- Vormt AI-nepnieuws een risico voor onze democratie?
- Hoe AI geavanceerde socialengineering-aanvallen mogelijk maakt
- Publieke sector en cruciale infrastructuur als doelwit
Cybercriminelen, die ooit vooral op chaos en onrust uit waren, hebben zich ontwikkeld tot serieuze, op winst gerichte individuen en groeperingen. Hun strategische nauwkeurigheid doet niet onder voor die van legitieme bedrijven. Volgens de experts gaan we op het gebied van cybersecurity de zwaarste jaren ooit tegemoet en iedereen, van individuen tot aan organisaties en overheden, zal met ongekende dreigingen geconfronteerd worden. Cybercriminelen gebruiken de nieuwste technologieën, zoals kunstmatige intelligentie (AI), voor geraffineerde en goed gefinancierde aanvallen op onze online infrastructuur. Ze vinden steeds nieuwe manieren om de traditionele veiligheidsmaatregelen te omzeilen, waardoor we voor steeds grotere uitdagingen komen te staan. De dreigingen variëren van steeds hogere losgeldbedragen bij ransomware tot identiteitsdiefstal, zakelijke e-mailfraude en crypto-fraude en worden alsmaar diverser en complexer. De komst van door AI gegenereerde deepfakes maakt de enorme uitdagingen waar we al mee te maken hebben zo mogelijk nog complexer. Door deze levensechte vervalsingen wordt het steeds lastiger om echt van nep te onderscheiden. En de opkomst van nepontvoeringen, losgeldeisen en frauduleuze geldtransacties maakt pijnlijk duidelijk dat we in de toekomst nog alerter en nog proactiever moeten zijn.
“Door het gemak waarmee AI nepverhalen kan fabriceren die heel geloofwaardig overkomen, is de kans groot dat tegenstanders deze tools ook zullen gebruiken om in 2024 verkiezingen te manipuleren”.
CrowdStrike 2024 Global Threat Report
Vormt AI-nepnieuws een risico voor onze democratie?
Een van de meest zorgwekkende ontwikkelingen binnen cybercriminaliteit is de manier waarop AI-gestuurde nepnieuwscampagnes gebruikt kunnen worden om het democratische proces te ondermijnen en verkiezingsuitslagen te beïnvloeden. De Amerikaanse presidentsverkiezingen van 2016 en 2020 zijn alarmerende voorbeelden van hoe het verspreiden van valse informatie verdeeldheid kan zaaien, complottheorieën kan voeden en het vertrouwen in het kiessysteem kan ondermijnen. Kijkend naar de verkiezingen van 2024, is de zorg niet alleen dat deze tactieken opnieuw gebruikt zullen worden, maar dat ze versterkt zullen worden door de nieuwste ontwikkelingen in AI-technologie. Deze maken het namelijk mogelijk om nog overtuigender en gerichter nepnieuws te creëren. Natuurlijk hebben ze niet alleen in de Verenigde Staten te maken met de dreiging van AI-gestuurd nepnieuws. Nu 50 procent van de wereldbevolking zich voorbereidt om in 2024 te gaan stemmen, neemt de bezorgdheid over het gebruik van generatieve AI als middel voor electorale manipulatie ook onder cybersecurityexperts in veel andere landen toe. Adam Meyers van CrowdStrike waarschuwt dat cybercriminelen door de toenemende toegankelijkheid van deze technologieën steeds geavanceerdere nepnieuwscampagnes kunnen lanceren, wat de informatieoorlog verder opvoert.
