Van superheld naar superschurk - combinatie van AI en phishing

Artifcial Intelligence (AI) is een disruptieve technologie die bedrijfsprocessen volledig zal veranderen. Een zorgwekkende consequentie is de verwachte toename van succesvolle phishing-aanvallen. Phishing e-mails kunnen medewerkers verleiden om schadelijke acties te ondernemen, waardoor kwaadwillenden toegang krijgen tot bedrijfsnetwerken. Dit kan leiden tot datalekken, dreigementen en vernietiging van gegevens. Het is van cruciaal belang dat bedrijven zich bewust zijn van deze bedreiging en passende maatregelen nemen, zoals training, geavanceerde beveiligingstechnologieën en proactieve AI-oplossingen, en de meest eenvoudige oplossing is minder te mailen.

In 1971, meer dan 50 jaar geleden, begon de digitale revolutie met de verzending van de allereerste email door Ray Tomlinson. In de afgelopen 50+ jaar is email steeds prominenter geworden en is het tegenwoordig onmisbaar in ons dagelijks zakelijk leven (Superheld). E-mail heeft een cruciale rol gespeeld in de communicatie met klanten, interne communicatie, archivering en persoonlijke takenlijsten. Echter, in het afgelopen decennium heeft email te maken gehad met uitdagingen zoals toenemende beveiligingsmaatregelen, opkomst van nieuwe communicatieplatformen en veranderende wetgeving met betrekking tot gegevensbescherming. Een van de grootste bedreigingen voor bedrijven is phishing, waarbij email een belangrijke rol speelt als de boosdoener (Superschurk).

In deze blog beschrijf ik de veranderingen in mijn interactie met email door de tijd heen. Ik illustreer conceptueel hoe eenvoudig het met behulp van AI is geworden om een phishing-aanval uit te voeren. Tot slot geef ik een aantal waardevolle tips om jou en je klanten te helpen dergelijke aanvallen te voorkomen.

Ik herinner me nog levendig de dag waarop ik voor het eerst een email naar een nieuwe klant stuurde. Het was zo'n spannend moment voor mij dat ik pas tegen het einde van de werkdag durfde te klikken op de knop 'Verzenden'. Inmiddels is het schrijven van e-mails een tweede natuur geworden. Maar destijds stelde ik mezelf talloze vragen, zoals:

Hoe moet ik een email beginnen? Met "Hallo," "Geachte heer/mevrouw," of "Beste [naam]"?
Hoe moet ik de ontvanger aanspreken? Met zijn/haar voornaam, achternaam of volledige naam?-
Welke toon moet ik in de email hanteren? Formeel of informeel?
Zitten er geen spelfouten of grammaticale fouten in de email?
Hoe moet ik de email afsluiten? Met "Vriendelijke groet," "Hoogachtend," of "Groetjes"?
Wie moet er in het "Aan"-veld staan en wie in het "CC"-veld? En waarom hebben we eigenlijk een "BCC"?
Moet de email kort zijn en moet ik een bijlage toevoegen voor verdere details?

In de loop der tijd heb ik verschillende fases doorgemaakt met betrekking tot het gebruik van email:

Ik heb cursussen gevolgd om te leren hoe ik effectieve e-mails kan schrijven.
Ik heb trainingen gevolgd om te leren omgaan met de overweldigende hoeveelheid e-mails (zoals de indeling in categorieën zoals "Nu", "Volgende", "Later").
Ik ben me bewust geworden van de gevaren van het openen van .exe-bestanden, vooral na het beruchte ILOVEYOU-virus in het jaar 2000.
Ik ben me bewust geworden van de risico's van het verzenden van bestanden als bijlagen, vanwege de mogelijkheid van virussen in de macro's van Office-software zoals Word, Excel en PowerPoint. Hierdoor ben ik gaan werken met collaboratieplatforms zoals SharePoint voor het delen van bestanden.
Ik heb trainingen gevolgd om malafide e-mails te herkennen, zoals taalfouten, verdachte links, enzovoort.
Ik heb ervaring opgedaan met gamification, waarbij ik mails ontving die ik moest herkennen en rapporteren als onderdeel van mijn dagelijkse werkzaamheden. Bij het correct identificeren van malafide e-mails kreeg ik punten, en het bedrijf kon monitoren hoe goed werknemers dergelijke e-mails konden herkennen.

