AI-aangedreven sociale engineering: opnieuw uitgevonden bedreigingen

Cyberbeveiliging
AI-Powered Social Engineering

De basis voor sociale engineeringaanvallen – mensen manipuleren – zijn in de loop der jaren misschien niet veel veranderd. Het zijn de vectoren – hoe deze technieken worden ingezet – die evolueren. En zoals de meeste industrieën tegenwoordig, versnelt AI de evolutie.

Dit artikel onderzoekt hoe deze veranderingen van invloed zijn op de zaken en hoe leiders van cybersecurity kunnen reageren.

Impersonatieaanvallen: een vertrouwde identiteit gebruiken

Traditionele vormen van verdediging worstelden al om sociale engineering op te lossen, de ‘oorzaak van de meeste datalekken’ volgens Thomson Reuters. De volgende generatie AI-aangedreven cyberaanvallen en dreigingsacteurs kunnen deze aanvallen nu lanceren met ongekende snelheid, schaal en realisme.

De oude manier: siliconenmaskers

Door zich voor te doen als een Franse minister, konden twee fraudeurs meer dan € 55 miljoen halen uit meerdere slachtoffers. Tijdens videogesprekken zou men een siliconenmasker van Jean-Yves Le Drian dragen. Om een ​​geloofslaag toe te voegen, zaten ze ook in een recreatie van zijn ministeriële kantoor met foto’s van de toenmalige president François Hollande.

Naar verluidt werden meer dan 150 prominente cijfers gecontacteerd en vroegen om geld voor losgeldbetalingen of anti-terreuractiviteiten. De grootste overdracht was € 47 miljoen, toen het doel werd aangespoord om te handelen vanwege twee journalisten in Syrië.

The New Way: Video Deepfakes

Veel van de verzoeken om geld zijn mislukt. Siliciummaskers kunnen tenslotte de look en het beweging van de huid op een persoon volledig repliceren. AI Video Technology biedt een nieuwe manier om deze vorm van aanval op te voeren.

We zagen dit vorig jaar in Hong Kong, waar aanvallers een video -diepgang van een CFO creëerden om een ​​zwendel van $ 25 miljoen uit te voeren. Ze nodigden vervolgens een collega uit voor een videoconferentie -oproep. Dat is waar de Deepfee CFO de werknemer overtuigde om de overdracht van meerdere miljoenen naar de fraudeursrekening te maken.

Live Calls: Voice Phishing

Voice phishing, vaak bekend als Vishing, gebruikt live audio om voort te bouwen op de kracht van traditionele phishing, waarbij mensen worden overtuigd om informatie te geven die hun organisatie in gevaar brengt.

De oude manier: frauduleuze telefoontjes

De aanvaller kan zich voordoen als iemand, misschien een gezaghebbende figuur of uit een andere betrouwbare achtergrond, en een telefoongesprek voeren naar een doelwit.

Ze voegen een gevoel van urgentie toe aan het gesprek en vragen om een ​​betaling onmiddellijk te worden gedaan om negatieve resultaten te voorkomen, zoals het verliezen van toegang tot een account of het missen van een deadline. Slachtoffers verloren een mediane $ 1.400 aan deze vorm van aanval in 2022.

De nieuwe manier: stem klonen

Traditionele Vishing Defense -aanbevelingen zijn onder meer het vragen van mensen om niet op links te klikken die met verzoeken worden geleverd en de persoon terugbellen op een officieel telefoonnummer. Het is vergelijkbaar met de nul vertrouwensbenadering van nooit vertrouwen, verifieer altijd. Natuurlijk, wanneer de stem van iemand komt die de persoon kent, is het natuurlijk voor vertrouwen om alle verificatieproblemen te omzeilen.

Dat is de grote uitdaging met AI, met aanvallers die nu spraakklonende technologie gebruiken, vaak afkomstig uit slechts enkele seconden van een doelwit. Een moeder kreeg een telefoontje van iemand die de stem van haar dochter had gekloond en zei dat ze zou worden ontvoerd en dat de aanvallers een beloning van $ 50.000 wilden.