“Door het gemak waarmee AI nepverhalen kan fabriceren die heel geloofwaardig overkomen, is de kans groot dat tegenstanders deze tools ook zullen gebruiken om in 2024 verkiezingen te manipuleren”, staat in het meest recente rapport van CrowdStrike. “Politiek gedreven groeperingen in landen waar binnenkort verkiezingen worden gehouden zullen vermoedelijk ook AI inzetten om desinformatie te produceren en onder hun aanhangers te verspreiden”. AI wordt overigens al geruime tijd ingezet bij het verspreiden van nepnieuws. Zo werd AI in Slowakije gebruikt om een deepfake audiofragment te creëren waarin een bekende journalist en leider van een politieke partij het over verkiezingsfraude heeft. Dit fragment werd vlak voor de verkiezingen massaal op social media gedeeld. Ondanks pogingen om te bewijzen dat het om een nepfragment ging, maakte het moment van publicatie — juist in de rustige periode voor de verkiezingen — dit voor zowel media als politici lastig. Het is belangrijk om te onderstrepen dat de gevolgen van AI-gestuurde desinformatie veel verder reiken dan politiek alleen. In 2024 en daarna verwachten we een toename van desinformatiecampagnes die politiek of financieel gemotiveerd zijn en in allerlei sectoren — zoals de gezondheidszorg, de financiële sector, het onderwijs, de media en de techsector — enorme chaos kunnen veroorzaken. En aangezien dit het vertrouwen in instellingen kan schaden, de publieke opinie kan sturen en zelfs levens in gevaar kan brengen, kan dit bovendien een aanzienlijke langetermijnimpact hebben.
“Ze spelen in op onze emoties. Als ze ons, door angst of woede op te wekken, uiteindelijk in de juiste gemoedstoestand hebben, vergeten we alle adviezen. Op dat moment verliezen we ons gezond verstand, en dat is precies wat de aanvallers willen bereiken”.
Richard Werner, cybersecurityadviseur bij Trend Micro
Hoe AI geavanceerde socialengineering-aanvallen mogelijk maakt
Door de opkomst van generatieve AI kunnen cybercriminelen steeds geavanceerdere social engineering-aanvallen uitvoeren. Deze zijn overtuigender, persoonlijker, en steeds moeilijker te herkennen. Deskundigen verwachten de komende jaren een flinke toename van dit soort cybercrime, waarin AI gebruikt wordt om zeer gerichte aanvallen te lanceren die op onze emoties en kwetsbaarheden inspelen. Door de enorme hoeveelheden persoonlijke gegevens die online beschikbaar zijn en geavanceerde algoritmes die patronen en gedrag analyseren, kunnen cybercriminelen phishingcampagnes creëren die bijna niet van echte communicatie te onderscheiden zijn. Een van de meest misleidende aspecten van AI-gestuurde social engineering is dat het een vals gevoel van vertrouwdheid kan scheppen. Met behulp van natuurlijke taalverwerking en machine learning kan AI namelijk phishingmails genereren die niet alleen grammaticaal perfect zijn, maar ook de unieke communicatiestijlen van doelwitten nabootsen. Deze extreme personalisatie maakt het zelfs voor de meest oplettende individuen moeilijk om frauduleuze berichten te herkennen, omdat ze echt van een collega, vriend, of familielid afkomstig lijken te zijn.
De dreiging van deze AI-gestuurde criminaliteit gaat overigens veel verder dan alleen e-mail. Dankzij ontwikkelingen in deepfake-technologie kunnen cybercriminelen verbluffend realistische video- en audiocontent maken. Door gezichtsuitdrukkingen, manieren en stempatronen van een doelwit te analyseren, kan AI synthetische media genereren die bijna niet van echt te onderscheiden is. Hiermee kunnen cybercriminelen zich voordoen als topmanagers, vertrouwde partners of zelfs dierbaren, met als doel om slachtoffers over te halen gevoelige informatie prijs te geven of geld te betalen. Dat AI enorme hoeveelheden data kan analyseren en patronen in kwetsbaarheden kan herkennen, speelt ook een grote rol bij de toenemende dreiging van AI-gestuurde social engineering. Door iemands digitale sporen te onderzoeken, zoals posts op social media, online aankopen en zoekgeschiedenis op het internet, kan AI een gedetailleerd psychologisch profiel creëren waar mogelijke zwakke plekken en triggers uit naar voren komen. Met deze kennis kunnen aanvallers hun tactieken zo aanpassen dat ze specifieke emoties, zoals angst, hebzucht of nieuwsgierigheid, slim uitbuiten, wat de kans op een succesvolle aanval vergroot.
