KnowBe4 waarschuwt voor de combinatie van phishing en deepfake

KnowBe4 is specialist in de menselijke kant van cybersecurity. Dat past perfect bij de expertise van Kraemer, die een achtergrond als wetenschapper heeft. “Ik heb mijn PhD behaald door onderzoek te doen naar security en privacy vanuit het perspectief van menselijk gedrag”, vertelt hij. “Dat sluit heel goed aan bij de functie die ik nu heb. Ik richt me op onderwerpen zoals human risk management, securitycultuur en bewustwording. Daarnaast heb ik veel interesse in de impact van large language models en deepfakes.”

Hij spreekt over een combinatie van oude en nieuwe gevaren. “De realiteit is dat we nog steeds heel veel dingen zien die we al lang kennen, zelfs van voor de covid-pandemie. De basis blijft onveranderd: social engineering-aanvallen door middel van phishing.” Dat soort aanvallen zijn voor cybercriminelen een beetje als schieten met hagel. “Ze worden op grote schaal uitgevoerd, vooral richting individueën, en ze zijn nog altijd succesvol. Bij bedrijven zien we een toename van business email compromise en andere gerichte aanvallen. Die zijn voor de aanvallers kostbaarder maar ook lucratiever.”

Theatervoorstelling met deepfakes

Daarnaast ziet hij aan de kant van de cybercriminelen een duidelijke toename van het gebruik van kunstmatige intelligentie, waaronder deepfake-technologie. “Aanvallers hebben succes door de mogelijkheden van AI te combineren met traditionele phishing-methodes.” Hij geeft een extreem voorbeeld. “In Hong Kong is er een incident geweest waarbij een Brits bedrijf een bedrag van bijna 25 miljoen pond heeft verloren. Dat begon met een phishing e-mail. Die verwees naar een online meeting die vol zat met deepfakes, als een soort theatervoorstelling. Er zat maar één echt persoon in de meeting. We weten niet alles, maar het ging waarschijnlijk over een investeringsmogelijkheid. Het zat blijkbaar zo overtuigend in elkaar dat de financiële verantwoordelijke via meerdere transacties 200 miljoen Hong Kong Dollars heeft overgemaakt. De combinatie van verschillende media maakt het gevaarlijk. Gewone phishing-mails worden vaak herkend en we raken ook steeds meer gewend aan deepfakes op social media en telefoongesprekken die niet echt zijn. Maar als alles wordt gecombineerd, herkennen we minder snel dat er iets niet klopt.”

“Op het darkweb zijn er steeds meer toolkits beschikbaar voor het maken van deepfakes”, weet Kraemer. “Dat kan deepfake-technologie zijn voor bijvoorbeeld business email compromise, voor het in elkaar zetten van online meetings en voor sextortion. Dat is zorgwekkend, want dat die toolkits bestaan betekent dat er een vraag is vanuit cybercriminelen. We zullen dus steeds meer gecombineerde aanvallen met phishing en deepfakes gaan zien. Dat blijkt ook uit wetenschappelijke onderzoeken.”

Cybercriminelen gebruiken large language models ook steeds vaker en beter, zo merkt hij. “Het gebruik van large language models zorgt voor phishing e-mails die overtuigender zijn. Spelfouten of schrijfstijl zijn daardoor nauwelijks nog een manier om zo’n mail te herkennen. Je moet echt op zoek naar het vaste recept dat social engineers gebruiken. We hebben emotionele intelligentie nodig om ons te wapenen tegen dit soort mails.”

Mensen, processen en technologie

Ondanks de dreigingen die hij ziet, wil Kraemer geen doemscenario schetsen. “Het goede nieuws is dat we deze ontwikkelingen bij KnowBe4 al langer zien en dat we er, tot op zekere hoogte, op voorbereid zijn. De eerste stap blijft hetzelfde: de bewustwording moet omhoog. We wijzen er daarom continu op dat deepfakes bestaan, dat het gecombineerd kan worden met phishing en dat je met deepfake-videocalls te maken kunt krijgen. We leren mensen wat de risico’s zijn en waarom iedereen nodig is om goed beschermd te zijn. We laten het medewerkers ook beleven door ze deepfakes te laten zien. Maar het onderwijzen is altijd maar een derde deel van de oplossing. Daarnaast moeten mensen weten wat ze moeten doen als ze iets verdachts vinden. Wie kan ze helpen? Het derde deel is het investeren in een laag van technologie. Net zoals er filters zijn voor traditionele phishing-mails, bestaat er ook techniek die deepfakes herkent.”

Zelf maakt KnowBe4 in haar eigen educatie-platform uiteraard ook gebruik van AI. “Chatbots helpen je om trainingen gepersonaliseerd te maken. In onze phishing-simulaties gebruiken we AI bij het kiezen van templates, waarbij we rekening houden met iemands rol en risicoprofiel. We gebruiken AI ook om de mensen te helpen die binnen organisaties de trainingen verzorgen.”

Er gebeurt veel bij KnowBe4. “We hebben recent het bedrijf Egress overgenomen. Dat is een specialist in e-mail-beveiliging. Het laat zien wat de rode vlaggen in e-mails zijn en houdt daarbij ook rekening met de verschillende risicoprofielen van mensen. De kennis die zij hebben van hoe mensen e-mail gebruiken combineren we nu met onze leeromgeving, waardoor we verbeterde leermogelijkheden bieden. Die zijn nog specifieker toegespitst op de context van een medewerker. De trainingen worden daardoor overtuigender en interessanter, waardoor mensen zich uiteindelijk meer gaan interesseren in cybersecurity. Daarnaast krijgen wij er door de overname een tak van e-mail-beveiliging bij. Dat is belangrijk, want uiteindelijk gaat het volgens ons altijd om de combinatie van mensen, processen en technologie. We merken dat de totale branche dat nu oppakt. Forrester spreekt nu over human risk management, wat een prima term is. Daarbij gaat het om dezelfde combinatie die wij al lang hanteren.”

Indirect verkoopmodel

Het verkoopmodel van KnowBe4 in Nederland is grotendeels indirect. Kraemer: “We hebben verschillende soorten partners die allemaal even belangrijk voor ons zijn. Grote enterprises zijn vooral geïnteresseerd in ons awareness-programma. Kleine en middelgrote organisaties outsourcen regelmatig hun hele IT en dan zijn managed service providers heel belangrijk. Wij werken nauw met alle partners samen, zodat ze een mooi portfolio kunnen aanbieden waarmee zij hun klanten kunnen helpen om veiliger te worden.”