Hoe criminelen AI inzetten voor cyberaanvallen

AI-gegenereerde phishing: perfect Nederlands, perfect overtuigend

De tijd van phishing-mails vol spelfouten en onhandig Nederlands is voorbij. Grote taalmodellen (LLMs) zoals ChatGPT schrijven foutloze, overtuigende tekst in elke gewenste toon. Criminelen voeden deze modellen met informatie over het doelwit — van LinkedIn, de website, nieuwsartikelen — en genereren gepersonaliseerde phishing-mails die nauwelijks van echt te onderscheiden zijn.

Onderzoek toont aan dat AI-gegenereerde spear phishing-mails een klikratio hebben die vier tot vijf keer hoger ligt dan traditionele phishing. De drempel om zo'n campagne op te zetten is laag: er zijn gespecialiseerde 'AI-phishing-as-a-service'-diensten beschikbaar op het dark web.

Deepfakes: uw directeur vraagt om een betaling

Deepfake-technologie maakt het mogelijk om video en audio te vervalsen. Een bekende aanvalsmethode is een telefoontje of videogesprek waarbij een medewerker de stem — of zelfs het gezicht — van de directeur hoort vragen om een spoedtransactie. Zonder aanvullende verificatieprotocollen is dit moeilijk te onderscheiden van een echt gesprek.

In 2024 werd een financieel medewerker van een Hongkongs bedrijf misleid door een deepfake-videocall waarin zijn 'CFO' en meerdere 'collega's' hem overtuigden om 25 miljoen dollar over te maken. Deepfake-technologie is inmiddels beschikbaar voor een paar honderd euro per maand — de drempel is laag.

Geautomatiseerde kwetsbaarheidsanalyse en exploits

AI versnelt ook de technische kant van aanvallen. Traditioneel kostte het een crimineel uren om een netwerk te verkennen, kwetsbaarheden te identificeren en een exploit te schrijven. AI-tools doen dit in minuten: ze analyseren open poorten, identificeren versies van software met bekende lekken en stellen automatisch een aanvalsplan voor.

Opensourcefabricaten zoals AutoGPT en PentestGPT zijn gemaakt voor legitiem gebruik maar kunnen door kwaadwillenden worden ingezet. De kwaliteit van cyberaanvallen wordt daarmee minder afhankelijk van technische kennis van de aanvaller — wat de drempel voor aanvallen drastisch verlaagt.

Hoe u zich verdedigt tegen AI-aanvallen

De verdediging tegen AI-aanvallen vraagt om een combinatie van technische maatregelen en menselijk bewustzijn:

• Introduceer verificatieprotocollen voor ongewone verzoeken, ook als ze van 'de directeur' lijken te komen
• Train medewerkers om deepfakes te herkennen: vraag om een codewoord of bel terug via een bekend nummer
• Gebruik AI-gestuurde e-mailfilters die ook AI-gegenereerde phishing herkennen
• Houd systemen maximaal up-to-date om bekende kwetsbaarheden snel te dichten
• Beperk de publiek beschikbare informatie over uw organisatiestructuur
• Overweeg een EDR met AI-detectie die ook afwijkend gedrag herkent bij nieuwe aanvalsmethoden