Wat is deepfake vishing en wat kan je ertegen doen?

Het woord 'vishing' is een samenvoeging van de woorden 'voice' en 'phishing'. Daarmee is de lading perfect gedekt, want een vishing-aanval is het vissen naar gevoelige data bij mensen met een stem. Dat wil zeggen dat een aanvaller doorgaans telefonisch contact opneemt met zijn doelwit. Dat is op zich niets nieuws, maar dankzij de opkomst van AI en met name AI-stemgeneratoren, is deze vorm van cybercriminaliteit zowel populairder als lastiger te detecteren aan het worden.

Het is namelijk enorm eenvoudig om een stem van iemand na te maken met AI en zelfs om AI's gesprekken met deze stem te laten voeren. In sommige gevallen is er niet meer dan een stemopname van zo'n drie seconden nodig van degene die de kwaadwillende wil nadoen, om een volledig en niet van echt te onderscheidende pratende AI-stem te maken. Zelfs intonaties, emoties en andere persoonlijke eigenschappen kunnen worden opgenomen door de AI-stemgenerator.

Je hoeft hierbij niet heel lang na te denken om de enorme risico's van deze technologie te kunnen inzien. Ook zijn er al genoeg voorbeelden van momenten waarop vishing-aanvallen slaagden. Neem bijvoorbeeld de hele rits aan grote bedrijven die onlangs achter elkaar datalekken kenbaar maakten. Veel van deze aanvallen begonnen met een belletje met een AI-stem waardoor een medewerker van het bedrijf een actie ondernam en daarmee het digitale dievengilde binnenliet.

Een beller is sneller

Nu claimen AI-makers dat ze dit soort gebruik van hun stemgeneratoren op verschillende manieren tegengaan, maar uit tests is gebleken dat deze beperkingen eenvoudig te omzeilen zijn. Aan de andere kant is het ook lastig om vanuit de kant van het slachtoffer beveiliging aan te brengen tegen dit soort criminele praktijken. Hierbij komt namelijk de zwakste schakel in bijna elke beveiliging naar voren: de mens.

Juist dat maakt vishing zo effectief. Het maakt niet allen misbruik van het vertrouwen dat mensen hebben bij het horen van een bekende stem, ook is er bij telefoontjes vaak een tijdsdruk, of wordt die gecreëerd. Aanvallers kunnen bijvoorbeeld claimen dat er snel gehandeld moet worden, omdat de veiligheid van het bedrijf op het spel staat. Het slachtoffer is dan eerder geneigd in te grijpen zonder eerst bij anderen binnen het bedrijf navraag te doen.

Persoonlijke informatie als wapen

Tegelijk wordt dit menselijke element vaak als mogelijke bescherming voor dit soort aanvallen aangebracht. Dingen als het vragen naar iets wat alleen de echte persoon aan de andere kant van de lijn zou moeten weten, zouden hulp kunnen bieden. Hierbij wordt uitgegaan van het idee dat de AI aan de andere kant dit soort informatie niet heeft en dus geen of een fout antwoord geeft. Maar dat is een aanname waar de aanvallers ook mee werken en de kans is dus aanwezig dat dit soort informatie toch paraat gehouden wordt.

Sterker nog, het is beter om hier als potentieel slachtoffer juist rekening mee te houden. Met het kunnen voorschotelen van persoonlijke informatie kan de aanvaller juist meer vertrouwen kweken.

Wat kan je dan wel doen?

Zoals je leest is het erg lastig aan het worden om deepfake vishing te ondervangen. Daarbij lijkt het een steeds vaker voorkomende manier van aanvallen worden, want een bijkomend voordeel voor de vishers is dat een belletje in veel gevallen lastig of zelfs helemaal niet te herleiden is. De kans is groot dat er geen opnames worden gemaakt van het gevoerde gesprek en dat er ook geen logs zijn. Dat maakt dat de crimineel in kwestie relatief risicoloos een poging kan wagen, omdat hij er bijna wel zeker van is dat hij ermee wegkomt, zelfs als de aanval mislukt.

Omdat deze manier van aanvallen zoveel op menselijk handelen leunt, is het dan ook essentieel om medewerkers te trainen. Laat ze kennismaken met mogelijke vishing-scenario’s en laat voorbeelden horen van hoe vishing zou kunnen klinken.

Je zou ook kunnen overwegen om een zero trust-cultuur bij telefonische verzoeken in te stellen waarbij bijvoorbeeld terugbelverificatie vereist is bij verdachte verzoeken. Alsook de eis om gesprekken in alle gevallen op te nemen.