Wat is AI-aangedreven phishing en hoe LLM's de phishingrisico's vergroten
- Key Takeaways:
-
Wat is AI-gestuurde phishing?
Het is een cyberaanvalsmethode waarbij generatieve AI-tools worden gebruikt om hyperrealistische en gepersonaliseerde phishing-e-mails te maken. -
Hoe verbetert AI de effectiviteit van phishing?
Door op grote schaal grammaticaal correcte, gecontextualiseerde en overtuigende boodschappen te genereren. -
Waarom zijn AI-aanvallen moeilijker te detecteren?
Ze omzeilen de traditionele patroonherkenningstechnieken door de structuur, toon en woordenschat te variëren. -
Wat zijn de potentiële risico's voor organisaties?
Hogere klikfrequenties, inbreuk op inloggegevens en laterale verplaatsing door één enkele inbreuk. -
Welke detectiestrategieën zijn effectief tegen AI-phishing?
Gedragsgebaseerde analyses, kanaaloverschrijdende correlatie en monitoring van gebruikersactiviteit. -
Hoe helpt Stellar Cyber bij het detecteren van AI-gestuurde phishing?
Door phishingindicatoren over e-mail-, eindpunt- en netwerklagen heen te correleren binnen het Open XDR-platform.
Hoe AI en machine learning de cyberbeveiliging van ondernemingen verbeteren
Alle punten in een complex dreigingslandschap met elkaar verbinden
Ervaar AI-aangedreven beveiliging in actie!
Ontdek de geavanceerde AI van Stellar Cyber voor onmiddellijke detectie en reactie op bedreigingen. Plan vandaag nog uw demo!
De weg bereiden voor AI-phishing: klikfrequenties worden bepaald door twee hefbomen
Phishing-aanvallen hebben – zoals veel aanvallen binnen cybersecurity – een circulaire levensduur. Een bepaalde stijl van phishing-aanvallen wordt bijzonder populair en succesvol, het komt onder de aandacht van beveiligingspersoneel en medewerkers worden getraind in de bijzonderheden ervan. En toch is er geen bevredigende conclusie: in tegenstelling tot een softwarepatch raken werknemers nog steeds betrapt, vaak ondanks jarenlange rolervaring en phishing-training.
Wanneer we dieper willen graven, is de algemene klikfrequentie de populairste optie om de mate van paraatheid van een organisatie tegen phishing te beoordelen. Dit biedt een eenvoudige momentopname van wie voor de intern vervaardigde nep-phishing-e-mail is gevallen. Deze maatstaf is echter hardnekkig variabel. En wanneer CISO's op zoek zijn naar bewijs dat hun tijd- en middelenintensieve phishing-training werkt, kunnen assessmentleiders zelfs in de verleiding komen om de complexiteit van deze nep-phishing-aanvallen te verminderen, op zoek naar een lagere klikfrequentie, waardoor ze indirect de algehele beveiligingshouding van de organisatie kannibaliseren.
In 2020 waren onderzoekers Michelle Steves, Kristen Greene en Mary Theofanos eindelijk in staat deze oneindig variabele tests in één enkele Phish-schaal (pdf) te categoriseren. Daarbij stelden ze vast dat de ‘moeilijkheid’ van een phishing-e-mail slechts twee belangrijke eigenschappen heeft:
- De aanwijzingen in het bericht; ook wel bekend als 'hooks', of kenmerken van de opmaak of stijl van een bericht die de omslag als kwaadaardig zouden kunnen blazen.
- De context van de gebruiker.
Over het algemeen leidden minder signalen tot hogere klikfrequenties, evenals hoe nauw de e-mail aansluit bij de eigen context van de gebruiker. Om wat licht op de schaal te werpen: het volgende voorbeeld bereikte een formule van 30 punten van persoonlijke afstemming op een totaal van 32:
Als organisatie legt NIST een zware nadruk op veiligheid, en nergens is dit meer waar dan binnen de laboratoriummanagers en IT-teams. Om hiervan te profiteren, werd een test-e-mail gemaakt van een vervalst Gmail-adres dat beweerde afkomstig te zijn van een van de directeuren van NIST. In de onderwerpregel stond “LEES DIT ALSTUBLIEFT”; het lichaam begroette de ontvanger bij de voornaam en zei: "Ik moedig u ten zeerste aan om dit te lezen." De volgende regel was een URL, met de tekst ‘Veiligheidsvereisten’. Het werd afgesloten met een eenvoudige aftekening door de (vermeende) directeur.
Deze e-mail – en andere die zich richtten op hypergealigneerde veiligheidseisen – hadden een gemiddelde klikfrequentie van 49.3%. Zelfs bij schokkend korte aanvallen met één regel zijn het de signalen van de boodschap en de persoonlijke afstemming die de doeltreffendheid ervan bepalen.
Hoe AI Phishing beide hefbomen stimuleert
Cues vormen het grootste deel van de phishingtraining van medewerkers, omdat ze de ontvanger een manier bieden om achter de schermen van een aanval te kijken voordat deze plaatsvindt. De belangrijkste hiervan zijn spel- en grammaticafouten: deze focus is zo wijdverspreid dat velen denken dat spelfouten doelbewust aan phishing-e-mails worden toegevoegd, om de kwetsbaren eruit te halen.
