Een financieel medewerker van een multinational maakte vorig jaar ruim 25 miljoen dollar over, nadat zijn CFO hem dat in een videomeeting had opgedragen. Eén kink in de kabel: de vraag kwam niet echt van de CFO, maar van een deepfake-imitatie van de CFO en van een aantal collega’s die de online vergadering bijwoonden.
Artificial Intelligence (AI) en zelflerende machines leken lange tijd iets uit sciencefiction, maar de casus van de CFO toont dat de realiteit onze verbeelding heeft ingehaald. Vooral sinds het grote publiek ChatGPT leerde kennen zijn chatbots, computervertalingen, kunstmatig gegenereerde video’s en andere AI-producten gemeengoed geworden.
‘Er zijn veel dingen aan het veranderen door de kracht van LLM’s die fundamenteel toeneemt. Sinds vorig jaar kan zo’n model bijvoorbeeld redeneren. Dat betekent dat het moment van AGI (artificial general intelligence, AI die ongeveer even goed denkt als een mens, nvdr) dichterbij komt. Veel van wat AI kon, doet het veel efficiënter vandaag,’ zegt Daan Raman, medeoprichter en innovation director bij het Brusselse cybersecuritybedrijf Nviso.
‘Bij DNS Belgium schat een zelf ontwikkelde AI-tool voor elke nieuwe domeinnaam- registratie in of die met malafide bedoelingen gebeurt.’
Dat maakt dat AI op veel plaatsen voor meer efficiëntie zorgt, onder meer in cyberbeveiliging. Zo kan AI of Machine Learning (ML) bijvoorbeeld netwerkbeveiliging en fraudedetectiesoftware krachtiger maken, of worden anomalieën op het netwerk makkelijker ontdekt.
‘Bij DNS Belgium doen we dat onder meer met Regcheck, een zelf ontwikkelde AI-tool die voor elke nieuwe domeinnaamregistratie inschat of die met malafide bedoelingen gebeurt,’ zegt Maarten Bosteels, hoofd R&D bij DNS Belgium. ‘Die eerste controle gebeurt vandaag veel efficiënter met behulp van AI. Vroeger hadden we daar regels voor, vandaag is dat een zelflerend systeem dat ook nieuwe patronen herkent. Als een oplichter van aanpak wisselt, is de kans groot dat Regcheck dat detecteert.’
Raman: ‘AI komt enorm van pas bij bijvoorbeeld het analyseren van phishingmails. Doe je dat enkel door een mens, dan ga je subtiliteiten missen. Zoiets doe je vandaag deels door AI, ik benadruk ‘deels’, want zaken als hallucinaties blijven bestaan. Maar idealiter combineer je traditionele analyse door mensen, met een AI-analyse.’
Ook bij DNS Belgium combineren we AI met menselijke expertise. Bosteels: ‘Regcheck beslist welke domeinnamen extra controle nodig hebben en daar komt geen mens bij kijken. Maar de opvolging gebeurt vaak wel door een mens.’
Thomas Daniels, onderzoeker bij DNS Belgium: ‘Voor nieuwe registraties kan je dat proactief doen omdat daar nog geen website draait. Het detecteren en verwijderen van frauduleuze webshops kan je niet alleen door AI laten afhandelen. Als het systeem daar een fout zou maken en een legitieme site onbereikbaar maakt, is de impact op het bedrijf achter die domeinnaam mogelijk heel groot.’
AI en ML als wapens van cybercriminelen
Intussen hebben ook cybercriminelen AI ontdekt als een krachtig hulpmiddel om hun werk te vereenvoudigen.
ENISA (het EU-agentschap voor cybersecurity), Europol en andere cybersecurity-instellingen noteerden een verdubbeling van het aantal cyberaanvallen met AI tussen het vierde kwartaal van 2023 naar het eerste kwartaal van 2024. Zoals het voorbeeld van de nagebootste CFO aantoont, helpt AI cybercriminelen om hun aanvallen slimmer en overtuigender te maken.
‘AI komt enorm van pas bij bijvoorbeeld het analyseren van phishingmails. Doe je dat enkel door een mens, dan ga je subtiliteiten missen.'
‘Tot twee jaar geleden moest je min of meer een doctoraat hebben om dat geloofwaardig te kunnen doen. Vandaag zijn er tools om een fake video te maken in de taal die je wilt, waarbij de lippen perfect gesynchroniseerd met de audio lopen,’ aldus de securityexpert van Nviso. ‘We hebben toen voor een bank een video gemaakt waar hun CEO een speech van dertig seconden gaf. Dat was toen twee weken werk. Met de juiste tools maak je dat vandaag op drie uur tijd. Het is ongelooflijk wat vandaag mogelijk is.’
Phishing 2.0
Waar je vroeger vaak taalfouten of vreemde zinsconstructies zag, schrijft AI nu geloofwaardige, foutloze mails. Met machine learning kunnen tools leren uit eerdere communicatie om zo e-mails genereren die de schrijfstijl van een persoon of instelling perfect nabootsen.