Nu het gebruik van AI bij social engineering-aanvallen steeds vaker voorkomt, lopen zelfs de meest technisch onderlegde mensen gevaar. Zo werden Steve en Robin, een stel uit Brooklyn, onlangs slachtoffer van een scam waarbij een aanvaller de stem van Steve’s moeder met AI nabootste. De oplichter beweerde een wapen op Mona gericht te hebben en eiste losgeld via Venmo. Ondanks zijn achtergrond bij de politie raakte Steve toch in de war door de levensechte emotionele noodkreet van zijn moeder. “Omdat we zo op technologie gericht zijn, vergeten we vaak dat deze scamtechnieken vóór de ontwikkeling van internetfraude al bestonden — en ze zijn zeer doeltreffend”, legt Richard Werner, cybersecurityadviseur bij Trend Micro, uit. “Ze spelen in op onze emoties. Als ze ons, door angst of woede op te wekken, uiteindelijk in de juiste gemoedstoestand hebben, vergeten we alle adviezen. Op dat moment verliezen we ons gezond verstand, en dat is precies wat de aanvallers willen bereiken”.
Bij een ander voorval werd een financieel medewerker in Hongkong overgehaald om $25 miljoen over te maken. Dit gebeurde nadat hij had deelgenomen aan een videoconferentie met mensen waarvan hij dacht dat ze hogere leidinggevenden van zijn bedrijf waren. In dit geval hadden cybercriminelen met AI overtuigende deepfakes van deze leidinggevenden gecreëerd om de werknemer om de tuin te leiden. Zelfs bedrijven die vooroplopen in technologische innovatie zijn niet veilig voor de dreiging van AI-gestuurde social engineering. Zo werd het softwareontwikkelingsbedrijf Retool het doelwit van een gelaagde aanval waarbij de accounts van 27 van zijn cloudklanten werden aangetast. De aanvallers, die deden alsof ze van de IT-afdeling waren, gebruikten een combinatie van SMS-phishing, diefstal van inloggegevens en door AI gegenereerde stemdeepfakes om toegang te krijgen tot gevoelige klantgegevens. Dit incident leidde tot de diefstal van ongeveer $15 miljoen aan cryptocurrency van een van de klanten van Retools, wat nog eens benadrukt hoeveel chaos AI-gestuurde aanvallen kunnen veroorzaken.
Publieke sector en cruciale infrastructuur als doelwit
Ook de publieke sector krijgt in 2024 en daarna te maken met steeds complexere uitdagingen op het gebied van cybersecurity. De sector wordt van alle kanten belaagd: door ideologisch gedreven hacktivisten, op winst beluste cybercriminelen en door de staat gesponsorde groeperingen. Publieke instellingen zijn zeer gewilde doelwitten. Dat komt doordat deze instellingen grote hoeveelheden gevoelige gegevens bezitten en cruciale diensten leveren die verstoord kunnen worden. De snelle digitalisering van de publieke sector — hoewel dit ongetwijfeld gunstig is voor de efficiëntie en toegankelijkheid — maakt ook allerlei nieuwe soorten aanvallen mogelijk. En nu er meer gevoelige informatie digitaal wordt opgeslagen en kritieke diensten via online platforms worden aangeboden, is het risico op aanvallen aanzienlijk toegenomen. Een van de meest zorgwekkende ontwikkelingen de laatste jaren is de toename van door een staat gesponsorde cyberaanvallen op kritieke infrastructuur. In 2022 steeg het aantal van dit soort aanvallen wereldwijd met maar liefst 20 procent — een groei die grotendeels werd veroorzaakt door het aanhoudende conflict tussen Rusland en Oekraïne. Naarmate geopolitieke spanningen in verschillende brandhaarden over de hele wereld toenemen, zal deze trend in 2024 en daarna waarschijnlijk voortduren, wat de veiligheidsrisico’s nog verder vergroot.
