Cybercriminelen maken phishing met AI overtuigender en persoonlijker

AI stelt aanvallers in staat om foutloze, realistisch ogende e-mails, berichten en websites te creëren die moeilijk te onderscheiden zijn van legitieme communicatie. Taalmodellen helpen bij het nabootsen van officiële bronnen, terwijl AI-gestuurde bots op sociale media en in chatapps slachtoffers langdurig benaderen om vertrouwen op te bouwen. Deze bots worden vaak ingezet voor romantische oplichting of frauduleuze investeringsaanbiedingen, waarbij ze gebruikmaken van AI-gegenereerde geluidsberichten of deepfakevideo’s om slachtoffers te misleiden. Ook worden stemmen en beelden van bekenden, zoals collega’s of bankmedewerkers, nagebootst om vertrouwen te wekken en gevoelige informatie te ontfutselen.

Legitieme diensten ingezet om detectie te vermijden

Een nieuwe tactiek is het misbruiken van legitieme diensten om detectie te ontlopen. Zo wordt het Telegraph-platform van Telegram, bedoeld voor het publiceren van lange teksten, gebruikt om phishingcontent te hosten. Daarnaast maken aanvallers gebruik van de vertaalfunctie van Google Translate, waarbij links worden gegenereerd die beveiligingsfilters omzeilen. Ook CAPTCHA’s, normaal bedoeld om bots tegen te houden, worden nu op phishingwebsites geplaatst. Doordat CAPTCHA’s vaak als betrouwbaar worden gezien, verlagen ze de kans dat de pagina als verdacht wordt gemarkeerd, terwijl slachtoffers na invullen alsnog naar malafide inhoud worden doorverwezen.

De focus van phishers verschuift van wachtwoorden naar onveranderbare gegevens, zoals biometrische kenmerken. Via frauduleuze websites die om camera-toegang vragen, bijvoorbeeld voor zogenaamde accountverificatie, worden gezichtsgegevens gestolen. Deze data kan worden gebruikt voor ongeautoriseerde toegang tot accounts of verkocht op het darkweb. Ook elektronische en handgeschreven handtekeningen zijn een doelwit, bijvoorbeeld via nepwebsites die platforms als DocuSign imiteren. Dit vormt een bedreiging voor de veiligheid en reputatie van bedrijven.

Operation ForumTroll

Eerder dit jaar ontdekte Kaspersky Operation ForumTroll, een gerichte phishingcampagne waarbij slachtoffers via gepersonaliseerde e-mails werden uitgenodigd voor een nepforum. De aanval richtte zich op mediabedrijven, onderwijsinstellingen en overheidsorganisaties in Rusland en maakte misbruik van een onbekende kwetsbaarheid in Google Chrome. De gebruikte links waren kort actief en leidden na uitschakeling van de exploit naar de echte forumwebsite, waardoor detectie moeilijk was.

Olga Altukhova, beveiligingsexpert bij Kaspersky, benadrukt dat phishing door AI en nieuwe ontwijkingstechnieken bijna niet meer te herkennen is: “Aanvallers gaan verder dan het stelen van wachtwoorden – ze richten zich op biometrische gegevens en handtekeningen, met mogelijk langdurige gevolgen. Gebruikers moeten extra waakzaam zijn, vooral omdat vertrouwde platforms zoals Telegram en Google Translate worden misbruikt.”

Maatregelen

Om phishing te voorkomen, adviseert Kaspersky om ongevraagde berichten en links altijd te controleren, nooit 2FA-codes te delen en camera-toegang aan onbekende websites te weigeren. Daarnaast helpt beveiligingssoftware zoals Kaspersky Next (voor bedrijven) of Kaspersky Premium (voor particulieren) om aanvallen te blokkeren. Een uitgebreid rapport over deze ontwikkelingen is beschikbaar op Securelist.com.