In het nieuws dook recent een schokkend verhaal op waarin een bezorgde moeder een verontrustend telefoontje ontvangt. Nadat ze een oproep van een onbekend nummer beantwoordde, hoorde de moeder haar dochter smeken om hulp gevolgd door een mannenstem die erop aandrong om vijftigduizend dollar over te maken om haar dochter vrij te kopen. Maar wat de moeder niet wist, is dat haar dochter helemaal niet ontvoerd was. Er was namelijk AI voice cloning toegepast waarbij AI is gebruikt om de stem van de dochter na te bootsen om zo de moeder te misleiden. Gelukkig kwam de moeder er op tijd achter, en bleef een betaling achterwege.
Reële dreiging of filmscenario
Dit verhaal lijkt het eerder op een filmscenario dan op een reële dreiging. Immers, hoeveel mensen kunnen zomaar vijftigduizend euro overmaken zonder dat hun bank ingrijpt? Het lijkt een onwaarschijnlijke situatie, vooral omdat je snel kunt achterhalen of het verzoek legitiem is door simpelweg het telefoonnummer van je dochter te bellen.
De opkomst van AI voice cloning heeft echter wel de potentie om een nu al populaire fraudetechniek nog gevaarlijker te maken, namelijk CxO-fraude (fraude gericht op topmanagers in organisaties). Een recent voorbeeld van deze techniek zagen we bij de Gemeente Alkmaar, waarbij meer dan tweehonderdduizend euro werd betaald aan een nepdirecteur. Hoewel het voorbeeld met de ontvoerde dochter wellicht onwaarschijnlijk lijkt, zijn er in dit soort scenario’s veel meer mogelijkheden voor cybercriminelen.
AI: de upgrade voor CxO-fraude
Tot nu toe werd er bij CxO-fraude voornamelijk gebruik gemaakt van Business Email Compromise (BEC) aanvallen, waarbij de criminelen om het telefoonnummer van het slachtoffer vragen. Zo verkrijgen ze bijvoorbeeld het telefoonnummer van een medewerker van de financiële afdeling en doen zich vervolgens via WhatsApp voor als de CFO of een andere leidinggevende. Door een bijbehorende profielfoto te gebruiken, lijkt het net alsof je daadwerkelijk met de leidinggevende communiceert. Vervolgens vragen de criminelen om een betaling uit te voeren of andere vertrouwelijke informatie te verstrekken. Omdat telefonische fraude vaak buiten de bedrijfssystemen plaatsvindt, is het moeilijker te detecteren en te voorkomen dan e-mailfraude.
Bij AI voice cloning heeft een cybercrimineel alleen een korte stemopname van bijvoorbeeld de CFO nodig. Met behulp van social media is het relatief eenvoudig om zo’n opname te vinden, vooral van topmanagers die regelmatig publiekelijke toespraken houden.
Bij grote organisaties hebben niet alle medewerkers elkaars telefoonnummer. Mensen zijn ook steeds alerter geworden op phishing-e-mails. Als deze aanvallen zich nu verplaatsten naar telefoongesprekken en mogelijk zelfs videobellen in de toekomst, wordt het veel moeilijker om niet in de val te trappen. Want wanneer je met de CFO aan de lijn zit, moet je sterk in je schoenen staan om er tegenin te gaan. En het moet nu gebeuren volgens de CFO, waarbij je met een mailtje nog tijd hebt om te gaan twijfelen dwingt een belletje je om direct over te gaan tot actie.
Beschermen tegen CxO-fraude met AI voice cloning
Wat kun je doen om je organisatie te beschermen tegen deze vorm van CxO-fraude? De maatregelen zijn vergelijkbaar met die voor reguliere CxO-fraude. Implementeer het “vier-ogen principe” waarbij een tweede persoon betrokken is bij de goedkeuring van betalingen. Verifieer altijd bedragen boven een bepaalde drempel en gebruik het telefoonnummer uit het interne adresboek om een leidinggevende om bevestiging te vragen.
Het is het beste om deze maatregelen technisch te implementeren, zodat een handeling in bijvoorbeeld het facturatiesysteem pas mogelijk is nadat een tweede persoon het heeft goedgekeurd. Criminelen proberen namelijk vaak haast te creëren om te voorkomen dat er tijd is voor verificatie via normale kanalen.
Het kat-en-muisspel in cybersecurity
Gelukkig zijn er ook steeds meer AI-detectietools beschikbaar die kunnen helpen bij het detecteren van CxO-fraude. Het is waarschijnlijk dat in de toekomst dergelijke tools ook voor audio- en videodetectie zullen verschijnen. Maar, zoals altijd in de wereld van cybersecurity, zullen criminelen nieuwe tactieken blijven ontwikkelen, en het is een voortdurende strijd om deze te bestrijden. Een waar kat-en-muisspel.
Voor nu kunnen we in ieder geval met vrij veel zekerheid zeggen dat we vaker CxO-fraude zullen zien waarbij AI wordt ingezet. Deze aanvallen zijn mogelijk effectiever dan de bestaande vormen van fraude. En net zoals phishing-e-berichten zich hebben ontwikkeld van e-mails van prinsen uit verre landen tot Whatsappjes van familie, zal AI-gebaseerde fraude zich ook ontwikkelen. En wanneer een bepaalde aanpak succesvol blijkt volgt kopieergedrag. We moeten dan ook blijven leren en ons aanpassen aan deze nieuwe realiteit in de wereld van cyberdreigingen.
Dit is een ingezonden bijdrage van Computest. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
16 uur geleden
