Den cyberkriminelle verden står aldrig stille, og hackere holder sig konstant opdateret på den teknologiske udvikling. Det gælder selvfølgelig også udviklingen af AI, som er et tveægget sværd, da det både bliver brugt inden for cybersikkerhed og cyberkriminalitet.
En af de måder, hackere udnytter AI til cyberkriminelle handlinger, er via generativ AI og store sprogmodeller.
Læs med her, så du kan undgå alvorlige konsekvenser som databrud, vidtrækkende cyberangreb som ransomware og medførende økonomiske omkostninger, samt angreb på dine venner, familie og kolleger grundet AI-drevet phishing.
Generativ AI spiller en nøglerolle
Generativ AI og store sprogmodeller som ChatGPT eller Gemini er værktøjer, som vi alle kan have stor gavn af til forskellige formål. Men ligesom at du kan bruge AI som værktøj til effektivt at løse private eller professionelle opgaver, så kan cyberkriminelle gøre det samme.
Selvom mange AI-modeller er designet på en måde, der forhindrer dem i at generere indhold til ondsindet aktivitet, så har cyberkriminelle alligevel formået at knække koden til at få gavn af dem. De har nemlig fundet ud af, at de ved hjælp af bestemte kommandoer faktisk kan omgå teknologiens begrænsninger. På den måde kan de bruge generativ AI til at optimere deres arbejde, præcis som du kan.
Sådan forandrer AI phishing
Hackere udnytter generativ AI til forskellige typer phishing og social engineering med ét mål for øje: at få dig til at bide på krogen.
Engang var phishing ofte kendetegnet ved at være skrevet i et dårligt sprog eller ved at bestå af meget generisk indhold. De fleste har nok enten selv prøvet det eller hørt om nogen, der har modtaget en mail fra en rig prins eller vundet en usandsynligt stor sum penge i en konkurrence, hvor man med et klik på et link eller ved deling af sine kontooplysninger nærmest kunne blive millionær. De fleste har heldigvis også lært, at den slags tilbud er for gode til at være sande og desuden tydelige tegn på phishing. Det er hackerne også klar over, og derfor har phishing ændret sig.
Denne udvikling har altså fået særligt gunstige kår på grund af udbredelsen af generativ AI. Nedenfor gennemgår vi nogle af de måder, hvorpå hackerne udnytter mulighederne ved AI.
Spear phishing
Virksomheder er i særlig risiko for business email compromise (BEC) grundet hackernes udbredte anvendelse af AI til phishing-angreb. Vha. generativ AI kan hackerne med lethed skræddersy angreb, så de passer til en specifik modtager. Det kan de blandt andet gøre ved at analysere en persons adfærd og interesser på sociale medier. De indsamler en masse personlige oplysninger og bruger så en stor sprogmodel til at omsætte oplysningerne til troværdige og målrettede phishing-mails. Derfor vil indholdet i den slags phishing typisk være meget specifikt.
En form for spear phishing, der er vigtig at være opmærksom på, er CEO fraud. I denne type angreb vil hackerne udgive sig for at være din chef. Hackerne bruger generativ AI til at efterligne din chefs skrivestil for at øge troværdigheden. Indholdet vil typisk stadig være ret specifikt, og hackerne kan have fundet oplysninger om både dig og din chef for at lave et overbevisende angreb.
Vishing
Vishing, der er en forkortelse for voice phishing, bliver i stigende grad brugt af hackere til at franarre personer store summer af penge eller fortrolige oplysninger. Ofte bliver ofre ringet op af en form for autoritet. Det kan være hackere, der udgiver sig for at være fra politiet eller banken. Forestil dig at blive ringet op af banken, der siger, at der er mistænksom aktivitet på din konto, og de har brug for dine oplysninger, så de kan rette op på sikkerheden. Så snart du har videregivet visse oplysninger, kan vedkommende i den anden ende af røret få adgang til din konto – og tømme den for penge. Måske tænker du, at du aldrig selv ville falde for det trick. Men hackerne kan bruge generativ AI til at efterligne din rigtige bankrådgivers stemme for at øge troværdigheden. På samme måde kan de bruge stemmen fra andre, du kender, fx venner, familiemedlemmer eller din kollega eller chef. Det er faktisk et rigtig udbredt fænomen, og man behøver ikke nødvendigvis at være specielt godtroende for at falde i sådan en fælde.
Social engineering
Hackerne bruger generativ AI til at overbevise og følelsesmanipulere dig til at falde i fælden. Det kan de gøre på flere forskellige måder. Ofte vil de forsøge at bygge din tillid op, hvilket de kan gøre over flere mails. Det betyder, at du faktisk kan have en længere samtale med en hacker over fx mail. Det øger troværdigheden og kan være med til at få dig til at tro, at det er en person, du kender, eller en autoritet, du stoler på, som du skriver med. Her bruger hackerne også generativ AI til at skabe gennemarbejdede og overbevisende svar til dig, som kan holde samtalen kørende mellem jer.