Nu AI algemeen beschikbaar is, wordt het helaas ook toegankelijk voor malafide gebruikers. In het nieuws hoor ik zelfs de huidige CEO van ChatGPT pleiten voor regelgeving. Op RTL-Z hoor ik nu dezelfde waarschuwingen over phishing die bedrijven al tien jaar lang verspreiden. Het is duidelijk dat dit nu een consumentenprobleem is geworden.

Om je bewust te maken van de mogelijke gevaren die AI met zich meebrengt, wil ik je meenemen in een basisopzet van een phishing-aanval met behulp van ChatGPT. In de volgende voorbeelden heb ik bewust gekozen voor de programmeertaal C#, waarin ik meer dan tien jaar ervaring heb als consultant en full-stack ontwikkelaar. In die tien jaar heb ik zelf vergelijkbare code geschreven voor klanten, waardoor ik de impact ervan goed kan inschatten. Het verbaasde me echter hoeveel sneller ChatGPT was bij het genereren van de code toen ik mijn vraag formuleerde.

Ik wil benadrukken dat de onderstaande codevoorbeelden uitsluitend bedoeld zijn om je bewust te maken van de mogelijke gevaren, wanneer AI wordt gecombineerd met kwaadwillige intenties. (Open) ChatGPT zelf geeft soms ook waarschuwingen bij het gebruik ervan. Daarom heb ik ervoor gekozen om ook deze waarschuwing in deze blog op te nemen.

Een schurk pakt zijn magische wapen, de laptop, en:

Laat AI een perfect opgestelde email generen zonder taalfouten (<1 seconde).

Vraag aan ChatGPT (bewust met taalfouten)

kan je een mail tekst scijven naar Jamie met een felacitatie dat ze een fiets gewonnen heeft.  ze moet deze link klkken http://foutewebsite,nl met de tekst haal nu op..

Onderwerp: Gefeliciteerd met het winnen van een fiets!

Beste Jamie,

Gefeliciteerd! Ik heb gehoord dat je zojuist een fiets hebt gewonnen! Wat een geweldige prestatie! 

Om je prijs op te halen, kun je naar de volgende link gaan: [Haal nu op] http://foutewebsite.nl

Klik op de link en volg de instructies om je fiets op te halen. We hopen dat je er veel plezier aan zult beleven!

Nogmaals, van harte gefeliciteerd en geniet van je nieuwe fiets!

Met vriendelijke groeten,

[Je naam]

Laat AI een website generen die er hetzelfde uitziet als een bedrijfswebsite. Dit is mogelijk met ChatGTP4 maar vraagt al iets meer werk, maar zeker een stuk minder dan het zelf vanaf scratch te moeten schrijven. Hieronder wat ChatGTP3 ervan maakte. (<1 seconde)

ChatGPT vraag

kan je een html pagina generen die er uit ziet als de website www.cgi.com

<!DOCTYPE html>

<html>

<head>

    <title>CGI</title>

    <style>

        /* Voeg hier de gewenste CSS-stijlen toe */

    </style>

</head>

<body>

    <header>

        <!-- Voeg hier de header-inhoud toe -->

    </header>


    <nav>

        <!-- Voeg hier de navigatie-inhoud toe -->

    </nav>


    <section>

        <!-- Voeg hier de sectie-inhoud toe -->

    </section>


    <footer>

</footer>

</body>

</html>

Houd er rekening mee dat het dupliceren van de exacte inhoud en stijl van een bestaande website zoals www.cgi.com in strijd kan zijn met auteursrechten en het intellectuele eigendom van CGI. Zorg ervoor dat je de toepasselijke wetten en regels respecteert bij het maken van je eigen webpagina.

Laat AI een html crawler generen om LinkedIn profielen te doorlopen (<2 seconden). In het voorbeeld hieronder telt de crawler de aantal <h1> tags (Koppen) van een pagina.

ChatGPT vraag

schrijf een html crawler om tellen h1 C#

Using System;

using System.Net;

using System.Text.RegularExpressions;

class Program

{

    static void Main()

    {

        string url = "https://example.com"; // De URL om te crawlen

        WebClient client = new WebClient();

        string htmlData = client.DownloadString(url);

        int h1Count = CountTags(htmlData, "<h1>");

        Console.WriteLine($"Aantal keer <h1> gevonden: {h1Count}");

    }


    static int CountTags(string htmlData, string tag)

    {

        // Gebruik reguliere expressies om het aantal tags te tellen

        string pattern = Regex.Escape(tag);

        int count = Regex.Matches(htmlData, pattern).Count;

        return count;

    }

}

Laat AI een programma maken voor het versturen van mails van en naar medewerkers van je bedrijf (<2 sec).

