Naast phishing ook oppassen voor vishingaanvallen

Cybercriminelen gebruiken steeds vaker spraakberichten voor phishingaanvallen, ook wel bekend als ‘vishing’. Deze aanvalsmethode gaat een piek bereiken in 2020. Zo weet Mimecast te melden in een nieuw Threat Intelligence-rapport.

Deepfake audio

De securityspecialist wijst ook op de toenemende dreiging van aanvallen met deepfake-audio. Daarmee kunnen cybercriminelen stemmen nabootsen door middel van kunstmatige intelligentie. De combinatie van spraak met kunstmatige intelligentie maakt ook verfijndere aanvallen mogelijk.

Deepfake gaat dus niet alleen meer om beeld. De Wall Street Journal wist in september van dit jaar al te melden dat een Brits energiebedrijf voor 220.000 euro is opgelicht met zogeheten deepfake-audio. De CEO dacht namelijk dat hij een telefoongesprek had met de CEO van het Duitse moederbedrijf. Hij kreeg het verzoek om met spoed een bedrag over te maken naar een Hongaarse leverancier. In werkelijkheid werd de stem zeer overtuigend nagebootst met behulp van AI-technologie.

Levensecht

Bij de eerste gefotoshopte afbeeldingen was er altijd duidelijk te zien dat er iets niet klopte. Datzelfde geldt ook voor de productie van deepfake-audio. “De meeste aanvallers maken hiervoor gebruik van relatief simpele software. De spraakberichten en stemmen die daarmee worden gegenereerd, klinken niet erg overtuigend,” aldus Jonathan Miles, threat intelligence-expert bij Mimecast. “Maar cybercriminelen die veel financiële middelen hebben, kunnen geavanceerdere software betalen. Dan klinkt een nagebootste stem opeens levensecht.”

Maar naarmate deze technologie volwassener wordt, zal het ook steeds makkelijker en goedkoper worden om geloofwaardige audiocontent te ontwikkelen. “Aanvallers kunnen algoritmes bijvoorbeeld voeden met stemopnames die ze van YouTube halen. En als je dan ook nog een platform gebruikt dat tekst automatisch omzet naar spraak in een nagebootste stem, wordt het mogelijk om zeer geloofwaardige, interactieve dialogen te voeren. Social engineering krijgt hierdoor een nieuwe dimensie.”

Wat doe je er tegen?

Maar wat doe je er zelf tegen? Om te voorkomen dat jij of het bedrijf waar je voor werkt niet het volgende slachtoffer is. Mimecast heeft een aantal tips om schade door dergelijke aanvallen te voorkomen:

• Open geen spraakberichten en andere audiobestanden die binnenkomen via e-mail en klik niet op links in dit soort e-mails.
• Pas niet zomaar betaal- of accountgegevens aan zonder goedkeuring van de verantwoordelijke manager(s). Zeker niet op verzoek van iemand die zich plotseling via e-mail of telefonisch bij u meldt.
• Wordt u gebeld door iemand met een onbekend nummer die claimt een hoge managementfunctie te vervullen? Bel dan ter controle eerst terug naar een bekend telefoonnummer van die persoon.
• Wees u ervan bewust dat een stem tegenwoordig na te bootsen is. Het feit dat u een stem herkent, zegt niets over de betrouwbaarheid.
• Stel uzelf altijd de vraag: is dit een normaal verzoek? Laat u niet onder druk zetten om mee te werken als u sceptisch bent.

Awareness

Het is niet eenvoudig om vishing of een poging tot oplichting met deepfake-audio te herkennen. Want vooral deepfake-audio is nog een relatief nieuw verschijnsel. De meesten van ons hebben er waarschijnlijk nog nooit van gehoord. En dus is awareness weer de eerste stap. Spread the word. It’s out there!

[Fotocredits © folienfeuer – Adobe Stock]