Forestill deg AI som en robot med et langt, skarpt spyd, som øyner en stim feite fisker på vei opp en elv. Roboten kaster ikke et vidt nett, men lar sitt elektroniske øye studere stimen før den sikter seg inn mot en bestemt fisk.
Du kan være fisken.
Hva er «spear-phishing»?
AI-assistert «spear-phishing» kan komme til å koste samfunnet store summer, og kan gjerne treffe deg eller din bedrift. Dette er ikke «terminator»-fantasier, men en faktisk trussel basert på teknologi som allerede eksisterer. Det er flere grupper i verden med både ressurser og interesse for å lage en slik maskin, grupper som vet de kan tjene gode penger på å svindle eller utpresse folk.
Men, først må vi forklare hva «phishing» er, og hva varianten «spear-phishing» er.
«Phishing» har du helt sikkert opplevd selv i ulike varianter. Hver gang du får en av de rare robot-telefonene som forteller deg at Paypal har oppdaget noe snusk; hver gang du får en epost som hevder den er fra en eller annen bank - vennligst logg deg på her; det vil si hver gang noen prøver å lure deg på nettet.
Folk har lært seg til å gjenkjenne «phishing», og de aller færreste faller for det. Det er fortsatt millioner som går tapt hvert år på slik svindel, men litt sunt bondevett kan normalt hjelpe deg unngå slike feller.
Men tenk deg at du er Ola Nordmann, som har en god venn, Harry Handelsmann, som er ute og reiser, så får du en melding som sier: «Hei Ola Nordmann, det er Harry Handelsmann, du kommer ikke til å tro det, men jeg mistet telefonen min på gulvet og den gikk i knas. Trenger at du kjapt vippser penger til dette nummeret her, jeg betaler deg tilbake igjen til helga». Ola stoler på Harry, og jeg tror mange av oss kunne gått på denne.
Dette er det vi kaller «spear-phishing», det vil si et svindelforsøk som prøver å treffe deg spesifikt. Svindlerne har gjort et grundig forarbeide, de vet nok om deg til at de kan late som de er sjefen din, en kollega, eller banken din. Nå får nok de fleste søppel-epost som utgir seg fra å være fra banken sin, men hvor mange av disse oppgir rett navn og adresse? Når de har samlet nok personlig informasjon, kan de straks gjøre svindelen mye mer troverdig.
Avanserte AI-algoritmer kan lett generere troverdig tekst, samt falske bilder, lydopptak og til og med videoer som ser ekte ut. Dette kan brukes til å skape falske bevis eller bevis som støtter svindelangrep, for eksempel falske videoer av personer du kjenner som ber om penger. Akkurat nå er generativ tekst den største risikoen, men utviklingen er rask.
Så, hvorfor er ikke slik svindel mer utbredt? Vel, en av grunnene er at dette krever mye forarbeide. Svindlerne trenger å vite at Harry Handelsmann er ute og reiser, og at Ola Nordmann er en av hans nærmeste kontakter. De trenger å sende meldingen på rett tidspunkt. Alt dette gir mye jobb som ikke nødvendigvis gir svindlerne mye igjen. Og, dersom de prøver seg på tilfeldig valgte folk, vil svindlerne ikke ha noen troverdige innfallsvinkler.
AI kan lett gjøre forarbeidet. Diagrammet nedenfor viser eksempel på hvordan AI jobber:
AI kan altså automatisere hele svindelprosessen, fra å identifisere mulige ofre basert på deres digitale fotspor, til å generere og distribuere svindelkampanjer. Dette gjør det mulig for svindlere å nå et bredere publikum og utføre angrep i stor skala med minimal menneskelig inngripen.
«Web-crawleren» er et system som henter inn informasjon fra ulike nettsider. For eksempel kan den laste ned navn, stillingstitler, avdelingsnavn og informasjon fra bedriftens blogg. Deretter kan den gå til for eksempel LinkedIn og Facebook for å se om den kan hente inn enda mer informasjon der.
«Chatbot» er en type AI som forstår og genererer språk, de mest kjente av denne typen er ChatGPT og Copilot. Det er mange Open Source LLMer, det vil si LLMer som alle kan bruke og modifisere. Dermed kan hackere lage en LLM som raskt kan lage svindelmeldinger som kan sendes via SMS, chat, eller epost.
Når dette er gjort, kan man oppfordre en ansatt eller privatperson til å sende filer, vippse penger, eller kjøre filer.
«Spear-phishing» har eksistert lenge, men når det blir automatisert kan det treffe personer som ellers aldri ville vært interessante for svindlere. Selv om det bare en liten andel som går på limpinnen, vil det lønne seg for svindlerne, og stadig flere meldinger vil være AI-generert svindel.
Hvordan kan du beskytte deg mot «spear-phishing»?
Det er et omfattende apparat å beskytte seg mot, og det krever erfaring og ekspertise. I BDO ønsker vi å gi deg noen gode råd på veien.
- Begrens hvor mye informasjon du legger offentlig ut på internett. Selv personlig informasjon kan brukes for å svindle deg, dine nære, eller din bedrift. Dette kan være vanskelig, siden mange ikke forstår konsekvensen av det hver enkelt legger ut på nettet.
- Dobbelsjekk mistenkelige henvendelser, særlig hvis de kommer fra ukjente kilder. For eksempel, hvis sjefen din bruker et nytt nummer eller e-post for å be om en pengeoverføring. Ring eller meld til et kjent nummer for å bekrefte at det stemmer.
- Unngå å blande arbeids-epost og privat-epost, det er mye enklere å forfalske en privat epost enn en fra jobben.
- Bare del sensitiv informasjon med e-postadresser eller chattetjenester som tilhører bedriftens interne system.
- Vær oppmerksom på at telefonnumre og e-postadresser kan forfalskes, som er nok en måte svindlere kan utgi seg for å være noen du kjenner.
- Det viktig å holde seg oppdatert på de nyeste metodene for å beskytte virksomheten. Ekstern ekspertise kan gi verdifull innsikt i beste praksis og styrke din organisasjons cybersikkerhet
Hvis man er bevisst dette og holder hodet, kaldt kan man beskytte seg mot disse nye truslene.
Les også:
Slik kan du beskytte virksomheten din bedre mot cyberkriminelle