Mensen zijn fundamenteel sociale wezens. Taal bepaalt dan ook hoe we socialiseren en communiceren. De taal is de basis van onze samenleving, want het zorgt ervoor dat we elkaar begrijpen. Als mens spreken we eigenlijk twee talen: die van de overheid en het bedrijfsleven, en het dialect uit de regio waar we zijn opgegroeid. En wanneer we die laatste versie horen of lezen, krijgen we een soort samenhorigheidsgevoel met de persoon die die schrijft of spreekt. Dialect zorgt voor een ontwapeningseffect.
Het probleem is dat generatieve AI (GenAI) bedreigingsactoren helpt om in ons hoofd te kruipen, ook als ze niet meteen kennis hebben over de subtiele accenten van onze dialecttaal. Dankzij GenAI kunnen ze makkelijker een sociale connectie aangaan met hun slachtoffers en zo hun nu al overtuigende fraude- en desinformatiecampagnes nog verder versterken.
De taal van cybercrime
Wanneer we het dialect van onze geboorteplaats of uit onze kindertijd lezen, kan dat een vreemd psychologisch effect hebben. Het creëert een gevoel van empathie met de persoon die het schrijft. Zelfs wanneer we zien dat het kunstmatig wordt gegenereerd door GenAI kan het een soortgelijke impact hebben.
Maar helaas liggen hier ook kansen voor cybercriminelen. Neem phishing, nog steeds een van de belangrijkste methodes voor cyberaanvallen, goed voor bijna een kwart van alle ransomware-gevallen in het vierde kwartaal van 2023. In wezen berust phishing op social engineering: een fraudeur probeert zijn slachtoffer te manipuleren om zijn bevelen uit te voeren. Dit doen ze door officiële logo’s en afzendingsdomeinen te gebruiken. Maar taal speelt ook een belangrijke rol.
Dit is waar GenAI opportunistische bedreigers een voorsprong kan geven. Door phishingberichten te schrijven in een dialect dat de ontvanger meteen begrijpt, kan de bedreiger het vertrouwen winnen en zijn slachtoffer misleiden. In een bedrijfsomgeving zal dit misschien minder werken, maar het kan wel gebruikt worden bij oplichtingspraktijken gericht op consumenten. Van GenAI wordt al voorspeld dat het phishing kan versnellen door grammaticaal perfecte inhoud in meerdere talen te genereren. Waarom niet ook meerdere dialecten?
Van GenAI wordt al voorspeld dat het phishing kan versnellen.
Pieter Molen
Volgens dezelfde logica zouden oplichters GenAI kunnen gebruiken om het vertrouwen van hun slachtoffers te winnen bij romantische en andere vormen van vertrouwensfraude. Het gebruik van dialecten kan een cruciale rol spelen in het overwinnen van onze steeds sceptischere houding ten opzichte van mensen die we online ontmoeten.
Bommen maken en fake news verspreiden
Een andere bedreiging is dit jaar groot: desinformatie. Desinformatie en fake news werden onlangs door het World Economic Forum (WEF) gerangschikt als het grootste mondiale risico voor de komende twee jaar. Een kwart van de wereldbevolking trekt in 2024 naar de stembus. En dus groeit de bezorgdheid dat kwaadwillende actoren zullen proberen de resultaten in de richting van hun favoriete kandidaten te sturen of het vertrouwen in het hele democratische proces zullen ondermijnen. Terwijl meer ervaren internetgebruikers steeds kritischer worden over het nieuws dat ze online lezen, zou dialect hier opnieuw een troef kunnen zijn voor dreigingsactoren.
Ten eerste wordt het niet op grote schaal gebruikt. Dat betekent dat we meer aandacht besteden aan inhoud die in een specifiek dialect is geschreven. We lezen misschien een bericht op sociale media dat in dialect is geschreven, al is het maar voor het plezier om te kunnen ontcijferen wat het betekent. Als het ons eigen dialect is, voelen we ons misschien meer vertrouwd met de persoon – of machine – die het bericht heeft geplaatst. Politici en cyberbeveiligingsdeskundigen kunnen ons waarschuwen voor verkiezingsinmenging door buitenlanders. Maar wat is er minder “buitenlands” dan een account die berichten plaatst in een lokaal of regionaal dialect dicht bij huis?
Tot slot moet je bedenken hoe dialecten bedreigingsactoren in staat kunnen stellen om GenAI-systemen te “jailbreaken”. Onderzoekers van de Brown University in de VS gebruikten weinig gesproken talen zoals Gaelic om precies dit te doen met ChatGPT. De OpenAI chatbot heeft specifieke veiligheidsmaatregelen ingebouwd, zoals het weigeren om een gebruiker instructies te geven over hoe hij een bom moet maken. Toen de onderzoekers ChatGPT echter in zeldzame talen vroegen om onethische dingen te doen, kregen ze toegang tot de verboden informatie. Volgens berichten in de media is Open AI zich bewust van het risico en onderneemt het al stappen om dit te beperken. Maar we moeten niet vergeten dat hoewel GenAI “intelligent” lijkt, het soms de naïviteit van een vierjarige heeft.
Tijd voor educatie
Wat is dan de oplossing? Natuurlijk moeten AI-ontwikkelaars betere bescherming inbouwen tegen misbruik van GenAI’s mogelijkheden om dialecten te genereren. Maar gebruikers moeten potentiële bedreigingen misschien ook beter inschatten en sceptischer worden ten aanzien van wat ze online lezen en bekijken. Bedrijven moeten dialect opnemen in hun trainingsprogramma’s tegen phishing/fraude. En overheden en sectororganisaties zouden op grotere schaal bewustmakingscampagnes kunnen opzetten. Aangezien GenAI steeds vaker wordt gebruikt voor kwaadaardige doeleinden, kan slechte taalvaardigheid op den duur zelfs een teken van geloofwaardigheid worden in geschreven communicatie.
Vandaag is dit misschien nog niet aan de orde, maar als cyberbeveiligingsprofessionals moeten we erkennen dat dit binnenkort wel het geval zou kunnen zijn.
Dit is een ingezonden bijdrage van Pieter Molen, Technical Director Benelux bij Trend Micro. Klik hier voor meer informatie over de oplossingen van het bedrijf.