Ruim een op de vijf mensen klikt op links in AI-gegenereerde phishingmails
78 procent van de mensen opent AI-gegenereerde phishingmails. 21 procent op schadelijke links in de mails klikt. 65 procent van de ontvangers van AI-gegenereerde mails werd in het onderzoek verleid tot het invoeren van persoonlijke gegevens op invulvelden van de gelinkte websites. Met name de snelheid en het volume van doelgerichte AI-phishing brengt risico's met zich mee.
Dit blijkt uit onderzoek van cybersecurityspeler SoSafe, dat zich richt op cybersecurity awareness. Het bedrijf waarschuwt al langer dat AI betere phishing-mails zou kunnen schrijven dan mensen. Onderzoek van SoSafe toont aan dat deze dreiging inmiddels de realiteit is.
Niet te onderscheiden van handmatige phishingaanvallen
Door mensen opgestelde phishing-mails worden door eenzelfde percentage geopend. En hoewel de clickrate bij handmatige phishing iets hoger ligt (27 procent), is er bij deze mails minder interactie (60 procent) in de vorm van het geven van aanvullende (persoonlijke) gegevens. Deze cijfers laten zien dat mensen door AI-gegenereerde phishing-mails niet kunnen onderscheiden van handmatige phishingaanvallen.
Dr. Niklas Hellemann, CEO en mede-oprichter van SoSafe: “De resultaten zijn opvallend omdat we de mails hebben opgesteld met het ChatGPT-3.5 model, met algemene thema’s en onderwerpen. Zelfs met deze basis AI-gegenereerde phishing-sjablonen blijkt uit onze gegevens dat mensen moeite hebben met het herkennen van AI-gegenereerde phishing-aanvallen. Naarmate de technologie vordert met geavanceerdere modellen zoals Chat GPT-4 en geschaalde personalisatie, verwachten we dat aanvallen nog gevaarlijker worden, want het grootste gevaar schuilt in de potentiële schaalgrootte."
Generatieve AI-tools versnellen phishing-aanvallen
Uit het onderzoek van het SoSafe-social engineering-team blijkt dat hackersgroepen phishing-mails minstens 40 procent sneller kunnen samenstellen met generatieve AI-tools. Dit houdt in dat cybercriminelen zelfs met eenvoudige tools hun succespercentage aanzienlijk kunnen verhogen.
Tegelijkertijd wordt het door generatieve AI makkelijker om op grote schaal spear phishing-aanvallen uit te voeren. Door AI-tools te voeden met persoonlijke informatie wordt het mogelijk spear phishing aanvallen van hoge kwaliteit uit te voeren, zelfs in grote aantallen. Bovendien kunnen generatieve AI-tools cybercriminelen ook helpen bij het bedenken van nieuwe ideeën. Hackers kunnen hierdoor veel sneller dan voorheen grote hoeveelheden hoogwaardige phishing e-mails in meerdere talen versturen. Grootschalige phishingaanvallen worden zo dus efficiënter en effectiever, waarschuwt het bedrijf.
"De opkomst van AI-aangedreven 'large language-modellen' en potentiële schaalgroottes die daarbij komen kijken, intensiveert het landschap van cyberdreigingen", aldus Hellemann. "De eerste studies laten zien dat AI nu al betere phishing-mails schrijft dan mensen. Onze data illustreren de gevolgen daarvan met 1 op de 5 mensen die nu al vallen voor AI-gegenereerde phishing-aanvallen.”
'Dit is slechts het begin'
Helleman geeft aan dat dit zelfs nog maar het begin is. “De technologie zal zich blijven ontwikkelen en cybercriminelen steeds meer mogelijkheden bieden. De overgang van Chat GPT-3 naar Chat GPT-4 heeft de mogelijkheden voor personalisering in grote aantallen sterk vergroot. We testen deze technologie momenteel en verwachten binnenkort verdere resultaten daarvan. Het is essentieel dat organisaties gelijke tred houden met deze ontwikkeling en hun werknemers bewuster maken van cyberdreigingen, de impact van nieuwe technologieën om deze te detecteren, en aanvallen op te merken en te rapporteren."