Vooral de onderwijssector wordt steeds vaker doelwit van cybercriminelen, die aangetrokken worden door de gevoelige data die deze instellingen bewaren. Onderwijsinstellingen zijn een ware schatkist voor wie informatie uit studentendossiers, financiële gegevens, baanbrekende onderzoeken en intellectueel eigendom wil gebruiken voor criminele activiteiten. In 2023 haalde de hackgroep Vice Society de krantenkoppen door scans van kinderpaspoorten, salarisschalen van personeel, contractdetails en andere gevoelige informatie van Pates Grammar School in Engeland te lekken. En dit is slechts een van de vele voorvallen waar onderwijsinstellingen in Europa mee te maken hebben gehad. Bij al deze aanvallen drongen hackers interne netwerken en IT-infrastructuren binnen, bijvoorbeeld op universiteiten in Frankrijk en Duitsland. Ze lanceerden zelfs een DDoS-aanval op een online examenplatform van een middelbare school in Griekenland. Ook overheidsdiensten hebben het zwaar te verduren en worstelen met een toenemend aantal cyberaanvallen. Het incident in juli 2023, waarbij het Keniaanse eCitizen-portaal door een kwaadaardige aanval werd platgelegd, laat zien hoe ingrijpend de gevolgen van dit soort aanvallen kunnen zijn. Het digitale portaal, dat toegang biedt tot meer dan 5.000 overheidsdiensten, werd door de aanval volledig onbereikbaar. Dit resulteerde in grootschalige storingen, onder andere op het gebied van paspoortaanvragen, toeristenvisa, rijbewijzen en zorgdossiers. De aanval had bovendien een enorme impact op mobiel bankieren en transportdiensten, wat de onderlinge verbondenheid en kwetsbaarheid van moderne systemen onderstreept.
In de zorgsector, waar veel situaties een kwestie van leven of dood zijn, kunnen de gevolgen van cyberaanvallen vaak nog ingrijpender zijn dan in andere sectoren. Volgens het ENISA Threat Landscape: Health Sector-rapport, leidt bijna de helft van alle ransomware-aanvallen op publieke gezondheidsorganisaties tot datalekken of -verlies. De ransomware-aanval op Hospital Clinic de Barcelona in Spanje in maart 2023, waardoor 150 niet-spoedeisende operaties en zo’n 3.000 patiëntencontroles geannuleerd moesten worden, is slechts één voorbeeld van de chaos die deze aanvallen kunnen aanrichten. Helaas kan de publieke sector zich in veel gevallen niet genoeg tegen dit soort aanvallen beveiligen. Dit komt door verschillende factoren, waaronder ontoereikende budgetten, verouderde systemen en een tekort aan geschoold personeel. Uit het ENISA-rapport blijkt de volle omvang van het probleem: slechts 27 procent van de zorginstellingen heeft een specifiek anti-ransomwareprogramma. Sterker nog, ongeveer 40 procent heeft zelfs geen security basisprogramma voor bewustwording van veiligheid voor niet-IT-medewerkers.
Het is echter cruciaal dat instanties in de publieke sector een proactieve, gelaagde cybersecurity-aanpak hanteren om deze toenemende risico’s en uitdagingen te beperken. Hiervoor zijn niet alleen aanzienlijke investeringen in technologie en menselijk kapitaal nodig, maar ook een fundamentele transformatie van de organisatiecultuur. Het is belangrijk om solide beveiligingsmaatregelen in te voeren, zoals Zero Trust Architecture, en beveiligingssystemen regelmatig grondig te controleren om zwakke plekken te beveiligen om te voorkomen dat deze misbruikt worden. Ook het ontwikkelen van een organisatiebrede cultuur van cybersecurity-bewustzijn is essentieel. Dit betekent dat er gerichte inspanningen nodig zijn om medewerkers op alle niveaus op te leiden en te trainen — van de directiekamer tot de postkamer.
Een laatste overweging
We worden steeds vaker geconfronteerd met geavanceerde, door AI gestuurde nepcontent die onze democratie aan het wankelen brengt. Ook zien we een toename in het aantal slim uitgekiende aanvallen die onze zwakke plekken feilloos weten te vinden. Dit zijn verontrustende ontwikkelingen. Toch is er, ondanks deze enorme uitdagingen, reden voor hoop. Als we gebruikmaken van de nieuwste technologieën, zoals AI en machine learning, kunnen we het roer omgooien en de strijd met cybercriminelen goed voorbereid aangaan. Dit betekent dat iedereen – van gewone mensen tot bedrijven en overheden – de handen ineen moet slaan. Cybersecurity moet bovenaan onze lijst staan en we moeten vol inzetten op de juiste tools, training en experts om onszelf goed te kunnen beschermen. Bovendien moeten we ons het volgende afvragen: hoe kunnen we AI en andere opkomende technologieën in dit tijdperk, waarin de waarheid steeds lastiger vast te stellen is, inzetten om de strijd met desinformatie aan te gaan en de integriteit van onze democratische instellingen te beschermen?
Share via: