Cybersikkerhetseksperter observerer at kriminelle i økende grad bruker KI når de forsøker å manipulere og svindle seg til kontroll over datamaskinen din. Spesielt KI-enes evne til å gjenskape og finne opp tekst på all verdens språk er en styrke for de cyberkriminelle, de som oftest ikke kan skrive feilfri norsk. Det betyr at de hackerne, ved bruk av KI-plattformer som ChatGPT, kan omgå mange av feilene som vi har vent oss til å gjenkjenne som svindel, og som vanligvis ville få alarmklokkene våre til å ringe.
«Jeg kan lett se forskjell på en tekst som er skrevet av en maskin fremfor av et menneske», tenker du kanskje. Den påstanden satte en rekke av mine kolleger i Knowbe4 seg fore å prøve ut.
Her testet vi hvor enkelt det er å få ChatGPT til å utforme en såkalt phishingmail – altså en e-post som har til formål å få deg til å klikke på en lenke, slik at hackerne kan overta kontrollen over datamaskinen din. Og det gjorde den faktisk på kun fem minutter. Deretter testet vi den KI-genererte phishingmailen på en rekke ansatte. Mailen lyktes med å narre nesten like mange ansatte som de phishingmailene vårt spesialutdannede team normalt bruker mer enn 16 timer på å konstruere for slike tester.
Derfor må jeg nok dessverre avlive myten om at man ikke kan bli narret av en maskin, for det kan man i aller høyeste grad. «Robotene kommer», og vi er ikke forberedt.
Startup vil gi alle en KI-kollega
Utkonkurrert av robotene
Mennesket vant sant og visst en knepen seier denne gangen, men KI lærer hele tiden, og de phishingmailene som cyberkriminelle kan KI-generere, blir bare mer og mer overbevisende. Vi må forvente at KI blir mer sofistikert, for eksempel i form av korrekt grammatikk, og kjører forbi oss i utvikling og design av cybersvindel.
For eksempel har man det siste året sett en tendens til at cybersvindlerne benytter såkalte voice clones. Her imiterer man ved hjelp av KI et virkelig menneskes stemme, og utgir seg for å være stemmens eier ved bruk av en syntetisk, fabrikkert stemme for å fralure folk penger eller opplysninger.
Det høres teoretisk ut, men vi har sett det skje i praksis med de mest brukte språkene, som engelsk, og dette vil også ramme mindre land og mindre utbredte språk.
«Rage Against The Machines»
Men skal vi virkelig bare kaste inn håndkledet og avfinne oss med en fremtid der vi blir svindlet av hackere som lener seg på kunstig intelligens? Heldigvis finnes det mer progressive muligheter. Vi har nettopp gjennomført en stor undersøkelse av IT-sikkerhetstreningsdata fra 32 millioner brukere fordelt på snaue 500 millioner falske phishingmailer. Undersøkelsen viser med all tydelighet at ansatte som mottar IT-sikkerhetstrening av sin IT-avdeling, er bedre rustet til å oppdage svindel.
Helt presist peker undersøkelsen vår på at medarbeidere som blir trent i IT-sikkerhet, er hele 274 prosent bedre til å oppdage phishingmailer, enn folk uten trening.
Og det er vesentlig å være oppmerksom på at for virksomheter står phishing og de såkalte social engineering-angrepene for 70-90 prosent av påviste datatap. Det er altså den største angrepsflaten hos virksomheter, men likevel ser vi altfor ofte at EDR (Endpoint Detection and Response) og nettverksløsninger blir prioritert over utdannelse av de ansatte.
Kontoen din vil bli hacket, send konto- og registreringsopplysninger nå!
Så avliv myten om den nigerianske prinsen som sender eksotiske e-poster med omvendt ordstilling, feil bøying og stavefeil, for snart er han en saga blott. I stedet bør du og dine ansatte være på vakt overfor lange og komplekse e-poster, som er en karakteristikk ved KI-genererte tekster.
Overordnet handler det om å skape en sunn og naturlig digital skepsis hos de ansatte. Det er stikk i strid med den norske folkesjelen, der vi stoler på hverandre inntil det motsatte er bevist. Men på nett bør vi som utgangspunkt alltid være på vakt – på vakt overfor e-poster som avviker fra normalen, overfor beskjeder om pakker på iMessage eller WhatsApp med underlige lenker i, og overfor underlige fakturaer som sjefen din sender «fra iPaden sin».
Dessverre kan du ikke lenger utelukkende se etter dårlig grammatikk. Det har de IT-kriminelle lært.
– Historisk ender ikke dette godt: Veteran-analytiker mener KI er «ubrukelig»