Beskyt dig selv mod AI-drevet phishing
Selvom hackerne bruger forskellige metoder til at finde brugbare oplysninger om deres ofre, og det er tæt på umuligt fuldstændigt at undgå at modtage phishing i indbakken, så er der alligevel nogle vaner, du kan implementere for at reducere risikoen for at hackerne får succes med at fælde dig.
Forebyg og minimér risikoen
Der er flere forskellige ting, du kan gøre for at minimere hackernes mulighed for at ramme dig med sofistikeret og målrettet phishing. Start med at begrænse din synlighed på sociale medier. Det kan du gøre ved at gøre dine profiler private og begrænse, hvem der kan se dine personlige og private oplysninger som fulde navn, fødselsdato, e-mail-adresse, oplysninger om bopæl, osv. Derudover er det en god idé at overveje, om det er nødvendigt at dele dine familiære forhold, feriedestinationer, oplysninger om din stilling på jobbet osv., når du deler opslag. Tænk over hvilke informationer, der potentielt kan blive misbrugt og brugt mod dig i et potentielt hackerangreb eller identitetstyveri.
Kontinuerlig medarbejdertræning
For at kunne beskytte sig selv mod AI-drevet hacking, eller faktisk enhver form for hackerangreb, er det vigtigt at være bevidst om truslen. Cybersecurity-træning er et godt værktøj, der sørger for, at man som medarbejder er bekendt med truslen, kender de specifikke faresignaler og ved, hvordan man kan beskytte sig selv og sine kolleger med sikker adfærd. God cybersecurity-træning holder brugerne opdateret på de seneste trusler og tendenser i cyberlandskabet.
Kend faresignalerne
For at kunne identificere AI-drevet phishing, skal du vide, hvad det helt præcis er, du skal holde øje med. Det er særligt vigtigt, fordi AI netop gør phishing så målrettet og sofistikeret. Af samme grund er det en god idé at fjerne fokus fra mailens egentlige indhold – altså alt det, der typisk vil være meget personligt og rettet mod lige præcis dig.
I stedet skal du holde øje med:
- Afsender-adressen: Tjek altid afsender-adressens legitimitet. Medmindre hackeren skriver fra en hacket mailkonto, som i princippet kan være ejet af en person, du kender, så vil afsenderadressen ofte afsløre, om der er tale om phishing eller ej. Hvis hackerne udgiver sig for at være din chef eller kollega, så kan mailadressen ligne deres rigtige mailadresse, men ofte vil der være en lille ændring. Det kan være et enkelt bogstav fra eller til, eller måske et andet domænenavn. Her skal du altså kigge grundigt og detaljeret efter, om mailadressen stemmer overens.
- Links, filer og forespørgsler: Den største, blinkende advarselslampe ved phishing er og vil altid være links, vedhæftede filer eller forespørgsler på fx fortrolige oplysninger. Så lige så snart en mail indeholder enten et link eller en fil, eller du bliver bedt om at dele dine login-oplysninger eller måske betale en faktura, skal du stoppe op, før du gør noget. Hvis mailen ser ud til at være sendt fra en person, du kender, er det en god idé at få personen til at be- eller afkræfte via en sikker kommunikationsmetode. Det kan være et telefonopkald - eller fysisk for at være helt sikker.
AI’s indflydelse på cybertruslen
Ifølge Center for Cybersikkerhed ændrer hackernes misbrug af generativ AI dog ikke på den overordnede trusselsvurdering, der allerede vurderes til meget høj. Generativ AI opfattes derimod som ét blandt flere værktøjer, som cyberkriminelle har til rådighed, der er med til at drive truslerne og fastsætte trusselsniveauet.
Som centret understreger, er det vigtigt at huske, at generativ AI ikke i sig selv er i stand til at planlægge og udføre cyberangreb. Derimod kan hackerne bruge generativ AI som værktøj til at producere indholdet i fx phishing-mails. De kan anvende store sprogmodeller til at omsætte personlige oplysninger til sammenhængende tekst, der kan bruges til phishing-angreb – og som oveni købet er skrevet sprogligt korrekt. På samme måde kan de bruge deep learning-baseret generativ AI til at få en velkendt stemme til at sige, hvad end der kan få dig til at bide på krogen.
Phishing i fremtiden
Vi kigger desværre ind i en fremtid, hvor phishing sandsynligvis vil blive tiltagende sofistikeret. Hackerne er hurtige til at udnytte de værktøjer, som AI muliggør. Derfor er det ekstremt vigtigt løbende at holde sig opdateret på truslen, og her er cybersecurity-træning som nævnt et glimrende hjælpemiddel.
Det vigtigste key takeaway, når det gælder phishing, er altid at være kritisk, når du modtager et link eller en fil, eller når nogen beder dig om at dele fortrolige oplysninger - uanset hvem afsenderen er. Er du nogensinde i tvivl om legitimiteten, må du for alt i verden ikke handle på det.
Emilie Hartmann
Emilie Hartmann er studerende og copywriter hos Moxso, hvor hun udfolder sig som sprognørd og altid er på udkig efter nye spændende emner at skrive om. Hun er igang med sin kandidat i engelsk, hvor hun primært bevæger sig indenfor fagområderne Creative Writing og Digital Humanities.
Se alle indlæg af Emilie Hartmann
