'AI maakt phishing professioneler, maar niet onzichtbaar'

Dit blijkt uit onderzoek van KnowBe4, dat is gespecialiseerd in securityawareness. Hierbij zijn recente phishingcampagnes geanalyseerd, verschillende herkenbare AI-sporen geïdentificeerd. Deze variëren van achtergebleven instructies van taalmodellen tot opvallende patronen in phishingcode en verborgen tekst die bedoeld is om beveiligingscontroles te misleiden.

Onderzoekers stuitten op een opmerkelijke fout van de aanvallers zelf. Een phishingmail bevat letterlijk een instructieregel die normaal gesproken alleen zichtbaar is voor degene die een AI-tool gebruikt, vergelijkbaar met een chatbot die uitlegt hoe een antwoord is opgebouwd voordat het daadwerkelijke antwoord volgt. De aanvallers hadden deze tekst per ongeluk laten staan. Voor beveiligingsonderzoekers vormt zo'n achtergebleven instructie een directe aanwijzing dat generatieve AI is ingezet bij het opstellen van de aanval.

Publieke platforms als springplank

Ook troffen onderzoekers phishingpagina's aan die vrijwel niet te onderscheiden waren van legitieme Microsoft- of Meta-omgevingen, maar die volledig waren gebouwd op publieke platforms waarmee gebruikers zonder programmeerkennis websites kunnen maken. Hierdoor kunnen aanvallers binnen korte tijd professionele phishingcampagnes opzetten en tegelijkertijd profiteren van het vertrouwen dat beveiligingssystemen hebben in deze legitieme platformen.

Ook in de onderliggende code van phishingwebsites vonden onderzoekers sporen van AI-gebruik. Waar cybercriminelen hun werkwijze normaal gesproken juist proberen te verbergen, bevatten sommige phishingpagina's uitgebreide commentaarregels die nauwkeurig uitlegden hoe de aanval in zijn werk ging.

In enkele gevallen beschreef de code zelfs de technieken die werden gebruikt om beveiligingscontroles te omzeilen. Dergelijke uitvoerige documentatie is kenmerkend voor door AI gegenereerde code, omdat taalmodellen vaak automatisch uitleg toevoegen aan de code die zij schrijven.

Verborgen gesprekken als afleidingstactiek

Een vierde voorbeeld betreft phishingmails waarin grote hoeveelheden verborgen tekst waren opgenomen die voor ontvangers onzichtbaar waren. Deze tekst bestond uit door AI gegenereerde gesprekken over alledaagse onderwerpen, zoals het bestellen van lunch of het verdelen van restjes eten. Het doel was om beveiligingsscanners te misleiden door de e-mail meer legitieme inhoud te geven.

Juist in deze verborgen gesprekken vonden onderzoekers meerdere aanwijzingen voor AI-gebruik, waaronder onnatuurlijk regelmatige tijdsintervallen tussen berichten en het herhaaldelijk noemen van het e-mailadres van de ontvanger in situaties waarin echte mensen dat niet zouden doen.

Professioneler, maar niet onzichtbaar

Volgens KnowBe4 laten deze voorbeelden zien dat AI phishingaanvallen weliswaar professioneler maakt, maar niet onzichtbaar. De nieuwe digitale vingerafdrukken bieden organisaties extra mogelijkheden om campagnes te detecteren, aanvallen aan elkaar te koppelen en hun dreigingsinformatie te verrijken.

"Veel organisaties gaan ervan uit dat AI phishingaanvallen moeilijker detecteerbaar maakt. Wat wij zien, is dat AI tegelijkertijd nieuwe sporen achterlaat. Die digitale vingerafdrukken bieden beveiligingsteams waardevolle inzichten om campagnes sneller te identificeren en te onderzoeken. Het speelveld verandert, maar dat geldt voor zowel aanvallers als verdedigers", aldus Jeewan Singh Jalal, Principal Cybersecurity Threat Research Manager bij KnowBe4.

Een technische analyse van de phishingcampagnes is hier te vinden.