Actueel

08 september 2019

Zorgen over deepfakes: de toekomst van phishing?

We besteden veel aandacht aan realistische dreigingen in cybersecurityland. Aan de vele risico’s die hand in hand gaan met de digitalisering van ons werk en ons privéleven. En vooral: hoe we ons daartegen kunnen wapenen. Een voorbeeld van zo’n type dreiging is phishing. Hoe gaat deze vorm van social engineering zich in de (nabije) toekomst ontwikkelen? Daar zijn veel zorgen over vanuit een nieuwe invalshoek: deepfakes.

Deepfakes zijn filmpjes waarin het gezicht van iemand over het gezicht van iemand anders wordt geplakt. Op die manier kun je iemand hele andere dingen laten zeggen. De techniek wordt steeds levensechter en geeft fraudeurs tal van nieuwe mogelijkheden om mensen op te lichten.

Leestijd: 2-3 minuten

Deepfakes

We weten dat zo’n 80 tot zelfs 90 procent van cyberaanvallen begint met phishing. En dat deze variant van fraude zichzelf herhaaldelijk opnieuw uit blijft vinden. Voor iedere bekende tactiek waar gebruikers zich met spamfilters en verhoogde waakzaamheid steeds beter voor weten te behoeden, ontwerpen hackers nieuwe slimmigheden. Daar is met dank aan nieuwe ontwikkelingen en apps een interessant instrument voor oplichters bijgekomen: deepfakes.

Deepfakes zijn filmpjes die met behulp van slimme algoritmes zijn gemanipuleerd. Je kunt iemands hoofd vervangen door dat van iemand anders, of iemand hele andere dingen laten zeggen. Het Openbaar Ministerie maakt zich zorgen over deze filmpjes. “We moeten beseffen dat als we iets zien, we dat niet meer kunnen geloven”, zei officier van justitie Lodewijk van Zwieten tegen de NOS. “Straks kun je makkelijk iets in beeld brengen terwijl het niet echt is gebeurd.”

Deepfakes zijn niet nieuw, maar het wordt door nieuwe apps wel steeds eenvoudiger om de filmpjes te maken. Afgelopen week ging er in China een app viral waarmee gebruikers hun hoofd in een filmscène naar keuze kunnen plaatsen. De app is in Nederland niet verkrijgbaar, want je hebt een Chinees telefoonnummer nodig, maar de ontwikkelingen gaan snel. ‘Over een halfjaar tot een jaar kun je waarschijnlijk niet meer met het blote oog zien of een filmpje een deepfake is’, vermoedt Theo Gevers, onderzoeker aan de Universiteit van Amsterdam.

Fake news

Deze nieuwe ontwikkeling is voor de gemiddelde gebruiker niet meer dan een gimmick, maar het zet weer wat extra deuren open voor fraudeurs en oplichters. Het doet denken aan Deep Voice, een systeem dat enkele jaren geleden door onderzoekers van Baidu werd ontwikkeld voor het klonen van stemmen. Het AI-algoritme van Deep Voice kan een gesimuleerde stem heel eenvoudig fabriceren; de software heeft er maar 3,7 seconden aan audio-input voor nodig. Een jaar dáárvoor was het nog minstens 30 minuten aan audiodata om geloofwaardig een stem te kunnen klonen. Het laat zich raden hoe gemakkelijk het daarmee werd om valse berichtgeving te verspreiden. Als enkele seconden spraak van bijvoorbeeld een nieuwslezer of ander vertrouwd mediapersoon alles is wat nodig is om een geloofwaardig audiosegment te fabriceren, dan is een nieuwsclipje, interview of zelfs complete persconferentie eenvoudig te manipuleren. Dankzij deepfakes nemen die mogelijkheden alleen maar toe, en het is bepaald niet de enige applicatie om van deze techniek een gevaarlijke fraude-tool te maken.

Leuk dus dat je smartphone steeds beter beveiligd is om te voorkomen dat de gegevens op je toestel in de verkeerde handen vallen. Maar wat als je straks niet eens met zekerheid kan zeggen of je de persoon die jou belt écht aan de lijn hebt? Of de nieuwsvideo die je afspeelt wel daadwerkelijk van een nieuwslezer komt?

Bedrijven lopen daarbij net zo goed risico. Cybercriminelen slagen er steeds vaker in om organisaties op te lichten, omdat ze eerst hun huiswerk doen en informatie verzamelen om zeer gericht te werk te kunnen gaan. CEO fraude is daar een goed voorbeeld van. Identiteitsgegevens, relaties en verbindingen via social media en een zakelijk contactenplaatje via LinkedIn zijn snel gemaakt. Vervolgens doen zij zich voor als een relatie, iemand binnen je netwerk, een toeleverancier of klant. Dat wordt wel erg gemakkelijk als ze daarbij ook stemmen feilloos kunnen imiteren, en zelfs een video kunnen maken om de boodschap kracht bij te zetten.

Awareways phishing-software

Er is geen kant-en-klare oplossing om alles veilig af te schermen. Security is geen product, maar een proces, waarin de tegenpartij bovendien altijd een stap voorloopt. Goed beleid op het gebied van informatiebeveiliging is dynamisch, en evolueert mee.

Awareways phishing-software biedt een online platform waarmee aanvallen op een simpele en kosteneffectieve manier kunnen worden gesimuleerd. We zijn ervan overtuigd dat we met ons team van experts de juiste aanpak hebben om iedere organisatie weerbaar te maken tegen phishing en andere digitale dreigingen.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.