X-Force van IBM heeft getest of de huidige generatieve-ai-modellen net zo sluw zijn als menselijke cybercriminelen. De uitkomst is dat mensen een door ai gegenereerde phishingmail eerder doorhebben dan wanneer menselijke aanvallers in het spel zijn. Wel levert ai de criminelen tijdwinst op.
De recente inbreuk bij MGM bewijst dat social engineering nog altijd succesvol is. IBM X-Force onderzocht in hoeverre ai mensen kan overrompelen door phishingmails te sturen naar ongeveer 1.600 medewerkers van een zorgaanbieder.
IBM X-Force is een platform voor het delen van informatie over bedreigingen dat gebruikers de mogelijkheid biedt om beveiligingsbedreigingen te onderzoeken, informatie te verzamelen en samen te werken met collega’s.
Drie opvallende zaken
Het onderzoek bracht drie opvallende zaken aan het licht. Zo levert ai productiviteitswinst voor aanvallers op. Het maken van een phishing e-mail duurt normaal gesproken ongeveer zestien uur voor het menselijk team. De door ai gegenereerde phish werd in vijf minuten gemaakt via vijf eenvoudige prompts. Een potentiële tijdbesparing van bijna twee dagen voor aanvallers.
Een tweede conclusie is dat als ai phisht, de woorden zich opstapelen. De kunstmatige aanvaller ‘probeert te hard’ om menselijk te lijken. De door ai gegenereerde phish was veel langer dan die van mensen (zowel de hoofdstekst als de onderwerpregel). De lengte van e-mails kan een grotere indicatie zijn om oplichting te identificeren dan slechte grammatica.
Tijdens de proef kende de door mensen gegenereerde phishing e-mails in het algemeen en hoger klikpercentage (14 vs. 11 procent), maar versloegen ze allebei het gemiddelde klikpercentage van acht procent. De door ai gegenereerde phish werd wel vaker gemeld door werknemers dan door die van mensen (respectievelijk 59 en 52 procent).
Gen-ai
Hoewel X-Force geen grootschalig gebruik van gen-ai waarnam in de huidige campagnes, zijn tools als WormGPT op verschillende forums te koop. De onderzoekers wijzen erop dat in de test menselijke aanvallers maar nauwelijks onderdoen voor de kunstmatige en dat de laatste elke dag beter worden. Het onderzoek is vandaag gepubliceerd.