Phishing -e -mail

De meeste mensen met een e -mailadres zijn een loterijwinnaar geweest. Ze hebben tenminste een e -mail ontvangen die hen vertellen dat ze miljoenen hebben gewonnen. Misschien met een verwijzing naar een koning of prins die mogelijk hulp nodig heeft om de fondsen vrij te geven, in ruil voor een voorafgaande vergoeding.

De oude manier: spray en bid

Na verloop van tijd zijn deze phishing -pogingen om meerdere redenen veel minder effectief geworden. Ze worden in bulk gestuurd met weinig personalisatie en veel grammaticale fouten, en mensen zijn zich meer bewust van ‘419 zwendel’ met hun verzoeken om specifieke geldoverdrachtservices te gebruiken. Andere versies, zoals het gebruik van nep -inlogpagina’s voor banken, kunnen vaak worden geblokkeerd met behulp van webbeveiliging en spamfilters, samen met het opleiden van mensen om de URL nauwkeurig te controleren.

Phishing blijft echter de grootste vorm van cybercriminaliteit. Het Internet Crime Report 2023 van de FBI vond phishing/spoofing de bron van 298.878 klachten. Om dat een context te geven, hebben de op één na hoogste (persoonlijke gegevensbreuk) 55.851 klachten geregistreerd.

De nieuwe manier: realistische gesprekken op schaal

AI staat bedreigingsactoren toe toegang te krijgen tot woord-perfecte tools door LLMS te benutten, in plaats van te vertrouwen op basistalingen. Ze kunnen ook AI gebruiken om deze op schaal te starten aan meerdere ontvangers, met aanpassing die de meer gerichte vorm van speer -phishing mogelijk maakt.

Bovendien kunnen ze deze tools in meerdere talen gebruiken. Deze openen de deuren voor een breder aantal regio’s, waar doelen mogelijk niet zo bewust zijn van traditionele phishing -technieken en wat te controleren. De Harvard Business Review waarschuwt dat ‘het hele phishingproces kan worden geautomatiseerd met behulp van LLMS, wat de kosten van phishing -aanvallen met meer dan 95% verlaagt en tegelijkertijd gelijke of grotere slagingspercentages bereikt.’

Opnieuw uitgevonden bedreigingen betekenen opnieuw uitvindende verdedigingen

Cybersecurity is altijd in een wapenwedloop geweest tussen verdediging en aanval. Maar AI heeft een andere dimensie toegevoegd. Nu hebben doelen geen manier om te weten wat echt is en wat nep is wanneer een aanvaller probeert zijn te manipuleren:

  • Vertrouwendoor zich voor te doen aan een collega en een werknemer te vragen om beveiligingsprotocollen te omzeilen voor gevoelige informatie
  • Respect voor autoriteit Door zich voor te doen als CFO van een werknemer en te bevelen om een ​​dringende financiële transactie te voltooien
  • Angst Door een gevoel van urgentie te creëren en paniek betekent dat de werknemer niet denkt te overwegen of de persoon met wie ze spreken echt is

Dit zijn essentiële delen van de menselijke natuur en instinct die zich gedurende duizenden jaren hebben ontwikkeld. Natuurlijk is dit niet iets dat kan evolueren met dezelfde snelheid als de methoden van kwaadaardige acteurs of de voortgang van AI. Traditionele vormen van bewustzijn, met online cursussen en vragen en antwoorden, worden niet gebouwd voor deze AI-aangedreven realiteit.

Dat is de reden waarom een ​​deel van het antwoord – vooral terwijl technische bescherming nog steeds inhaalt – is om uw personeelservaring gesimuleerde sociale engineeringaanvallen te maken.

Omdat uw werknemers zich misschien niet herinneren wat u zegt over het verdedigen tegen een cyberaanval wanneer deze zich voordoet, maar ze zullen zich herinneren hoe het hen voelt. Zodat wanneer een echte aanval plaatsvindt, ze zich bewust zijn van hoe ze moeten reageren.


Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Europese pixel 9a prijskaartjes oppervlak, samen met een releasedatum

Alexa’s AI -upgrade kan Claude Integration, Maandelijks abonnement omvatten

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]