Dankzij AI genereren we grappige memes of vatten we in een paar minuten een complexe whitepaper samen. Tegelijkertijd gebruiken cybercriminelen dezelfde techniek om hun fraudepogingen naar een totaal nieuw niveau te tillen. ,,Het menselijk beoordelingsvermogen zal binnen een jaar het verschil niet meer zien, tussen echt en fake,” stelt Dr. Martin Kraemer, Security Awareness Advocate bij KnowBe4.
Valse transacties ter waarde van meer dan 20 miljoen euro
Dat cybercriminelen allang geen rommelige phishing-mails vol spelfouten meer sturen legt hij uit met een voorbeeld uit Hong Kong. ,,Een groot conglomeraat werd opgelicht met 15 transacties naar 5 bankaccounts, ter waarde van meer dan 20 miljoen euro.” Hij legt uit wat er volgens het politierapport gebeurde: ,,Een finance-medewerker ontving een uitnodiging voor een videocall, om mee te luisteren met een meeting. In de meeting bespraken de CFO en andere financiële directeuren de actuele uitdagingen. Ze beschreven welke transacties er plaats moesten vinden.”
De medewerker zei zelf niets, maar luisterde mee. Na de meeting ontving hij een e-mail, met daarin de gewenste transacties nog eens op een rij. De afzender? De CFO van de organisatie. De medewerker deed de transacties. Wat bleek? Zowel de uitnodiging als de volledige videoconferentie bleken fake. Kraemer vertelt: ,,Het was een vooraf opgenomen deep fake, van zowel de CFO als de financiële directeuren. Ook de e-mail die na de meeting volgde was fake, zogenaamd van senior financieel directeuren.”
Hij legt uit hoe nieuwe AI-modellen tot deze nieuwe uitdagingen leiden: ,,De kwaliteit van geschreven tekst, audio én video is zo hoog dat het menselijk brein echt en fake niet langer kan onderscheiden. De tools die cybercriminelen hiervoor hebben leiden daardoor tot serieuze uitdagingen voor zowel grote als kleine bedrijven.”
Gijzelsoftware aanpakken? Train je mensen. Lees hier het artikel.
De oplossing: tools, training en het juiste beleid
Hoe je daar als bedrijf weerstand tegen biedt? KnowBe4 adviseert een combinatie van drie verdedigingstechnieken:
Tools voor technische verdediging
Een veilig beleid (voor transacties)
Training voor medewerkers
,,De juiste technische tools zouden vooraf phishing-mails moeten filteren, of valse videocall-uitnodigingen moeten blokkeren. Achteraf zou een veilig beleid voor transacties extra veiligheid moeten bieden, bijvoorbeeld door telefonisch contact tussen een medewerker en een financieel directeur voorafgaand aan transacties verplicht te stellen,” licht Kraemer toe.
Het meest effectief bij social engineering-fraude zoals in dit voorbeeld? Dat is volgens hem de training van medewerkers. ,,Cybercriminelen gebruiken een standaardschema, waarbij ze urgentie creëren (het is belangrijk voor de organisatie), autoriteit gebruiken (de CFO geeft een opdracht) en vervolgens escaleren, om toe te werken naar een actie die een beetje afwijkt van het gebruikelijke,” legt hij uit.
Binnen 1 jaar genereert AI video’s die niet meer als fake te herkennen zijn
1x per jaar trainen = niet trainen
Om medewerkers te trainen zouden organisaties meer moeten doen dan wat compliance verplicht stelt, vindt Kraemer: ,,Nederlandse en Europese wetgeving verplicht een jaarlijks training. Onderzoek wijst uit dat 1x per jaar trainen net zo effectief is als niet trainen. Het is dus niet effectief.” Hij legt uit dat herhaling belangrijk is, omdat learnings anders niet werken. ,,Laat staan dat je dan gedragsverandering bereikt.”
Die gedragsverandering, daar gaat het volgens hem om. ,,Bij KnowBe4 adviseren we organisaties korte maandelijkse trainen voor medewerkers, met wekelijkse trainingssnacks. Bovendien doen medewerkers mee aan phishing simulaties, waarmee ze werkelijk ‘exposed’ raken. Daar leren ze het meest van.”
Train je werknemers tegen gevaren van social engineering. Lees hier het artikel.
Easy, fun en voor de lange termijn
Gevraagd naar de kernwaarden van goede cyber-awareness en anti-social engineering-training somt hij op: ,,Het moet easy zijn en logisch werken, het moet fun zijn en voldoende diversiteit bieden en ten slotte moet het bijdragen aan engagement op de lange termijn.” Daarom ontwikkelde KnowBe4 bijvoorbeeld ‘The Insight Man’. Kraemer vertelt: ,,Dat is een dramaserie op Netflix-niveau, met inmiddels vijf seizoenen (en er komt een zesde!).” De serie vertelt het verhaal van een kwaadaardige indringer, die zich ontwikkelt tot een ethisch hacker die bedrijven helpt om zich te beschermen.
Met zo’n serie houd je medewerkers geboeid, bijvoorbeeld om te blijven leren over de ontwikkelingen in AI en nieuwe manieren waarop cybercriminelen het steeds slimmer en geavanceerder aanpakken.
