.



Is de cybercrimineel van de toekomst een robot?

Eddy Willems 2013 2

Hoewel de eerste door AI gegenereerde cyberaanval nog officieel gedocumenteerd moet worden, zal kunstmatige intelligentie naar verwachting ook in security zijn impact gaan hebben. Sterker nog, AI wordt nu al door cybercriminelen ingezet en bijvoorbeeld gebruikt om phishingmails bij te slijpen. En nieuwe bedreigingen komen door AI waarschijnlijk nog vlugger op ons af. Hoe kunnen we ons hiertegen wapenen?

Om die vraag te kunnen beantwoorden, moeten we allereerst bepalen wat de huidige stand van zaken rondom AI en cybercrime is. Want er mag dan wel nog geen door AI gegenereerde cyberaanval plaats hebben gevonden, het gevaar van bijvoorbeeld prompt injection-aanvallen wordt al wel onderkend. Hiermee worden Large Language Modellen (LLM) met bepaalde vragen ‘verleid’ tot acties waar het model niet voor is ontwikkeld.

Creditcardgegevens

Zo wist een Duitse onderzoeker Bing Chat onopgemerkt te veranderen in een social engineer die persoonlijke informatie zoekt en exfiltreert. De gebruiker hoeft niets te vragen over de website of iets te doen behalve interactie te hebben met Bing Chat terwijl de website geopend is in de browser. Vervolgens wordt de chatbot geïnstrueerd om te vragen naar de persoonsgegevens en creditcardgegevens van de websitebezoeker.

Prompt injection is een serieuze beveiligingsbedreiging die steviger moet worden aangepakt naarmate meer modellen worden ingezet voor nieuwe cases en interfaces hebben met meer systemen. Maar het belang van veiligheidsgrenzen tussen vertrouwde en niet-vertrouwde invoer voor LLM’s wordt op dit moment nog te vaak onderschat – of beveiliging wordt zelfs achterwege gelaten.

Hierin is een belangrijke rol weggelegd voor de fabrikanten van AI-oplossingen. Gelukkig zien we dat veel fabrikanten al maatregelen nemen om de gevaren in te dammen. Zo blokkeert Microsoft pogingen tot prompt injection en doet ook OpenAI, het bedrijf achter ChatGPT, ontzettend veel aan de beveiliging van data.

Eigen verantwoordelijkheid

Maar niet alleen AI-fabrikanten zijn verantwoordelijk voor het beschermen tegen mogelijke AI-cybercrime, ook bedrijven en eindgebruikers kunnen maatregelen nemen. Op dit moment draait dat vooral om het voorbereiden op mogelijke varianten op cybercrime-methodes die reeds bekend zijn. Niemand kan immers in de toekomst kijken en voorspellen hoe cybercrime zich zal ontwikkelen, zelfs AI niet. Op dit moment schuilt het gevaar vooral in verbeterde phishing-aanvallen en andere pogingen van datadiefstal.

Maar het principe waarop LLM en AI drijven, biedt wel handvatten voor een verantwoorde omgang. AI bedenkt namelijk niks zelf, maar baseert zich op databronnen. Het is dus verstandig om goed na te denken over welke data je met wie (of wat) deelt. Je moet AI niet slimmer maken dan het is. Met andere woorden: geef een AI-dienst op een website niet alle informatie over jezelf of bedrijf, want je weet niet of dat in een later stadium misbruikt kan worden.

Security awareness-trainingen zouden dan ook aan dit aspect aandacht moeten besteden. Werknemers moeten niet alleen alert zijn op phishingmails, maar ook getraind worden in een verantwoord gebruik van AI-hulpmiddelen. Security awareness draait ook om ons eigen gedrag online en dus om welke informatie we zelf delen en online zetten. Cybercrime is geen passief, eenzijdig spel waarbij de aanvaller alle touwtjes in handen heeft. Ook de eigen rol moet kritisch onder de loep genomen worden om risico’s te verkleinen.

 

Eddy Willems is Security Evangelist bij G DATA CyberDefense

Lees ook
ESET sluit zich aan bij Melissa - samenwerkingsverband voor ransomwarebestrijding

ESET sluit zich aan bij Melissa - samenwerkingsverband voor ransomwarebestrijding

ESET Nederland, kondigt tijdens de  ONE Conference 2024 aan dat het zich heeft aangesloten bij het ransomwarebestrijding samenwerkingsverband van het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse andere private partijen. Het ransomwarebestrijding samenwerkingsverband, genaamd ‘M1

ESET research onderzoekt de Gamaredon APT-groep

ESET research onderzoekt de Gamaredon APT-groep

ESET,-onderzoekers onderzochten de operaties van Gamaredon, een APT-groep die door Rusland wordt gesteund en al minstens sinds 2013 actief is en momenteel de meest actieve APT-groep in Oekraïne is. Gamaredon wordt door de Oekraïense veiligheidsdienst (SSU) toegeschreven aan het 18e Russische centrum voor informatiebeveiliging van de FSB, dat opere1

Orange Cyberdefense: ‘Transparantie moet de norm worden in cybersecurity’

Orange Cyberdefense: ‘Transparantie moet de norm worden in cybersecurity’

Consumenten en bedrijven hechten steeds meer waarde aan transparantie. Op dit moment ligt de focus vaak op duurzaamheid. Matthijs van der Wel-ter Weel, Strategic Advisor bij Orange Cyberdefense, verwacht dat cybersecurity in de nabije toekomst even belangrijk wordt. “Net zoals klanten willen weten hoe duurzaam een product is, willen ze ook inzicht1