Nieuw onderzoek toont toename gebruik generatieve AI in fraude
De afgelopen maanden is meerdere keren gewaarschuwd over hoe generative artificiële intelligentie (AI) de aard en mate van cybercriminalitiet gericht op bedrijven verandert. CEO-fraude met deepfakes en door AI gegenereerde spearphishing e-mails zijn slechts enkele voorbeelden van hoe bestaande vormen van fraude gevaarlijker gemaakt worden door toepassing van nieuwe technieken. Nieuw onderzoek van Signicat toont aan hoe AI-gedreven identiteitsfraude de afgelopen jaren is toegenomen.

Het onderzoek van Signicat is gebaseerd op een survey van 1206 besilssingsmakers op het gebied van fraude binnen de financiële sector in België, Duitsland, Nederland, Noorwegen, Spanje, het Verenigd Koninkrijk en Zweden. En de cijfers liegen er niet om: de respondenten melden een toename van 80% in pogingen tot fraude. Het gebruik van deepfakes, valse identiteiten die aangemaakt worden met behulp van AI, of personen die zich voordoen als bestaande personen met behulp van AI, vormt de laatste drie jaar 6,5% van deze fraude. Dat is een toename van 2.137%.
Het toont aan hoe generatieve AI het landschap van fraude verandert. Traditioneel kan fraude worden opgesplitst in twee verschillende vormen: aanvallen op een groot aantal individuen waarin relatief weinig moeite wordt gedaan om de aanval op het individu aan te passen, en meer gespecialiseerde aanvallen waarin doelgericht over langere tijd een band wordt opgebouwd met het doelwit. Deze meer doelgerichte vorm van fraude kost meer tijd, en vereist meer expertise.
Maar generatieve AI verandert deze dynamiek. Eerder onderzoek laat zien hoe publiek beschikbare large language models (LLMs) gebruikt kunnen worden in spearphishing, fraude met phishing-e-mails die specifiek gericht op het individu worden geschreven op basis van publiek beschikbare informatie, om zo de slagingskans te verhogen. De door de LLMs geschreven e-mails hadden niet alleen een vergelijkbare slagingskans als e-mails die geschreven waren door menselijke experts, maar de LLMs waren veel sneller in het aanmaken van deze e-mails.
Toegankelijk
Generatieve AI geeft niet alleen meer mogelijkheden tot cybercriminaliteit, het maakt deze vorm van criminaliteit ook veel toegankelijker. Technische kennis en toegang tot hardware zijn twee belangrijke drempels voor fraude. Door gebruik van AI wordt de eerste weggenomen. Doordat AI steeds efficiënter wordt, met het draaien van AI op minder krachtige hardware als een belangrijk speerpunt in technologische ontwikkelingen, zijn ook steeds minder krachtige computers nodig. Een tekenend voorbeeld hiervan is de open source software voor het veranderen van gezichten op een webcam feed.
Ook criminele netwerken die specialiseren in Fraud-as-a-Service (FaaS) hebben generatieve AI ontdekt. Al langer is de trend onder criminelen die over de juiste kennis beschikken om niet langer zelf de aanvallen uit te voeren, maar om software pakketten te ontwikkelen en die vervolgens te verkopen. Hierdoor verdienen ze nog steeds geld met criminele activiteiten, maar zijn ze moeilijker te vervolgen. Met generatieve AI kan deze software sneller worden ontwikkeld, en kan ook software worden ontwikkeld met een meer gevarieerde output.
Mutaties
En dat is niet alleen een probleem met phishing. AI kan immers ook helpen met het programmeren, en maakt daarin geen onderscheid tussen onschuldige programma's en malware, kwaadaardige software die gebruikt kan worden om toegang te krijgen tot gesloten netwerken of voor ransomware aanvallen. Dit betekent niet alleen dat er meer malware rondzwerft op het internet, maar ook dat er meer variatie is in deze software.
En dat vormt nieuwe uitdagingen voor de cyberveiligheid. Traditionele antivirussoftware detecteert bedreigingen door te kijken naar specifieke tekst strings of programmeercode in de software. Maar doordat malware een grotere variatie in de code mogelijk maakt, wordt het moeilijker voor antivirussoftware om bij te houden welke schadelijke software geblokkeerd moet worden. Hierdoor wordt de kans dat malware door de mazen van het net glipt groter.
Daarnaast bestaat ook het gevaar van polymorphische malware, software die zichzelf zonder input van buitenaf kan aanpassen. Dit is vergelijkbaar met een bacterie die muteert om resistent te worden tegen antibiotica – de malware kan geprogrammeerd worden om de eigen code aan te passen tijdens de verspreiding, waardoor detectie moeilijker wordt.
Dit leidt tot een wapenrace tussen de malware en de software die malware moet detecteren. Door toenemende variatie in malware en malware die zichzelf kan muteren is het nodig om antivirussoftware te ontwikkelen die niet alleen code kan lezen maar deze ook kan analyseren. Op deze manier kan de software bedreigingen detecteren zonder dat het eerst verteld moet worden wat de specifieke bedreigingen zijn. Veel ontwikkelaars van bedreigingssoftware implementeren daarom AI die de programmeercode van software kan analyseren om zo te bepalen wat het doel is van de software.
Blijf op de hoogte
Het onderzoek van Signicat toont aan hoe het landschap omtrent cybercriminaliteit en fraude in rap tempo verandert door toepassing van generatieve AI. Aanvallen worden geraffineerder, kunnen sneller worden uitgevoerd en vereisen minder technische kennis en middelen. Daardoor zal de trend van meer aanvallen, en meer aanvallen die generatieve AI gebruiken, de komende jaren alleen maar toenemen.
Het is daarom belangrijk om op de hoogte te blijven van de laatste ontwikkelingen. De Nederlandse overheid helpt hierbij, vooral via het Digital Trust Center (DTC). Het DTC biedt verschillende trainingen die helpen bij het herkennen van phishing en fraude, en tools die kunnen helpen om in kaart te brengen hoe het gesteld is met de cyberveiligheid van uw organisatie, en waar de verbeterpunten liggen.
Het versterken van de cyberveiligheid van Nederlandse bedrijven is een van de vijf speerpunten van de Strategie Digitale Economie. Deze verantwoordelijkheid is vastgelegd in de Europese NIS2-richtlijn, en wordt in Nederland verder uitgewerkt in de Cyberbeveiligingswet. Deze wet- en regelgeving definieert de verantwoordelijkheden van de overheid en bedrijven op het gebied van cyberveiligheid. Ook bedreigingen van de cyberveiligheid op basis van generatieve AI kunnen met behulp van deze nieuwe richtlijnen beter bestreden worden.