Bereid je voor op cyberaanvallen met deepfakes
Donald Trump die op hardhandige wijze wordt gearresteerd, de Paus die, gekleed in een moderne gewatteerde jas, er net zo bijloopt als een rapper of het olijke duo Obama en Merkel dat kraaiend van plezier over het strand rent. Allemaal recente voorbeelden van foto’s die zó echt lijken dat je bijna gaat geloven dat ze dat ook zijn. En dan heb ik het nog ‘maar’ over afbeeldingen.
AI-technologie van vandaag de dag is zo geavanceerd dat je het zelfs kunt toepassen om artiesten muziek te laten uitbrengen die ze zelf niet eens hebben ingezongen, zoals Drake en The Weeknd overkwam. Maar de meest fascinerende en tegelijkertijd beangstigende vorm van deepfakes is wanneer video en spraak samenkomen. Zeg nou zelf: ook al beweert Morgan Freeman dat hij Morgan Freeman niet is, geloof jij hem? Waar technologie met de beste bedoelingen kan worden gebruikt, geldt het tegenovergestelde net zo goed. Ook cybercriminelen zien potentie in deepfakes-technologie en zetten het steeds vaker in om toegang te krijgen tot gevoelige informatie van mensen en organisaties.
Cybercriminelen passen deepfakes toe in cyberaanvallen
Cybercriminelen passen de kunst van social engineering toe: met behulp van phishing-e-mails manipuleren ze hun slachtoffers en verleiden ze hen op malafide linkjes te klikken, bestanden te downloaden, gevoelige gegevens te delen of bedragen over te maken. Een populaire vorm van phishing is een Business Email Compromise (BEC)-aanval waarin de cybercrimineel zich in een e-mail voordoet als een collega met een hoge functie zoals de CEO. En in die e-mail de medewerker vraagt om zo snel als mogelijk informatie te delen. Vanwege de autoriteit van de persoon en de haast die erbij geboden is, is er vaak weinig voor nodig om een medewerker zo ver te krijgen te voldoen aan dat verzoek.
Stel je voor dat een cybercrimineel dit ook kan doen in de vorm van een spraakmemo die hij de medewerker als Whatsapp-berichtje stuurt. Of dat hij een spoedoverleg inschiet en even later in een videocall als de CEO verschijnt. Hij ziet eruit als de CEO, praat als de CEO, maar hij is het niet. Waar dit een ver-van-ons-bed-show leek, is de kans steeds groter dat cybercriminelen deepfake-technologie toepassen om hun misleidende verhaal nog geloofwaardiger te maken. Uit onderzoek van KnowBe4 onder 500 Nederlandse consumenten blijkt dat de meerderheid (61%) inschat dat ze niet in staat zijn om deepfakes te herkennen. En 67% denkt ook dat het best aannemelijk is dat iemand hem of haar kan beïnvloeden. Het is daarom niet de vraag óf, maar wanneer een medewerker trapt in de deepfakes-val van een cybercrimineel.
Creëer een gezond gevoel van wantrouwen en werk aan je security-cultuur
Dat betekent niet dat je je medewerkers niet kunt helpen om zichzelf te beschermen tegen dit soort nieuwe dreigingen. Jammer genoeg is de technologie om deepfakes in real time te detecteren en te stoppen nog niet volwassen genoeg. Daarom is het des te belangrijker dat je medewerkers zich bewust zijn van de gevaren van het internet en (1) bekend zijn met het verschijnsel deepfakes en (2) weten hoe ze hoe ze de manipulatietechnieken van cybercriminelen kunnen doorgronden. Dit met als doel dat medewerkers bij een ongewoon verzoek meteen een gezond gevoel van wantrouwen krijgen. Dat vereist wel een verandering in gedrag. Iets dat mensen alleen bereiken als ze zich continu bewust zijn van de risico’s van hun eigen handelen.
We moeten de rol van cybersecurity-software niet overschatten. En ja, natuurlijk speelt technologie een cruciale rol in de bescherming tegen datalekken. Maar dat geldt net zo goed voor educatie. Door medewerkers structureel te onderwijzen in de tactieken die cybercriminelen gebruiken, creëer je een gezonde security-cultuur, die elke organisatie nodig heeft om zich te verdedigen in een steeds verder evoluerend cyberlandschap.
Meer informatie op www.knowbe4.com
