Business Email Compromise (BEC) in het AI-tijdperk en wat organisaties kunnen doen om zich hiertegen te beschermen
Generatieve AI-tools hebben het risico op Business Email Compromise (BEC) flink verhoogd. Het is lastig voor traditionele cyberbeveiligingsmethoden om de groeiende snelheid, schaal en geavanceerdheid van aanvallen voor te blijven. Alleen gelaagde, diepgaande verdedigingsstrategieën kunnen de AI-gedreven BEC-dreiging bestrijden.
In de meeste organisaties blijven mensen de zwakke schakel in de beveiliging en het toegenomen gebruik van generatieve AI-tools in cyberaanvallen maakt e-mail, hun primaire communicatiekanaal, een aantrekkelijker doelwit dan ooit tevoren.
Wat is BEC?
Er zijn verschillende definities van BEC, maar het verwijst meestal naar cyberaanvallen waarbij aanvallers misbruik maken van e-mail – en het vertrouwen van gebruikers in dit communicatiekanaal – om medewerkers te verleiden geld over te maken of gevoelige bedrijfsgegevens te delen. In tegenstelling tot algemene phishingmails zijn de meeste BEC-aanvallen niet afhankelijk van ‘spray and pray’ verspreiding of van gebruikers die op valse URL’s klikken of kwaadaardige bijlagen downloaden. Moderne BEC-campagnes gebruiken een techniek genaamd ‘pretexting’.
Wat is pretexting?
Pretexting is een meer specifieke vorm van phishing die een urgente maar valse situatie omschrijft – de pretext, letterlijk vertaald voorwendsel of smoes – waar het overmaken van geld of het onthullen van vertrouwelijke gegevens voor nodig is. Dit soort aanval, en dus ook BEC, domineert het dreigingslandschap van e-mail. In Verizon’s 2024 Data Breach Investigation-rapport stond dat “pretexting een inhaalslag heeft gemaakt en een meer waarschijnlijke sociale actie is dan phishing”. Het blijkt dat pretexting “nog steeds de belangrijkste oorzaak is van cyberbeveiligingsincidenten (goed voor 73% van de inbreuken)” en een van de “meest succesvolle manieren om geld te verdienen aan een inbreuk.”
Pretexting en BEC zijn zo succesvol omdat ze misbruik maken van de natuurlijke neiging van mensen om andere mensen en organisaties die ze kennen te vertrouwen. AI vergroot het risico omdat het voor aanvallers eenvoudiger wordt om bekende entiteiten na te bootsen en omdat het voor beveiligingstools en -teams – laat staan voor nietsvermoedende ontvangers van routinematige e-mails – moeilijker wordt om het verschil te zien.
BEC-aanvallen bevatten nu AI
Nu het gebruik van AI door cybercriminelen toeneemt, wijzen trends erop dat BEC ook toeneemt als aanvalsmethode en dat het lastiger is om te detecteren. Door vindingrijkheid, machinesnelheid en schaal toe te voegen, zorgen generatieve AI-tools zoals ChatGPT ervoor dat cybercriminelen meer gepersonaliseerde, gerichte en overtuigende e-mails kunnen maken op grotere schaal.
Zo zagen onderzoekers van Darktrace in 2023 een toename van 135% in ‘nieuwe social engineering-aanvallen’ bij Darktrace-klanten, vanaf hetzelfde moment dat ChatGPT breed gebruikt werd.
Large Language Models (LLM’s) zoals ChatGPT kunnen geloofwaardige berichten maken die lijken op de e-mails die doelwitten verwachten te krijgen. Generatieve AI-tools kunnen bijvoorbeeld worden gebruikt om valse facturen te versturen van leveranciers die mensen kennen vanwege hun betrokkenheid bij bekende projecten. Deze berichten zijn ook moeilijker om te detecteren omdat AI automatisch:
- Spelfouten en grammaticale fouten vermijdt
- Meerdere variaties van e-mailtekst maakt
- Berichten vertaalt die goed leesbaar zijn in meerdere talen
AI zorgt ervoor dat mailcampagnes gericht op grote groepen mensen kunnen uitgroeien tot geavanceerde, geautomatiseerde aanvallen. In plaats van wekenlang het doelwit bestuderen om een effectieve e-mail op te stellen, zijn cybercriminelen misschien maar een uur of twee bezig om een beter resultaat te behalen.
Wat zijn de grootste uitdagingen bij het detecteren van AI-aangedreven BEC-aanvallen?
- Op regels gebaseerde detecties zien onbekende aanvallen niet
Een grote uitdaging is dat regels gebaseerd op bekende aanvallen geen basis hebben om de toegang voor nieuwe dreigingen te beperken. Native beveiligingstools voor e-mail bieden bescherming tegen bekende aanvallen, maar veel moderne BEC-aanvallen gebruiken compleet nieuwe taal en kunnen payloads helemaal weglaten. In plaats daarvan vertrouwen ze op pure social engineering of wachten ze af totdat beveiligingstools de nieuwe afzender als een legitiem contact herkennen.
- De meest defensieve AI kan de innovatie van aanvallers niet bijhouden
Beveiligingstools richten zich op de betekenis van de tekst van een e-mail om een BEC-aanval te herkennen, maar verdedigers hebben nog steeds te maken met regels en handtekeningen. Sommige nieuwere leveranciers van Integrated Cloud Email Security (ICES) proberen AI defensief te gebruiken om niet alleen te zoeken naar exacte overeenkomsten. Het gebruik van data-augmentatie om vergelijkbare e-mails te identificeren helpt tot op zekere hoogte, maar niet genoeg om nieuwe aanvallen die zijn gebouwd met generatieve AI te identificeren.
Welke tools kunnen BEC dan wel stoppen?
Een moderne, diepgaande verdedigingsstrategie moet AI gebruiken om de AI die aanvallers gebruiken te bestrijden. Uit ons State of AI Cybersecurity Report 2024 blijkt dat 96% van de respondenten denkt dat AI-gestuurde beveiligingsoplossingen een must-have zijn om door AI-gedreven dreigingen tegen te gaan.
Maar niet alle AI-tools zijn hetzelfde. Aangezien BEC-aanvallen blijven veranderen, moeten defensieve AI-gedreven tools zich minder richten op het leren van hoe aanvallen eruitzien en meer op leren wat normaal gedrag is voor een organisatie. Door het verwachte gedrag binnen een organisaties te begrijpen, kan de beveiligingsoplossing afwijkende en dus verdachte activiteiten herkennen, ongeacht de woordkeuze of het type payload.
Om de snelheid en omvang van nieuwe aanvallen tegen te gaan, moet AI worden gebruikt om organisaties te beschermen tegen BEC en nieuwe dreigingen op te merken.
Door: Annabel Hazewinkel, Technical Channel Manager
