De opkomst van deepfakes: een high-tech scam waartegen we ons low-tech kunnen verdedigen
Een succesvolle aanvalsstrategie bestaat meestal uit het uitbuiten van de zwakste schakel in de verdedigingsketen. Terwijl high-tech verdediging robuuster wordt, richten aanvallers zich steeds meer op mensen. Want waarom moeite doen om complexe beveiligingsmaatregelen te omzeilen als je gewoon een werknemer om de tuin kan leiden om geld over te maken?
Met deepfakes maken aanvallers gebruik van social engineering. Waar het enkele jaren geleden nog erg duidelijk was om te zien dat een filmpje met AI gecreëerd werd, zijn deepfakes tegenwoordig veel geloofwaardiger, en de tools om deepfakes te creëren worden steeds goedkoper en geavanceerder.
Het deepfake stappenplan
Aanvallers beginnen eerst met het maken van de deepfake. Ze identificeren hooggeplaatste personen binnen een organisatie, zoals CEO’s en CFO’s, en verzamelen informatie zoals openbare toespraken, posts op sociale media of zelfs uitgelekte gegevens om hun trekjes en stempatronen te begrijpen.
Nadien worden de gegevens verzameld met gemakkelijk verkrijgbare deepfake software. Ze manipuleren audio- of videosamples van het doelwit. De gegevens worden ingevoerd in deepfake software, die AI gebruikt om realistische audio of video te genereren die de stem, gezichtsuitdrukkingen en manieren van het doelwit nabootst.
Daarna is het tijd om over te gaan tot de echte actie: Dit gebeurt via e-mail spoofing, waarbij mails verstuurd worden vanuit adressen die vermomd zijn als de e-mail van de echte directeur. Gemanipuleerde audio wordt gebruikt voor telefoongesprekken waarbij de stem van de echte leidinggevende wordt nagebootst. Ook videogesprekken komen steeds vaker voor, hoewel technische beperkingen nog steeds vaker argwaan kunnen wekken.
In de boodschap formuleert de deepfake steeds een dringend verzoek. Zo wordt een gevoel van urgentie gecreëerd door te beweren dat een tijdgevoelige situatie een onmiddellijke overdracht van geld naar een nieuwe leverancier of partner vereist. Vaak wordt er een plausibele reden verzonnen om de gebruikelijke betalingsprotocollen te omzeilen. De oplichter geeft bankgegevens door die door hem of zijn medewerkers worden beheerd. De urgentie en de schijnbare autoriteit van de “leidinggevende” kunnen werknemers onder druk zetten om de frauduleuze betaling goed te keuren. Wanneer dit ook effectief gebeurt, is de aanval geslaagd.
Waarom deepfakes werken
Deepfakes worden steeds overtuigender gemaakt. Zeker wanneer de ontvanger alleen audio te horen krijgt via de telefoon, is het verschil met de echte leidinggevende moeilijk te horen. Daarnaast maken aanvallers gebruik van de autoriteit van de leidinggevende. Werknemers zijn van nature geneigd om verzoeken van hogere leidinggevenden te vertrouwen. Deze vooringenomenheid, in combinatie met de urgentie, leidt tot overhaaste beslissingen.
Deepfakes worden moeilijker te herkennen
Een deepfake kon je vroeger vaak eenvoudig verkennen vanwege onnatuurlijke bewegingen of bewerkingen. Maar de door AI gegenereerde inhoud wordt vandaag steeds realistischer. Aanvallers met technische basiskennis kunnen direct beschikbare AI-tools gebruiken om zeer overtuigende scams te maken die traditionele beveiligingsmaatregelen zoals e-mailfilters en perimeterbeveiliging volledig omzeilen. Deze aanvallen maken gebruik van menselijke kwetsbaarheden, zoals het vertrouwen, om toegang te krijgen tot informatie of systemen, en dit is waar de dreiging van AI momenteel ligt in het cybersecuritylandschap.
De menselijke firewall versterken
Om dit soort aanvallen te bestrijden, hebben we een extra verdedigingslaag nodig: het beschermen van het menselijke element binnen cyberbeveiliging met low-tech oplossingen. We moeten prioriteit geven aan bewustzijnstrainingen bij werknemers. Zo krijgen mensen de vaardigheden om schadelijke e-mails, zoals die gebruikt worden bij phishingpogingen, te herkennen en te vermijden.
Daarnaast moet het publiek bewust gemaakt worden van deepfakes. Er zijn duidelijke procedures nodig voor het verifiëren van de authenticiteit van informatie die via onbekende kanalen wordt ontvangen. Mensen in staat stellen verdachte activiteiten te melden versterkt onze verdediging nog meer. Deze low-tech oplossingen zijn vaak eenvoudiger te implementeren en kunnen de algehele beveiliging van een bedrijf verbeteren door de menselijke firewall te versterken.
Door robuuste technologische verdediging te combineren met effectieve, mensgerichte strategieën, kunnen we een uitgebreidere en veerkrachtigere houding opbouwen tegen het steeds veranderende bedreigingslandschap.
Dit artikel is geschreven door Mathias Caluwaerts, IT-BCP Solution Architect bij Orange Cyberdefense en valt buiten de verantwoordelijkheid van de redactie.