Bruker KI i svindelforsøk mot bedrifter: – Vanskeligere å avsløre
Utviklingen innen kunstig intelligens (KI) vil føre til flere cyberkriminelle og mer cyberkriminalitet, varsler Kripos.
Teknologien er lett tilgjengelig, billig og kan ramme både næringsliv og privatpersoner.
– Det er bekymringsfullt at utviklingen av teknologien går raskere enn samfunnet klarer å holde tritt med, når vi vet hva slags potensial den har til å ramme ofre i stor skala og høyt tempo, med stor grad av skreddersøm, sier Olav Skard, leder av Nasjonalt cyberkrimsenter ved Kripos i en pressemelding.
«Deepfaker» deg trill rundt
De kriminelle tar stadig i bruk ny teknologi for å gjøre angrepene sine mer realistiske og målrettede. Kombinert med sosial manipulasjon blir angrepene vanskelige å avsløre, advarer Ida Marie Edholm, svindelekspert i Nordea.
– Europol forventer at kriminelle vil øke bruken av KI i årene fremover. Ved å bruke dette i eksisterende svindelmetoder kan angrepene mot både næringslivet og privatpersoner skaleres opp betraktelig, sier hun.
Men hvordan gjør de det? Ved direktørbedrageri utgir bedragere seg for å være en leder, og kontakter medarbeidere i en virksomhet eller forening for å manipulere de til å overføre en større sum penger – eller godkjenne utbetalinger.
– Frem til nå har disse henvendelsene stort sett kommet via e-post eller SMS. Fremover er det mer sannsynlig at de kriminelle i stedet vil ringe medarbeideren på telefon eller videosamtale, og bruke kunstig intelligens til «deepfaking» ved å forvrenge stemmen eller bildet av lederen, sier Edholm.
– Du kan altså ringe noen i en videosamtale og både se og høre ut som en annen.
En bedrift ble svindlet for 35 millioner dollar
Hun drar frem et eksempel fra 2020, hvor gjerningspersonene benyttet deepfake-teknologi til å etterlikne stemmen til direktøren i et større selskap i De arabiske emiratene.
– Med den falske stemmen ringte gjerningspersonene en avdelingsleder i en annen del av selskapet, og informerte om at selskapet var i ferd med å gjennomføre et stort oppkjøp. For å gjennomføre oppkjøpet, ba den KI-genererte stemmen avdelingslederen om en overføring på 35 millioner dollar til ulike bankkontoer.
Avdelingslederen kjente stemmen til direktøren, og antok dermed at forespørselen var legitim.
– I tillegg ble det sendt tilsynelatende autentiske e-poster fra direktørens kontor til avdelingslederens innboks. På bakgrunn av dette ble den store pengeoverføringen igangsatt. Kontoene som pengene ble overført til tilhørte altså gjerningspersonene, forteller Edholm.
Kan også lære seg skrivestil
Ifølge Næringslivets Sikkerhetsråd har ni prosent av norske virksomheter i løpet av en ettårsperiode blitt utsatt for direktørbedrageri, eller forsøk på denne typen bedrageri.
– Det er like vanlig i offentlig som privat sektor, men mer sannsynlig å bli utsatt for som større bedrift kontra som mindre, sier svindeleksperten.
Bedragerne kan også ta i bruk automatisering i bedrageriforsøk, eksempelvis for å generere enkle svar på en melding, forteller hun.
– I tillegg kan de ved hjelp av KI imitere en persons skrivestil og til å gjøre oversettelser bedre, slik at falske e-poster virker mer overbevisende.
Edholms råd for å beskytte seg mot svindel:
- Risikovurdering: Alle virksomheter bør gjøre en vurdering for å identifisere hvilke risikoer som gjelder for din virksomhet.
- Rutiner: Basert på denne analysen/vurderingen må bedriften implementere gode interne rutiner, blant annet for faktura- og betalingshåndtering. Dere bør også ha rutiner for hva som skal gjøres hvis noe skjer, slik at et bedrageriforsøk fort kan stoppes.
- Internkontroll: Det bør med jevne mellomrom gjøres internkontroller, for å påse at rutinene følges.
- Informer de ansatte: Opplæring av ansatte og intern bevisstgjøring er viktig for å skape en god sikkerhetskultur i bedriften.
Norskspråklige blir like utsatt som engelskspråklige
Kripos ser også at kunstig intelligens gjør det mulig å gjennomføre et større antall målrettede phishingkampanje, gjennom masseproduksjon av individualisert innhold med høy troverdighet.
– Dette vil på sikt gjøre norskspråklige like utsatt for cyberkriminalitet som engelskspråklige er i dag, ved at for eksempel dårlig språk blir luket ut som markør for å avsløre en e-post sendt fra utenlandske kriminelle, sier Olav Skard.
Kostbar nedetid og tap av data
Phishing er en form for sosial manipulering hvor en angriper prøver å lure noen til å utføre en handling, ifølge Datatilsynet. Eksempler kan være å åpne et e-postvedlegg eller klikke på en lenke. Via vedlegg kan det installeres skadevare, for eksempel løsepengevirus.
Verizons Data Breach Investigation Report (2019) viser at cirka hvert tredje vellykkede datainnbrudd involverer bruk av phishing.
– Datasystemer som slutter å virke, eller ikke fungerer som de skal, er en vanlig konsekvens av et datainnbrudd. Det kan også føre til tap og spredning av kundedata og annen kritisk informasjon, forteller Tina Tomter, Cyber Underwriter i Gjensidige.
Dette kan resultere i kostbar nedetid og svekket omdømme. Gjensidige kjenner til IT-selskaper som har opplevd datainnbrudd der også kunder har blitt berørte, og opplevd at IT-systemene har kollapset, ifølge Tomter.
– Hvis dere rammes av et datainnbrudd og har cyberforsikring i Gjensidige, vil IT-ekspertene våre i første omgang kartlegge hva som har skjedd. Deretter hjelper de med å gjenoppbygge datasystemene deres. Har datainnbruddet forårsaket stans i den daglige driften, får dere erstatning for tapte inntekter og ekstrakostnader.
Sist oppdatert: