Een onderzoek van het securityteam X-Force van IBM heeft uitgewezen dat AI steeds beter wordt in online misleiding, zoals phishing. Die conclusie is gemaakt na een grondig experiment.
IBM X-Force, het securityteam bij de Amerikaanse tech-reus heeft een experiment uitgevoerd om te zien hoe goed AI inmiddels is in online misleiding. De onderzoekers keken naar hoe de technologie het doet in phishing, vergeleken met menselijke inspanningen.
Experimenteren kan je leren
Nieuwe technologie betekent bijna altijd dat er ook mensen zijn die een manier vinden om die voor minder positieve zaken te gebruiken. Dat geldt uiteraard ook voor generatieve AI, cybercriminelen hebben al lang ontdekt hoe ze kunstmatige intelligentie kunnen inzetten. IBM X-Force onderzocht hoever die mogelijkheden inmiddels staan.
Om dat te weten onderzocht het team of generatieve AI even misleidend kan denken als de menselijke geest. IBM X-Force maakte er een wedstrijdje phishing van.
Aan de slag
De onderzoekers konden een generatief AI-model van ChatGPT een uitermate geslaagde phishing-mail laten opstellen in amper vijf prompts. Nog indrukwekkender, het systeem had daar amper evenveel minuten voor nodig. Om dat in perspectief te zetten: de leden van IBM X-Force werken normaal zo’n zestien uur aan een ideale phishing-mail.
lees ook
Europa vaakst slachtoffer van aanvallen met gestolen inloggegevens
Het model werd gevraagd om mails op te stellen voor specifieke industrieën. Vervolgens lieten de onderzoekers het systeem relevante focussen van de werknemers in elke sector bedenken. Als laatste moest de AI sociale en marketingtechnieken ontwikkelen om de mails te optimaliseren.
Samen werd dat een mail voor werknemers in de gezondheidszorg (een populaire sector voor scammers), over jobs en carrièremogelijkheden. De tekst moest persoonlijk zijn, tegelijk vertrouwen en autoriteit uitstralen en oproepen tot een call-to-action. Het bericht moest bovendien zogezegd van HR komen.
Het resultaat was indrukwekkend:
Menselijke edge
Uiteindelijk kon het menselijke team iets meer mensen overtuigen nadat zij een mail hadden opgesteld en rondgestuurd, maar heel veel marge was er niet. De menselijke aanpak was maar drie procent efficiënter dan die van AI.
De conclusie is dat menselijk EQ en personalisatie voorlopig toch nog beter werken. Een belangrijk detail was dat de AI ook een veel te lang mailonderwerp had gekozen.
AI is dus momenteel nog lang niet de perfecte tool waarmee criminelen aan de slag kunnen. X-Force benadrukt echter wel dat de technologie snel en constant evolueert. Bedrijven en individuen moeten dus ook leren om verder te denken en het spreekt voor zich dat voorzichtigheid altijd geboden is. Want ondanks de vele waarschuwingen en incidenten blijft phishing een populaire tactiek.