Boeven vang je met boeven, luidt het spreekwoord. Maar cybercriminelen vang je met psychologen. Zo veel is duidelijk tijdens de Human Firewall Conference (HuFiCon) van SoSafe in Keulen. Niet voor niets is dit bedrijf dat security-bewustwording propageert, vijf jaar geleden mede-opgericht door een psycholoog: Niklas Helleman.
In zijn openingstoespraak van de conferentie in Keulen (foto) gaat Helleman in op de ontwikkeling van het Duitse bedrijf. ‘We begonnen vijf jaar geleden als een Duits bedrijf, maar inmiddels hebben we ook kantoren in Londen, Amsterdam, Parijs en Berlijn. Recent hebben we een kantoor geopend in München en in Lissabon een technology-hub. En in Keulen hebben we een nieuw hoofdkantoor betrokken. We zijn gegroeid naar meer dan 4500 klanten wereldwijd, wat neerkomt op drie miljoen gebruikers.’
In 2022 was de eerste HuFiCon. ‘Toen met 200 mensen; nu hebben we 1500 bezoekers. En kijken er wereldwijd tallozen mee. Ik geloof dat we een traditie hebben geschapen’, aldus de directeur. Hij beklemtoont dat menselijk gedrag de kern is van de programma’s die SoSafe ontwikkelt en uitvoert. ‘Het gaat altijd om mensen!’
Cyber Heroes
Achter Helleman verschijnt op het scherm een door kunstmatige intelligentie geproduceerde afbeelding van hem. Hij begint aan zijn eigenlijke toespraak: ‘Cyber heroes: artificial intelligence vs. Intelligent people’. Hij roemt de recente ontwikkeling van ai. ‘GPT2 in 2019 leverde nog 99 procent hallucinaties op. Tegenwoordig levert ChatGPT4 super overtuigende uitkomsten. Dat geldt ook voor de afbeeldingen die we hebben laten maken van onze sprekers. Wij leven in een wereld met toenemend gebruik van ai. En daar is een duistere kant aan.’
Hij haalt WormGPT aan. Dat wordt gebruikt om criminele activiteiten, zoals phishing, uit te voeren. Op dit punt brengt Helleman de ‘Human Risk Review 2023’ naar voren, een weergave van experts op de Europese cyberdreigingen en een beschrijving van strategieën om daarmee om te gaan. SoSafe heeft in het drukwerk acht trends gecategoriseerd: ‘kunstmatige intelligentie’, ‘evergreen phishing’, ‘multichannel phishing’, ‘tekort aan cybertalent & burnout’, ‘digitale aanvallen op leveringsketens’, ‘ransomware’, ‘geopolitieke crises’ en ‘het mislukken van multifactor authentication’.
Er zijn volgens de directeur drie miljoen vacatures voor cyberspecialisten en degenen die werken, staan voortdurend onder druk. MFA-fails staat voor hem als een symbool dat ‘we te veel vertrouwen hebben in technologische oplossingen; dat is een gevaarlijke ontwikkeling’.
Emoties
Uit onderzoek van SoSafe blijkt dat phishing nog steeds succesvol is. Een op de drie eindgebruikers klikt om een link in phishing berichten. En een op de twee blijkt bereid gevoelige informatie te delen. Social engineers – degenen die de digitale aanvallen samenstellen – gebruiken alle onzekerheden die worden veroorzaakt door de geopolitieke crises. Dan gaat het niet alleen over oorlogen, maar bijvoorbeeld ook Covid-19. ‘Ze spelen in op angsten, maar ook op de menselijke reactie om hulp te verlenen. Zo worden mensen gevraagd geld over te maken naar een rekening die belooft mensen in Oekraïne te helpen; of verwanten die in nood verkeren. Je hoeft geen ethiek te verwachten van de aanvallers.’
Helleman belicht welke emoties aanvallers aanspreken om iemand te verleiden ergens op te klikken: nieuwsgierigheid (25%), vertrouwen (25%), druk (24%), autoriteit (28%), hulpvaardigheid (28%), financiële smeekbedes (18%) en lof (29%). Dit telt op tot meer dan 100%, omdat in veel berichten meerdere emoties worden aangesproken.
De meeste berichten vallen onder het kopje ‘evergreen phishing’, dus email-berichten. Maar het laatste jaar laat zien dat criminelen steeds meer kanalen gebruiken om mensen te verlokken. Helleman haalt het voorbeeld aan van MGM in Las Vegas. De ‘Human Risk Review 2023’ laat zien dat email nog steeds het dominante kanaal is (61%), maar dat andere verbindingen in belang toenemen: social media (34%), tekstberichten (29%), samenwerkingsgereedschap (28%; denk aan Teams) en apps voor berichtenverkeer (26%). Daarbij, zo vertelt Helleman, is er een trend dat criminelen meerdere kanalen gebruiken, zoals eerste een telefoontje, gevolgd door een email.
Deepfakes
Helleman keert terug op kunstmatige intelligentie. Hij komt met voorbeelden van deepfakes: een foto van een explosie in de buurt van het Pentagon die nooit heeft plaatsgevonden, maar niettemin viraal ging. Ook stemmen worden nagebootst. Zo maakte iemand 35 miljoen dollar over, omdat hij meende dat zijn directeur hem dat opdroeg. 74 Procent van de cyberspecialisten verwacht dat deze vorm van cybercriminaliteit sterk toeneemt.
Grote taalmodellen, zoals ChatGPT4, helpen om spearphishing berichten op te stellen. ‘Hiermee kunnen de criminelen veertig procent tijdwinst behalen. Maar schrikbarender is het succes van dergelijke aanvallen: 64 procent klikt op de link, en de interaction rate is zelfs 87 procent. We kunnen daarom veel meer van dit soort ai-gebaseerde aanvallen verwachten.’
Bewustwording verbeteren
Medeoprichter van en uitvinder bij SoSafe Felix Schürholz vergezelt Helleman op het podium. Hij legt uit dat de grote taalmodellen het mogelijk maken om de op specifieke personen gerichte aanvallen (spearphishing) op zeer grote schaal toe te passen. Hij schetst hoe een aanvaller te werk gaat. Dat begint met het verzamelen van gegevens over een persoon. Op internet (darknet, Facebook, LinkedIn, etc is erg veel te vinden). Dan verzin je een plausibel verhaal om het slachtoffer te laten klikken, verrijk dit bericht met video, audio, html of beeld en ten slotte kies het aanvalskanaal (of -kanalen).
De vraag is vervolgens, aldus Helleman, wat we hiertegen kunnen doen. ‘We moeten mensen vertellen hoe de criminelen te werk gaan. Het goede nieuws is dat organisaties het verbeteren van de bewustwording bij medewerkers op nummer één heeft staan. Negentig procent van de bedrijven gaat in 2024 sterker inzetten op middelen om de bewustwording te versterken. Daarbij is het nodig de programma’s af te stemmen op de specifieke personen. Ons onderzoek laat ook zien dat bedrijven daar budget voor vrijmaken.’
Helleman komt met een voorbeeld van Reddit waar een medewerker op een verkeerde link had geklikt. ‘Het goede is dat hij vervolgens zijn collega’s van it-beveiliging op de hoogte stelde. Vier dagen later kon dit team de aanval isoleren. En, ook belangrijk, de rest van de organisatie vertellen wat er was gebeurd en hoe het is opgelost.’
Hij geeft aan wat de winnende combinatie is: een cultuur van open communicatie (het helpt niet om iets onder de pet te willen houden), snelle detectie, en tot slot transparantie over incidenten. Zo creëer je Cyber Heroes, een menselijke firewall.
