Online misleiding door criminelen zal door inzet van AI geraffineerder worden en moeilijker te detecteren. “Daar hoeven we niet dramatisch over te doen en paniek is niet nodig,” zegt Martin Kraemer, Security Awareness Advocate van KnowBe4. Trainingen, die ook door AI worden ondersteund, houden medewerkers alert op online scams.
Begin dit jaar (2024) kwam naar buiten dat een medewerker van een Hong Kongs bedrijf 25 miljoen US-dollar naar criminelen had overgemaakt, na een online vergadering met de CFO en andere stafleden van zijn bedrijf. Tenminste, dat dacht de medewerker die in eerste instantie fraude vermoedde, omdat ergens geld voor moest worden betaald. Hij was de enige echte persoon in de vergadering. De andere aanwezigen waren met deep fake-video en geluid gemaakt.
Het is een voorbeeld van waar criminelen toe in staat zijn die gebruik maken van AI, zegt Martin Kraemer van KnowBe4, een bedrijf dat zich specialiseert is Security Awareness Trainingen en het verbeteren van de security cultuur binnen organisaties. “AI zal cybercriminaliteit gaan veranderen. Het gaat misschien niet zo snel als we denken, maar we zien dat ze er mee bezig zijn. “We hoeven er niet dramatisch over te doen en paniek helpt ook niet,” zegt Kraemer. “Maar organisaties moeten er wel mee aan de slag.”
AI maakt phishing beter
Online scams – de digitale varianten van social engineering – waarbij tekst, beeld, video en audio worden gemanipuleerd om medewerkers te misleiden en aan te zetten tot een specifieke actie in het voordeel van criminelen, worden steeds beter van kwaliteit, ziet Kraemer. “Binnen afzienbare tijd zullen criminelen echt goed in worden in het gebruik van AI bij phishing. Zo ver is het nu nog niet. De vertalingen worden beter en er zitten minder taalfouten in. In pogingen tot CEO-fraude worden de zinnen minder lang en zijn de formuleringen meer in lijn met hoe een echte CEO zou communiceren.”
In de wapenwedloop tussen beveiligers en cybercriminelen is AI de volgende stap, volgens Kraemer. “Maar zolang AI door mensen wordt gemaakt en niet door AI zelf, zullen we dat kunnen blijven ontmaskeren. Een geheel technische oplossing bestaat niet voor het probleem van cybercriminaliteit. Technologie valt altijd te omzeilen om vervolgens een mens te bereiken. Die mens moet daarom bewust worden gemaakt van de dreiging en het gevaar, en geleerd worden de juiste actie te doen. Het goede gedrag te vertonen. Dat is een kwestie van trainen.”
AI helpt in trainingen
De security awareness trainingen van KnowBe4 draaien om knowledge retention, personalization en continued engagement. Kraemer: “Het gebruik van AI helpt ons heel goed die drie dingen te bereiken. Door bijvoorbeeld de juiste herhaling in te bouwen, een chatbot die je bij je voornaam aanspreekt en het creëren van verse en diverse content in gesimuleerde phishing campagnes. De campagnes worden automatisch gegenereerd, we hoeven alleen de moeilijkheidsgraad nog in te stellen. Het effect van die training is dat mensen bij elk mailtje dat ze binnenkrijgen zich afvragen of het frauduleus zou kunnen zijn. Die state of mind van medewerkers heb je nodig om phishing-aanvallen af te slaan.”
PPP onder de 10%
De effectiviteit van de trainingen is te meten door bij te houden hoeveel van de medewerkers klikken op een gesimuleerde phishing email, uitgedrukt in Phish-Prone-Percentage (PPP). Uit het Phishing by Industry Benchmarking Report 2024 van KnowBe4, in bijna 65.000 organisaties met samen bijna 12 miljoen gebruikers, blijkt dat in organisaties met meer dan 1000 medewerkers in 37,5 procent van de gevallen op een gesimuleerde phishing email wordt geklikt, zonder dat medewerkers daarop getraind zijn. In organisaties met minder dan 250 medewerkers ligt het initiële PPP op 28,7 procent. “Door medewerkers te security awareness trainingen te geven kan dat percentage in twaalf maanden onder de 12 procent worden gebracht,” zegt Kraemer. “Bij onze klanten ligt dat percentage doorgaans onder de 1procent.”
Dat de menselijke fout de belangrijkste factor is in datalekken bleek maar weer uit Verizons 2024 Data Breach Investigations Report. In 68 procent van de geregistreerde gevallen van datalekken ging het om ongelukkige acties, het gebruik van gestolen inloggegevens en social engineering. Kraemer: “Tussen de 60 en 90 procent van alle cybersecurity risico’s kunnen door de juiste training van medewerkers worden geadresseerd.”
KnowBe4 is ’s werelds grootste platform voor security awareness training in combinatie met gesimuleerde phishing-aanvallen. Het Knowbe4-platform helpt organisaties om hun personeel te trainen in het herkennen, rapporteren en voorkomen van phishing-aanvallen, malware, CEO-fraude en andere vormen van cybercrime. Bezoek de website voor meer informatie.