Microsoft waarschuwt voor phishing die zich verstopt achter AI-code
De aanval kwam eind augustus aan het licht en toont volgens Microsoft aan hoe snel cybercriminelen AI in hun werkproces integreren. Het bijzondere van de aanval was dan ook niet meteen de phishingmail op zich, wel de manier waarop de malafide bijlage was gemaskeerd.
Slachtoffers kregen ogenschijnlijk een PDF-bestand voorgeschoteld, maar in werkelijkheid ging het om een SVG-bestand (een soort tekstbestand voor vectorafbeeldingen) waarin JavaScript-code verstopt zat om logins te stelen en verkeer om te leiden naar phishingsites.
De code die gebruikt werd, zou volgens Microsoft duidelijke tekenen van AI vertonen. Het patroon was lang, omslachtig en doorspekt van zakelijke termen die eigenlijk nergens voor nodig zijn. Typisch iets wat een taalmodel (LLM) zou produceren, en blijkbaar ook ideaal als camouflage om malware af te leveren.
Phishing vermomd met AI
De aanvallers gebruikten een trucje waarbij de afzender en ontvanger van de phishingmail dezelfde zijn. De echte doelwitten echter staan onzichtbaar in bcc vermeld. Daardoor kunnen vaak al een eerste reeks beveiligingscontroles omzeild worden.
Verder oogt de mail legitiem, met een bestand dat gedeeld wordt via een gangbaar deelplatform. Open je de “PDF”, dan begint je computer het SVG-bestand te lezen. Aan de oppervlakte toont het bestand een zakelijk dashboard met grafiekjes, het soort content dat op het eerste zicht compleet normaal overkomt in een zakelijke setting en door beveiligingsmedewerkers en -programma’s zonder veel nadenken goedgekeurd wordt. Onderliggend echter zit de malafide code verstopt die slachtoffers naar netsites stuurt en browsergegevens steelt.
Wanneer de code van naderbij bekeken wordt, is het volgens Microsoft zoals gezegd duidelijk dat er AI aan te pas is gekomen. Dit zou namelijk exact de manier zijn waarop AI verdacht gedrag tracht te verpakken in een zakelijk sausje om zo iedereen om de tuin te leiden.
AI vs. AI
Microsoft kon de nieuwe phishingcampagne detecteren met behulp van eigen AI-analysetools, die tegenwoordig meer en meer een rol beginnen te spelen om phishing en andere cyberdreigingen aan te pakken. AI is namelijk beter dan bestaande systemen in staat om met name AI-dreigingen te detecteren, omdat AI een veel grondigere en meer diverse analyse kan maken die patronen ontmaskert en de ware bedoeling van code kan achterhalen, terwijl bestaande systemen eerder afgaan op bestaande patroonherkenning die tegenwoordig dankzij AI makkelijk te omzeilen is.
AI lijkt dus op verschillende fronten, zowel offensief als defensief, in sneltempo een steeds grotere rol te gaan spelen wat cyberveiligheid betreft. De vraag is vooral of AI op vlak van beveiliging snel genoeg te werk kan gaan om de malafide inzet van AI tijdig te detecteren. Is dat niet het geval, dan blijven we zelfs met de hulp van AI achter de feiten aanlopen, wat dan weer opnieuw het belang van gezond verstand benadrukt. Goed opletten wat je precies opent, blijft immers een van de meest efficiënte verdedigingen tegen phishing en andere cyberaanvallen.
