Steeds meer cybercriminelen gebruiken deepfakes om de inloggegevens van medewerkers te verkrijgen. Dat blijkt uit een nieuw rapport van VMware.

De organisatie sprak met 125 security- en incident response-professionals voor een jaarlijks onderzoek. Het Global Incident Response Threat Report werpt een licht op de staat van cybersecurity.

Twee op de drie professionals kwamen deepfakes tegen in een of meerdere aanvallen, een stijging van 13 procent in een jaar tijd. “Cybercriminelen gaan verder dan het gebruik van synthetische video en audio voor desinformatie-campagnes”, deelde Rick McElroy, principal cybersecurity strategist bij VMware. “Hun nieuwe doel is om deepfake-technologie te gebruiken om organisaties in gevaar te brengen en toegang te krijgen tot omgevingen.”

Deepfakes voor cybercrime

Het gebruik van deepfakes voor desinformatie is niet nieuw. In 2020 vervalsten activisten een toespraak van Sophie Wilmès, de toenmalige Belgische premier. Audio-opnamen en videobeelden van Wilmès werden bewerkt om uitstoot als oorzaak van COVID-19 te presenteren. In hetzelfde jaar verspreidden activisten een deepfake van een overleden journalist die de president van Mexico lijkt op te roepen om misdaad tegen te gaan.

Naast activisten gaan cybercriminelen steeds vaker met deepfakes te werk. “E-mail is de meest voorkomende verspreidingsmethode”, deelt McElroy. Volgens VMware gebruiken cybercriminelen deepfakes om de inloggegevens van personeel te verkrijgen. Denk aan een vervalste video van een leidinggevende die een medewerker vraagt om op een kwaadaardige website in te loggen.

Double extortion ransomware

Naast deepfakes kregen de respondenten te maken met geavanceerde ransomware-aanvallen. ‘Double extortion’ kwam in een kwart van alle ransomware-aanvallen voor. Tijdens een double extortion-aanval wordt een slachtoffer op meerdere manieren afgeperst. De aanvaller stopt niet bij het versleutelen van gegevens, maar probeert het slachtoffer bijvoorbeeld met privégegevens te chanteren.

Lateral movement

Verder benadrukt VMware het risico van ‘lateral movement’, waarbij cybercriminelen in meerdere systemen inbreken om zijwaarts (lateral) door een netwerk te bewegen. Lateral movement kwam in 25 procent van alle aanvallen voor. Script hosts werden tijdens 49 procent van aanvallen misbruikt. Ook file storage (46 procent), PowerShell (45 procent), communicatieplatforms (41 procent) en .NET (39 procent) waren populair.

VMware noemde Google Drive en OneDrive als voorbeelden van file storage. “De bevinding wijst op een zorgwekkend gebrek aan inzicht in cloudopslagplatforms”, stelt de organisatie. Chad Skipper, global security technologist bij VMware, benadrukte dat securityteams meer inzicht nodig hebben in de verplaatsing van workloads tussen systemen.

Tip: Data privacy: van noodzakelijke security-stap tot competitief voordeel