Organisaties in Nederland moeten zich voorbereiden op geavanceerdere cyberaanvallen door hun cybersecurity-policies verder aan te scherpen. Cybercriminelen maken steeds vaker gebruik van Business Email Compromise (BEC)-aanvallen om fraude te plegen of data te stelen. BEC-aanvallen zijn geloofwaardiger dan ooit; cybercriminelen maken handig gebruik van bijvoorbeeld generatieve AI om realistische phishing e-mails te schrijven. Een groot gevaar schuilt ook in deepfake-technologie die cybercriminelen in hun BEC-aanvallen kunnen gebruiken. Jelle Wieringa, Security Awareness Advocate bij KnowBe4, deelt zijn visie omtrent deze ontwikkelingen.
BEC is een social engineering-tactiek, waarbij een cybercrimineel uit naam van een medewerker van een organisatie een phishing-e-mail stuurt. Vaak is dit iemand met een hoge functie zoals de CEO of een HR-manager, die zogenaamd een urgent verzoek bij een medewerker neerlegt. Om ‘zo snel als mogelijk’ bepaalde data te delen of een geldbedrag op een rekeningnummer te storten. Cybercriminelen besteden veel tijd en aandacht aan deze e-mails. Door zaken zoals het e-mailadres, afzender, onderwerp en tone of voice zo realistisch mogelijk te maken.
AI helpt hen om te versnellen
Generatieve AI helpt hen dit proces versnellen. Met de juiste input en tools kunnen ze in een handomdraai geloofwaardige en foutloze e-mails produceren om medewerkers te manipuleren. BEC-aanvallen worden dus nog complexer om te herkennen. Omdat technologie om deepfakes te produceren steeds geavanceerder en toegankelijker wordt, verwacht ik dat we dit jaar een aanzienlijke groei gaan zien in BEC-aanvallen waarbij een cybercrimineel door AI gemaakte spraakberichten gebruikt in combinatie met email. Bijvoorbeeld door een realistisch voice-bericht te sturen naar een medewerker via WhatsApp om op die manier vertrouwelijke informatie te ontfutselen.
Technologie om deepfakes in real time te detecteren en stoppen is vandaag de dag nog niet volwassen. Organisaties moeten daarom maatregelen nemen om hun basishygiëne op orde te brengen. Denk aan e-mail filtering, multifactor authenticatie en het gebruik van bijvoorbeeld een wachtwoordmanager. Ze kunnen ook een ‘vier-ogenprincipe’ invoeren, waarbij minimaal twee personen goedkeuring dienen te geven voor het overboeken van bedragen boven een bepaalde hoogte. Tenslotte is het zeer aan te raden medewerkers te onderwijzen in de gevaren van BEC en deepfakes, zodat de kans kleiner wordt dat cybercriminelen die een BEC-aanval uitvoeren succesvol zijn.