Raman: ‘AI kan de klok rond zo’n mails opstellen. Een gerichte phishingmail naar een specifiek individu, daar moest je vroeger als aanvaller uren informatie rond verzamelen en een script of e-mail goed uitwerken. Daarom dat zo'n berichten vooral focusten op CEO’s, want als dat lukte, was de ‘winst’ vaak groot. Kunstmatige intelligentie wordt niet moe, je kan het opdrachten geven voor honderden individuen, het verzamelt zelfstandig informatie over hen en stelt een quasi-perfecte mail op voor een paar euro. Dat is een grote shift in hoe gerichte phishing vandaag gebeurt.’
Slimmere cyberaanvallen en malware
Zoals AI en ML helpen om cyberaanvallen af te weren, gebruiken criminelen ze ook om hun acties op te schalen tot een ongeziene complexiteit en snelheid. Die ontwikkelingen zorgden het afgelopen jaar onder meer voor de eerste ransomware die volledig door AI werd gemaakt.
Software zoals ChatGPT heeft een aantal ingebouwde beveiligingen om te voorkomen dat gebruikers kwaadaardige code maken. Maar wie er slim genoeg mee omspringt, kan die alsnog omzeilen of AI-tools vinden die daar minder strikt in zijn. Er bestaat intussen zoiets als ‘polymorfe malware ’. Dat is door AI gegenereerde malware die zijn code voortdurend verandert om detectie- en beveiligingssoftware te omzeilen.
‘Zo’n stukje malware schrijft zelf een script om detectie te omzeilen en is flexibel op basis van het doelwit,’ aldus Raman. ‘Dat maakt het moeilijk om herkenningspatronen (signatures) te maken van malware. Vroeger had een virus specifieke kenmerken waar een scanner kon naar zoeken. Vandaag liggen die kenmerken niet vast en moet een beveiligingssysteem naar gedrag kijken.’
AI als verdedigingstool
Cybersecurity-experts en cybercriminelen strijden gelukkig met gelijke wapens. De inspanningen van de eerste groep maken dat verdachte situaties sneller worden ontdekt.
Razendsnelle detectie van dreigingen
AI leert hoe normaal gedrag eruitziet in een systeem of een netwerk en analyseert dat. Elke afwijking van het normale gedrag van bestanden, gebruikers of netwerkverkeer detecteert het en kan het melden als een potentiële bedreiging.
Deze technologie overtreft traditionele methoden door continu te leren, zich snel aan te passen en realtime waarschuwingen en geautomatiseerde reacties te geven op bekende en onbekende bedreigingen.
Tegelijk nuanceert Daniels als onderzoeker bij DNS Belgium wel dat de recente ontwikkelingen in taalmodellen (LLM’s) en dus generatieve AI (genAI) maar een stukje zijn van het volledige verhaal. ‘We hebben tools in gebruik die gebaseerd zijn op een modelarchitectuur uit 2017. Dat werkt vandaag op een vergelijkbare manier. Anderen, die wel gebaseerd zijn op taalmodellen, zijn natuurlijk wel beter geworden door die evolutie van de laatste jaren.’
Vaak nuttig, maar niet altijd nodig
Het grote voordeel van AI zit niet alleen in de detectiesnelheid maar ook in de verwerkingscapaciteit. Het kan enorme datastromen van verschillende bronnen (logboeken, netwerkverkeer, gebruikersactiviteit) tegelijk screenen, verwerken en uiterst snel afwijkingen opsporen die voor mensen onzichtbaar blijven.
Tegelijk moeten we ook nuanceren dat AI veel kan, maar niet in elke situatie de beste oplossing is. ‘Niet alle automatisering is AI. Als je rule-based dingen programmeert, dan zijn die algemeen sneller uitvoerbaar dan een AI-systeem, en het vraagt minder resources om te werken,’ legt Bosteels uit.
Wat doet DNS Belgium?
Bij DNS Belgium benutten we al jaren de mogelijkheden van AI en ML om het internet in België veilig te houden.
Al in 2019 begonnen we met de ontwikkeling van een open source crawler die automatisch publiek beschikbare data van .be-domeinnamen verzamelt. Die data vormen de input voor onder meer het detecteren van frauduleuze webshops.
We hebben met Regcheck een AI-model ontwikkeld dat inschat of een nieuw geregistreerde domeinnaam zal worden gebruikt voor phishing of andere frauduleuze zaken. De mensen achter die domeinnamen krijgen een identiteitscontrole vooraleer hun domein beschikbaar is, zo treedt DNS Belgium preventief op tegen misbruik.
Ook werkt DNS Belgium actief aan meer digitale geletterdheid en bewustzijn rond cybersecurity. Zo zorgen we er zo voor dat meer mensen online dreigingen of oplichting herkennen, ongeacht hoe AI daarbij wordt ingezet of niet.
- Een artikel over cybersecurity gemist? Bekijk ze hieronder bij ‘Verder lezen’.
Met dit artikel ondersteunen we de Duurzame Ontwikkelingsdoelen van de Verenigde Naties.