ChatGPT vraag

kan je een c# programma maken om e-mails te versturen.

using System;

using System.Net;

using System.Net.Mail;


class Program

{

    static void Main()

    {

        string senderEmail = "your-email@example.com";

        string senderPassword = "your-password";

        string recipientEmail = "recipient@example.com";

        string subject = "Test E-mail";

        string body = "Dit is een testbericht.";

        try

        {

            MailMessage mail = new MailMessage(senderEmail, recipientEmail, subject, body);

            SmtpClient smtpClient = new SmtpClient("smtp.example.com", 587); // Vervang met de juiste SMTP-server en poort


            smtpClient.EnableSsl = true;

            smtpClient.Credentials = new NetworkCredential(senderEmail, senderPassword);


            smtpClient.Send(mail);


            Console.WriteLine("E-mail succesvol verstuurd.");

        }

        catch (Exception ex)

        {

            Console.WriteLine("Er is een fout opgetreden bij het versturen van de e-mail: " + ex.Message);

        }

    }

}

Merk op dat sommige e-mailproviders mogelijk extra beveiligingsmaatregelen vereisen, zoals het inschakelen van "Toegang voor minder veilige apps" of het genereren van een applicatiewachtwoord. Zorg ervoor dat je de richtlijnen van je emailprovider volgt om e-mails succesvol te versturen.

Houd er rekening mee dat het versturen van e-mails via een programma verantwoordelijkheid en ethische overwegingen met zich meebrengt. Zorg ervoor dat je de toepasselijke wetten en regels volgt en de emailfunctionaliteit niet misbruikt voor spam of andere ongepaste doeleinden.

Je bent tot hier gekomen met lezen. Wat is nu je actieplan? Hier zijn enkele suggesties:

Beperk het interne emailverkeer en minimaliseer indien mogelijk het verzenden van bijlagen via email binnen het bedrijf, bijvoorbeeld door technische maatregelen te nemen.
Bescherm je klanten door een beveiligde omgeving te bieden waarin ze vragen kunnen stellen, zoals een beveiligde berichtenbox.
Werk samen met de IT-afdeling om een communicatiestrategie op te stellen die gericht is op het verbeteren van de beveiliging en bewustwording rondom emailgebruik.
Overweeg het gebruik van AI om je bedrijf te beschermen. Implementeer bijvoorbeeld Conversational AI om mogelijke bedreigingen te detecteren en te voorkomen. Door deze maatregelen te nemen, kun je de veiligheid van emailcommunicatie verbeteren en je bedrijf beter beschermen tegen potentiële risico's.

Indien je vragen hebt over dit blogartikel, neem dan contact met me op: wouter.claeys@cgi.com.

Over de auteur

Wouter Claeys

Director Consultancy Expert

Wouter is sinds begin 2021 werkzaam bij CGI. Hij is een enthousiaste IT-professional met een brede kennis van IT, de financiële wereld en (change) management. Hij heeft vanaf 2005 ervaring in het opleveren van IT-projecten in verschillende IT-rollen. Gedurende het grootste deel van ...

Bekijk profiel

KIEZEN VOOR DE VEILIGE WEG

Uitdagingen van MaaS voor de opdrachtgever (gemeenten en andere overheden)

CGI Voice of Our Clients

Maak kennis met CGI

Van superheld naar superschurk - combinatie van AI en phishing

Wouter Claeys

Director Consultancy Expert

Over de auteur

Wouter Claeys

Director Consultancy Expert

Insights you can act on

Company

Bekijk meer

Support

Volg ons

KIEZEN VOOR DE VEILIGE WEG

Uitdagingen van MaaS voor de opdrachtgever (gemeenten en andere overheden)

CGI Voice of Our Clients

Maak kennis met CGI

Wouter Claeys

Director Consultancy Expert

Deel dit

Over de auteur

Wouter Claeys

Director Consultancy Expert

Gerelateerde media

The future of data management in financial services, leveraging AI?

Ethisch hacken kun je jongeren het best vroeg bijbrengen

Flexibel incasseren binnen de kaders van wet -en regelgeving

Door de mist van AI

Ontdek wat er speelt in uw markt

Blijf op de hoogte van het laatste nieuws en trends met onze nieuwsbrief