Organisaties moeten zich voorbereiden op cyberaanvallen op basis van deepfakes

Organisaties in Nederland moeten zich voorbereiden op geavanceerdere cyberaanvallen door hun cybersecurity-policies verder aan te scherpen, waarschuwt Jelle Wieringa van KnowBe4. Cybercriminelen maken steeds vaker gebruik van Business Email Compromise (BEC)-aanvallen om fraude te plegen of data te stelen.

Realistische phishing e-mails

BEC-aanvallen zijn geloofwaardiger dan ooit; cybercriminelen maken handig gebruik van bijvoorbeeld generatieve AI om realistische phishing e-mails te schrijven. Een groot gevaar schuilt ook in deepfake-technologie die cybercriminelen in hun BEC-aanvallen kunnen gebruiken.

Zogenaamd urgent verzoek

BEC is een social engineering-tactiek, waarbij een cybercrimineel uit naam van een medewerker van een organisatie een phishing-e-mail stuurt. Vaak is dit iemand met een hoge functie zoals de CEO of een HR-manager, die zogenaamd een urgent verzoek bij een medewerker neerlegt. Om ‘zo snel als mogelijk’ bepaalde data te delen of een geldbedrag op een rekeningnummer te storten.

Wieringa: “Cybercriminelen besteden veel tijd en aandacht aan deze e-mails. Door zaken zoals het e-mailadres, afzender, onderwerp, en tone of voice zo realistisch mogelijk te maken.

Vertrouwelijke informatie ontfutselen

“Generatieve AI helpt hen dit proces versnellen. Met de juiste input en tools kunnen ze in een handomdraai geloofwaardige en foutloze e-mails produceren om medewerkers te manipuleren. BEC-aanvallen worden dus nog complexer om te herkennen. Omdat technologie om deepfakes te produceren steeds geavanceerder en toegankelijker wordt, verwacht ik dat we dit jaar een aanzienlijke groei gaan zien in BEC-aanvallen.

Zo kan een cybercrimineel door AI gemaakte spraakberichten gebruiken in combinatie met e-mail. Bijvoorbeeld door een realistisch spraakbericht te sturen naar een medewerker via WhatsApp om op die manier vertrouwelijke informatie te ontfutselen”, legt Wieringa uit.

Goedkeuring door minimaal twee personen

“Technologie om deepfakes in real time te detecteren en stoppen is vandaag de dag nog niet volwassen”, waarschuwt Wieringa. “Organisaties moeten daarom maatregelen nemen om hun basishygiëne op orde te brengen. Denk aan e-mailfiltering, multifactor authenticatie en het gebruik van bijvoorbeeld een wachtwoordmanager.

Ze kunnen ook een ‘vier-ogenprincipe’ invoeren, waarbij minimaal twee personen goedkeuring dienen te geven voor het overboeken van bedragen boven een bepaalde hoogte. Tenslotte is het zeer aan te raden medewerkers te onderwijzen in de gevaren van BEC en deepfakes, zodat de kans kleiner wordt dat cybercriminelen die een BEC-aanval uitvoeren succesvol zijn.”