Hoewel dit een leuk idee is, maakt deze aanpak de overgrote meerderheid van de mensen nog kwetsbaarder voor phishing-aanvallen. Het enige dat aanvallers nu hoeven te doen, is de grammatica en opmaak van het bericht kogelvrij maken om bij een snelle vluchtige lezing net voldoende plausibiliteit te bereiken. LLM's zijn hiervoor het perfecte hulpmiddel en bieden gratis vloeiendheid op moedertaalniveau.
En door de meest voor de hand liggende kenmerken van een phishing-e-mail te elimineren, kunnen aanvallers de overhand krijgen. Het onderzoek van Steves et al. erkent hoe – belangrijker dan de signalen – een aanval aansluit bij het eigen uitgangspunt van de ontvanger. Het is dit vakgebied waarin LLM’s op unieke wijze uitblinken.
LLM's zijn ongelooflijk efficiënt bij privacyschendingen
Persoonlijke afstemming bereik je door je doel te kennen; Dat is de reden waarom phishing-aanvallen op facturen op bijna elke afdeling mislukken, behalve op de financiële afdeling. Het is echter onwaarschijnlijk dat aanvallers hun slachtoffers maandenlang in het wild zullen bestuderen; hun meedogenloze winstmotief dicteert dat aanvallen efficiënt moeten zijn.
Gelukkig voor hen kunnen LLM's vrijwel kosteloos wijdverbreide gegevensverzamelings- en gevolgtrekkingscampagnes uitvoeren. A Onderzoek uit 2024 door Robin Staab et al (PDF) was de eerste die onderzocht hoe goed vooraf opgeleide LLM's persoonlijke gegevens uit tekst kunnen afleiden. Een selectie van 520 gepseudonimiseerde Reddit-profielen werd op zoek naar hun berichten en doorzocht een selectie van modellen om te zien welke leeftijd, locatie, inkomen, opleiding en beroep elke reageerder waarschijnlijk zou hebben.
Om te zien hoe dit werkt, kunt u een opmerking over woon-werkverkeer overwegen: “Ik…loop vast terwijl ik wacht op een hookturn”
GPT-4 kon het kleine signaal oppikken dat een “hook turn” is – een verkeersmanoeuvre die vooral in Melbourne wordt gebruikt. Andere opmerkingen in totaal verschillende discussies en contexten waren onder meer de vermelding van de prijs van een “34D” en een persoonlijke anekdote over hoe ze naar Twin Peaks keken nadat ze thuiskwamen van de middelbare school. Gezamenlijk kon GPT terecht concluderen dat de gebruiker een vrouw was die in Melbourne woonde en tussen de 45 en 50 jaar oud was.
Door het proces te herhalen voor alle 520 gebruikersprofielen, ontdekten de onderzoekers dat GPT-4 het geslacht en de geboorteplaats van een poster correct kan afleiden met een percentage van respectievelijk 97% en 92%. In de schaduw van de analyse van phishing op de werkplek in de eerdere studie, wordt het vermogen van LLM's om diepgaande persoonlijke kwaliteiten af te leiden uit berichten op sociale media bijzonder alarmerend als je stilstaat bij de hoeveelheid informatie op andere, minder anonieme sites, zoals LinkedIn.
Dit inferentieproces vindt in totaal 240 keer sneller plaats dan de menselijke dataset dezelfde conclusies zou kunnen trekken, en tegen een fractie van de kosten. Speculatie terzijde, het is dit laatste onderdeel dat AI-aangedreven phishing zo immens krachtig maakt: kosten.
LLM's geven de economie van phishing een boost
De winsten van door mensen aangedreven phishing-campagnes worden niet belemmerd door het aantal mensen dat erop klikt; ze worden belemmerd door de arbeidsintensieve taak van het schrijven van nieuwe of aangepaste versies. Omdat phishing-aanvallers voor het overgrote deel gedreven worden door financieel gewin, heeft de evenwichtsoefening tussen maatwerk en het drukken op verzenden de omvang van sommige operaties onder controle gehouden.
Nu LLM's in staat zijn om in slechts enkele minuten massa's phishing-berichten te produceren – naast het afleiden van mogelijkheden tot aanpassing voor elk slachtoffer – zijn de toolkits van aanvallers nog nooit zo goed gevuld geweest.
Houd gelijke tred met Stellar Cyber
Het opleiden van medewerkers kost tijd – en de snelheid waarmee phishing zich ontwikkelt dreigt duizenden bedrijven in gevaar te brengen. Om dit verhoogde dreigingsniveau het hoofd te bieden, biedt Stellar Cyber geïntegreerde netwerk- en eindpuntverdedigingen die aanvallers buiten houden, zelfs als ze zich een weg banen langs een medewerker.
Eindpuntmonitoring zorgt voor realtime inzicht in potentiële malware-implementatie, terwijl netwerkbescherming u in staat stelt te zien en te voorkomen dat een aanvaller daar voet aan de grond krijgt. Met User and Enty Behavior Analytics (UEBA) kunt u elke actie beoordelen in de context van wat normaal is, waardoor u nog meer tekenen van mogelijk accountcompromis kunt opmerken. Bescherm je team en houd aanvallers buiten de deur Open XDR van Stellar Cyber.
