Social Engineering 2.0: de opkomst van AI, deepfakes en cloning bij phishing

Stel; je verdient je geld via een online platform. Denk aan je Etsy’s, Marktplaatsen en YouTubes. En op een zekere ochtend, wanneer je nèt met je eerste bakkie achter je opengeklapte laptop kruipt om je nieuwste creatie te uploaden, zie je een email van dat platform.

In een video vertelt de CEO van het bedrijf je dat er wijzigingen in het verdienmodel aan komen. Om hiermee akkoord te gaan, moet je dat via een link bevestigen. Kies je ervoor om niet met de nieuwe voorwaarden akkoord te gaan? Dan wordt je account beperkt en kun je geen nieuwe producten meer toevoegen of zelfs niet uitbetaald worden. Snel ga je naar de website en vul je je gegevens in om akkoord te gaan. Je wil namelijk natuurlijk niet zomaar van de ene op de andere dag je bron van inkomsten kwijt zijn. Je doorloopt alle stapjes netjes. En...

...weg account.

De opkomst van deepfake scams

Als dit je in de oren als een leuk fictief scenario om een punt duidelijk te maken, dan heb ik nieuws voor je: dit is écht gebeurd. Die email? Kwam gewoon van het platform zelf. Die video? Dat is toch écht de CEO die daar in beeld staat. En als je snel (jeweetwel: urgentie, mogelijk inkomsten kwijtraken) naar de URL kijkt, lijkt die ook niet direct heel vreemd.

Helaas gaan dit soort dingen alleen maar vaker gebeuren. Generatieve AI ontwikkelt zich snel en wordt steeds beter in het leveren van goed resultaat: foutloze, overtuigende teksten en levensechte beelden. Da’s natuurlijk net zo interessant voor cybercriminelen als voor legitieme gebruikers. Dus gaan die criminelen gretig met zo’n AI aan de slag om je zo hard mogelijk om de tuin te leiden. “Phishing 2.0”, zegmaar.

 Slechts 0.1% van de respondenten wist alle deepfakes er, in een gecontroleerde setting, uit te pikken.

Hoe werkt phishing 2.0?

En dat is super-irritant. Ben je eindelijk zo ver dat je organisatie phishing-mailtjes er een beetje consistent uit kan pikken, hebben die gasten ineens nieuwe methoden om je collega’s te neppen. Uit een recent onderzoek blijkt dat praktisch niemand deepfakes altijd herkent. Slechts 0.1% van de respondenten wist alle deepfakes eruit te pikken. En dat was in een gecontroleerde onderzoekssituatie waarin deelnemers vooraf wisten dat een deel van de afbeeldingen en video’s nep waren. Kun je nagaan hoe laag dat percentage wordt buiten die onderzoek-setting.

Want misschien lukt het je wel om, als je er goed de tijd voor neemt, de meeste nep-afbeeldingen en -video’s te herkennen. Maar héb je daar ook altijd uitgebreid de tijd voor? Lukt het je ook als je tussendoor een spoedverzoekje krijgt van die ene “trouwe klant”? Of als je 2 minuten voor je volgende vergadering door de “CEO” wordt gevraagd om even snel een betaling te doen? Cybercriminelen maken graag misbruik van snelheid, herkenning en vertrouwen. En zeker als je meerdere taken hebt en daar tussen switcht op een dag, wordt het in de gaten houden van de kleine details die ertoe doen alleen maar moeilijker. Dan wordt de kans groter dat je er toch in trapt.

Hoe kun je deepfakes herkennen?

Wat kun je dan doen om er toch niet in te trappen? De eerste tip is eigenlijk super-simpel: vertrouw op je gevoel. Is er iets in je dat zegt “Er klopt iets niet...”? Luister naar dat gevoel. En als je twijfelt, vraag dan een collega of vriend om even mee te kijken.

Twijfel je nog steeds? Speel dan de video langzamer af, op bijvoorbeeld halve snelheid. Deepfake-technologie heeft moeite met vloeiende gezichtsuitdrukkingen en knipperpatronen. Spot je gekke of houterige bewegingen, dan heb je waarschijnlijk met een AI-gegenereerde video te maken.

Wil je het écht extra goed controleren? Kijk dan frame voor frame naar stukjes van de video. Zie je schaduwen die raar verspringen, plotselinge wazige plekken of haar wat naadloos versmelt met de achtergrond? Deepfake!

 Misschien lukt het je wel om, als je er goed de tijd voor neemt, de meeste nep-afbeeldingen en -video’s te herkennen. Maar héb je daar ook altijd uitgebreid de tijd voor?

Is herkennen voldoende?

Waar je vroeger een mailtje met kromme zinnen en een verdachte afzender nog lachend kon negeren, zijn de aanvallen van vandaag levensecht. Een CEO die je via video iets vraagt? Een telefoontje van een bekende stem? Het kan allemaal gemanipuleerd zijn.

Je kunt zelf, door goed te blijven opletten, al veel doen om niet in de val te lopen. Maar je bent niet de enige die beslissingen moet nemen binnen je organisatie. Hoe goed zijn je collega’s voorbereid? Hoeveel tijd nemen zij in de drukte van de dag om even een check te doen? Cybercriminelen rekenen erop dat die momenten er nauwelijks zijn. En als één iemand de mist ingaat, kan dat voor de hele organisatie gevolgen hebben.

Daarom is het slim om niet alleen individueel, maar als team scherper te worden op digitale oplichting. Waar zitten de risico’s in jouw organisatie? En waar valt nog winst te behalen in security awareness? Laten we dat samen in kaart brengen. Plan een vrijblijvend gesprek en ontdek waar je organisatie nu staat, en vooral: hoe je ervoor zorgt dat niemand in een deepfake of social engineering-truc trapt.

Liever in video-vorm zien hoe je met concrete tools de controle krijgt over de staat van security awareness binnen je organisatie? Bekijk dan dit webinar waarin we aan de slag gaan met het Mimecast Engage-platform om risico's te identificeren, te classificeren, en op te lossen.