een afbeelding of video nep is. Omdat deze deepfakes er zo echt uitzien, gebruiken cybercriminelen AI om verschillende phishing-aanvallen uit te voeren, omdat veel mensen geloven wat ze zien.
Zo kunt u uzelf beschermen tegen AI-ondersteunde phishing-aanvallen
Ondanks dat AI-ondersteunde phishing-aanvallen steeds vaker voorkomen en schadelijk zijn, bestaan er toch een aantal manieren om uzelf tegen deze geavanceerde cyberaanvallen te beschermen.
Klik nooit op ongevraagde links en bijlagen
Klik nooit op links of download bijlagen van ongevraagde berichten zodat uw privégegevens en apparaten beschermd blijven. Als u een ongevraagde e-mail of sms ontvangt waarin u wordt verzocht om op een link te klikken om uw accountgegevens te verifiëren, dan is dit hoogstwaarschijnlijk een scam. Als u op een link klikt en niet voorzichtig bent, loopt u het risico dat er malware op uw apparaat wordt geïnstalleerd die uw persoonlijke gegevens kan stelen. U kunt controleren of een link veilig is door de muis over de URL te houden of door de link veilig te kopiëren en te plakken in een URL-checker zoals het Google Transparantierapport.
Hetzelfde geldt voor ongevraagde berichten met bijlagen: download ze niet op uw apparaat. Als een ongevraagde e-mail bijvoorbeeld een pdf of spreadsheet bevat die u moet openen, klik er dan niet op omdat deze hoogstwaarschijnlijk malware bevat. Als u op een ongevraagde bijlage klikt of deze downloadt, kunt u een malware-infectie activeren waardoor het risico loopt dat uw persoonlijke gegevens naar de cybercrimineel worden verzonden en gecompromitteerd worden. Gebruik antivirussoftware om te controleren of een bijlage veilig is, verzeker uzelf ervan dat de afzender legitiem is en negeer berichten die door uw e-mailprovider als spam zijn gemarkeerd.
Reageer niet op ongevraagde verzoeken om uw persoonlijke informatie
Als u ongevraagde verzoeken ontvangt via e-mail, sms of telefoon die om uw persoonlijke gegevens vragen, moet u deze negeren. Als u een telefoontje ontvangt van een onbekend nummer waar wordt beweerd dat ze een bekend persoon of bedrijf zijn, vraag uzelf dan eerst af waarom ze uit het niets zouden bellen om te verzoeken om uw persoonlijke gegevens. Wees voorzichtig als u een ongevraagd verzoek ontvangt om de volgende persoonlijke gegevens te verstrekken:
- Creditcardgegevens
- Gebruikersnamen en wachtwoorden
- Bankrekeningnummers
- Informatie over zorgverzekeringen
- Burgerservicenummers
- Handelsgeheimen
Wees voorzichtig met deals die te mooi lijken om waar te zijn
Wanneer cybercriminelen AI gebruiken om onderzoek te doen, wordt het voor hen gemakkelijker om achter de interesses van hun doelwit te komen. Geloof geen deals die te mooi lijken om waar te zijn, vooral niet als het over iets gaat wat u altijd al wilde. Als u bijvoorbeeld een e-mail of sms ontvangt waarin staat dat u een levenslange voorraad van uw favoriete cosmetische product hebt gewonnen, wees dan voorzichtig. Het is hoogstwaarschijnlijk een truc om u op een gevaarlijke link of bijlage te laten klikken of om persoonlijke informatie te verstrekken.
Verzin een codewoord met gezin
Het hebben van een codewoord of geheime code is erg handig om de identiteit van een persoon te verifiëren, zeker als het een verdachte situatie lijkt. Als u of een familielid bijvoorbeeld door iemand wordt gebeld en beweert een bekende te zijn, vraag dan de beller om het codewoord. Als de beller het woord verkeerd raadt, weet u dat het gaat om een phishing-aanval. Zorg ervoor dat het codewoord geen woord is dat een cybercrimineel of AI kan raden door online onderzoek te doen naar u of uw gezin. Met een uniek codewoord kunt u uzelf en uw gezin beschermen tegen AI-ondersteunde phishing-aanvallen.
Gebruik een wachtwoordmanager
Een van de beste manieren om uzelf te beschermen tegen AI-ondersteunde phishing-aanvallen is door een wachtwoordmanager zoals Keeper te gebruiken. Een wachtwoordmanager slaat uw wachtwoorden niet alleen op een veilige plaats op, maar beschermt uw gegevens ook tegen phishing-aanvallen als deze een functie voor automatisch invullen heeft. De functie van Keeper Password Manager, KeeperFill, zal uw inloggegevens alleen invullen als de website die is geregistreerd in uw digitale kluis overeenkomt met de website die u bezoekt.
Blijf op de hoogte van het laatste nieuws over cyberbeveiliging.
Omdat AI voortdurend blijft ontwikkelen en cyberaanvallen in de loop der tijd veranderen, is het belangrijk om op de hoogte te blijven van het meest actuele nieuws en gebeurtenissen rondom cyberbeveiliging. Er worden dagelijks veel blogs en artikelen gepubliceerd over de nieuwste datalekken, scammingtrends en opkomende cyberbedreigingen. U kunt gemakkelijk op de hoogte blijven door verschillende blogs en websites over cyberbeveiliging te volgen, waaronder Dark Reading, SecurityWeek en Keeper Security Blog.
Voorkom dat u het slachtoffer wordt van AI-ondersteunde phishingaanvallen
Elke vorm van phishing-aanval kan ertoe leiden dat uw persoonlijke informatie of geld wordt gestolen door een cybercrimineel. AI-gebaseerde phishing-aanvallen blijven zich ontwikkelen en worden steeds gevaarlijker. Bescherm uzelf en uw privacy door ongevraagde links of bijlagen te vermijden, geen persoonlijke informatie te verstrekken in ongevraagde verzoeken, een codewoord te verzinnen en een wachtwoordmanager te gebruiken.
Start vandaag nog uw gratis proefperiode van 30 dagen van Keeper Password Manager om uw wachtwoorden en online accounts te beschermen tegen cybercriminelen.
