Phishing in een nieuw jasje

  • Auteur: Mick Mooren
Phishing, dé manier van cybercriminelen om mensen te misleiden en gevoelige informatie te stelen. Met de opkomst van deepfake-technologie en voice theft wordt phishing niet alleen moeilijker te herkennen, maar ook een stuk persoonlijker en geraffineerder. In deze blog lichten we toe wat deze technieken inhouden, hoe ze werken en vooral: hoe we onszelf en onze organisatie kunnen beschermen.

Wat zijn deepfakes en voice theft?

Deepfakes zijn kunstmatige video’s (of afbeeldingen) die met behulp van AI zijn gemaakt. Ze lijken authentiek, maar zijn volledig gesimuleerd. Denk aan een video waarin de CEO aankondigt dat je een vertrouwelijke transactie moet uitvoeren en dit verder aan niemand mag vertellen. Voice theft, letterlijk vertaald ‘stemdiefstal’, is het nabootsen van iemand zijn of haar stem met behulp van AI. Met slechts een paar minuten aan geluidsopnamen, zoals een video of een spraakbericht, is het mogelijk een overtuigende imitatie van een stem na te maken.

Hoe gebruiken cybercriminelen dit?

Allereerst, kunnen cybercriminelen nepopdrachten van een werkgever maken, oftewel ‘CEO-fraude’. Een deepfake-video of een nagebootste stem van de CEO kan medewerkers overtuigen om gevoelige gegevens te delen of geld over te maken naar een ‘vertrouwd’ rekeningnummer.

Hierbij kan een hacker een deepfake gebruiken om tijdens een online meeting een soort ‘masker’ op te zetten die heel erg lijkt op het gezicht van een leidinggevende of een (directe) collega.

Daarnaast kunnen cybercriminelen ook ‘gestolen’ stemmen gebruiken om meer persoonlijk gerichte aanvallen uit te voeren. Zo kunnen ze je doen laten denken dat een familielid, vriend of collega iets van je nodig heeft, zoals geld of inloggegevens.

Voice theft kan ook worden gekoppeld aan e-mails of sms-berichten, waarbij een slachtoffer eerst een bericht ontvangt en daarna wordt gebeld door een nagebootste stem die het verhaal ‘verifieert’.

Waarom is dit zo effectief?

Mensen vertrouwen instinctief op visuele en auditieve signalen. Als iets er echt uitziet of klinkt, twijfelen we minder snel. Wanneer mensen iemand (denken te) zien of horen die ze kennen, zijn ze vaak minder alert. Daarbij is de kwaliteit van deepfakes en stemimitaties tegenwoordig zo hoog dat ze lastig zijn te onderscheiden van de werkelijkheid.

Net zoals bij ‘traditionele’ phishing, gebruiken cybercriminelen hierbij urgentie en autoriteit. Een stem die zegt: “Dit moet nu gebeuren!” kan genoeg zijn om iemand over te halen.

Wat kunnen we hiertegen doen?

  1. Vertrouw niet blind op video’s, stemmen of andere vormen van communicatie. Als het verdacht lijkt, zeg dan dat je de persoon later terugbelt en gebruik vervolgens de legitieme contactgegevens van de desbetreffende persoon.
  2. Zorg ervoor dat medewerkers weten hoe ze deepfakes en voice theft kunnen herkennen, door hier trainingen in te geven. Regelmatige phishing-simulaties kunnen ook hierbij helpen.
  3. Gebruik sterke beveiligingsmaatregelen voor gevoelige processen, zoals het goedkeuren van betalingen, en maak gebruik van het vier-ogen principe.
  4. Maak gebruik van software die deepfakes kan detecteren. Deze technologieën worden steeds beter in het onderscheiden van echte en nagemaakte beelden of geluiden.
  5. Criminelen kunnen stemmen en video’s verzamelen van openbare profielen. Wees dus voorzichtig met wat je deelt op social media.

 

Deepfakes en voice theft brengen phishing naar een nieuw niveau. Het is een reminder dat cybersecurity niet alleen draait om technologie, maar ook om ‘security awareness’ onder de medewerkers. Door voorzorgsmaatregelen te nemen en medewerkers goed te trainen, kun je de impact van deze dreigingen minimaliseren.

Defenced kan hierbij ondersteuning bieden, middels phishing detectie door het Security Operations Center (SOC) en/of awareness trainingen voor medewerkers door het Defenced Risk & Awareness Team. Want digitale veiligheid is niet iets om af te wachten, maar iets om nú aan te pakken.

Start met een goed gesprek.