Hoe cybercriminelen deepfake kunnen toepassen in hun social engineering-aanvallen

Persbericht - Deepfake is geen nieuwe technologie. Het is wel een technologie die steeds geavanceerder wordt. Hoe geavanceerder, hoe moeilijker om te gebruiken? In dit geval juist niet. Deepfake neemt zo’n vaart dat het op termijn voor bijna iedereen mogelijk is om een ogenschijnlijk realistisch beeld van een ander te maken. Een technologie die daarom ook voor cybercriminelen interessanter wordt om toe te passen in hun social engineering-aanvallen. Zijn organisaties zich voldoende bewust van dit opkomende gev

Niet meer van echt te onderscheiden
We zien de laatste tijd steeds vaker deepfake-filmpjes in de media verschijnen. Vaak lachen we er nog om ook, omdat de persoon in kwestie ‘in het echt’ nooit zulke opmerkelijke uitspraken zou doen. Neem bijvoorbeeld de video van De Correspondent die in november 2021 viraal ging, waarin demissionair premier Mark Rutte een radicaal nieuw klimaatbeleid voorstelde. Hoewel die door de enigszins afwijkende stem (een bewuste keuze) nog wel van echt te onderscheiden was, was de boodschap serieus van aard. De daaropvolgende discussie in de media ging alleen niet over het klimaat, maar over het fenomeen deepfake. Hoe dichtbij zijn we bij het moment dat video’s die met het blote oog niet meer van echt te onderscheiden zijn, niet met een goede, maar met kwade bedoelingen worden ingezet? Als je het mij vraagt: daar zijn we allang aanbeland.

Deepfake als tactiek in cybercrime
Cybercriminelen kiezen meestal voor de makkelijkste weg om hun doel te behalen. Zo staat een phishing-e-mail aan de basis van meer dan 90% van alle geslaagde cyberaanvallen, waardoor steeds meer organisaties kennismaken met de gevolgen van ransomware. Zolang organisaties hun medewerkers onvoldoende trainen op het gebied van security awareness, zal dat voorlopig ook wel zo blijven, gezien het grote succes dat cybercriminelen hiermee boeken. Maar nu het steeds makkelijker wordt om deepfake te gebruiken, zullen cybercriminelen hier in toenemende mate ook hun heil in gaan zoeken. In maart 2021 waarschuwde de FBI al voor een nieuwe aanvalsvector die ze Business Identity Compromise (BIC) hebben genoemd. Ik noem het liever: Business Email Compromise op steroïden. Wat gebeurt er? Een cybercrimineel doet zich voor als een ander, bijvoorbeeld een journalist of medewerker van jouw bedrijf. Vervolgens stuurt hij een andere medewerker een uitnodiging om te (video)bellen. Net als bij phishing-e-mails is zo’n uitnodiging lastig te onderscheiden van een echte corporate e-mail. Het gevolg is zeer onwenselijk: een medewerker (video)belt met zijn of haar ‘collega’ en deelt (mogelijk) vertrouwelijke informatie omdat die ‘collega’ hierom vraagt.

Een andere mogelijkheid is het toepassen van deepfake in ‘revenge porn’. Een cybercrimineel chanteert iemand in je organisatie met het verspreiden van seksueel getinte video’s. Video’s die natuurlijk niet echt zijn, maar er wel heel echt uitzien. En sta je dan als medewerker sterk genoeg in je schoenen om hier niet in mee te gaan? Zeker als je een hooggeplaatste functie in een organisatie hebt, is het risico erg groot dat je reputatie een flinke deuk oploopt.

Werken aan bewustzijn en detectie-mogelijkheden
Waar je medewerkers met behulp van security awareness-training kunt trainen op het herkennen van phishing-emails, is dat in het geval van deepfake al een stuk lastiger. Maar bewustzijn is stap één: wanneer iemand in een call om bedrijfsgevoelige informatie vraagt, moet dat aan het denken zetten. Kun je daarop vertrouwen? Nee, niet zondermeer. Daarom is stap twee nodig: detectie. Gelukkig zijn al diverse start-ups bezig met het ontwikkelen van technologie die in staat is om deepfake te herkennen, zodat bijvoorbeeld een videocall na detectie onmiddellijk kan worden afgesloten. Maar wordt deepfake en daarmee Business Identity Compromise (BIC) al genoemd als gevaarlijke aanvalsvector in de security-strategie van grote organisaties? Bij andere vormen van social engineerning en cybercriminaliteit heb ik ervaren dat dit pas gaat leven als het kwaad al is geschied en meerdere organisaties het slachtoffer zijn geworden. Ik vermoed dat dat ook zo zal gaan bij deefake. Probeer dat te voorkomen: wat kan uw organisatie zelf al doen om BIC tegen te gaan?