Scams met behulp van machine learning

Nieuwe technologieën veranderen duidelijk de wereld waar we in leven, maar niet de menselijke geest. Het resultaat is dat kwaadaardige genieën nieuwe technologische innovaties ontwerpen om van de zwaktes in het menselijke brein te profiteren. Een lichtend voorbeeld is het verhaal van hoe scammers de stem van een internationale CEO nabootsten om het hoofd van een dochterfiliaal te overtuigen om geld over te maken naar schimmige rekeningen.

Wat gebeurde er?

De details van de aanval zijn onbekend, maar de Wall Street Journal, die de verzekeringsmaatschappij Euler Hermes Group SA citeert, beschrijft het incident als volgt:

1. De CEO van een in het Verenigd Koninkrijk gevestigd energiebedrijf nam de telefoon op en dacht dat hij met zijn baas sprak, de CEO van hun Duitse moedermaatschappij, die hem vervolgens vroeg om binnen een uur € 220.000 over te maken naar een (zoals later bleek fictieve) Hongaarse leverancier.
2. De Britse CEO maakte dit bedrag vervolgens inderdaad over.
3. De aanvallers belden nogmaals om te zeggen dat de moedermaatschappij het geld had overgemaakt om het bedrijf in het Verenigd Koninkrijk te vergoeden.
4. Later op de dag vond er een derde telefoontje plaats, waarin ze opnieuw de CEO nabootsten, en om een tweede betaling vroegen.
5. Omdat de overschrijving van de terugbetaling nog niet aangekomen was en het derde telefoontje van een Oostenrijks in plaats van een Duits nummer kwam, wekte dit argwaan bij de bestuurder. De tweede betaling besloot hij niet over te doen.

Hoe werd dit gedaan?

Verzekeraars houden rekening met twee mogelijkheden. De aanvallers luisterden ofwel naar een groot aanval opnames van de CEO en gebruikten hier stukjes van om het bericht met zijn stem samen te stellen, of (waarschijnlijker) ze lieten een machine learning-algoritme op de opnames los. De eerste methode is erg tijdrovend en onbetrouwbaar, aangezien het zeer ingewikkeld is om een samenhangende zin te vormen met opnames van verschillende woorden zonder dat dit vreemd in de oren klinkt. En volgens het Britse slachtoffer was het gesprek volkomen normaal, met een duidelijk herkenbare klank en een licht Duits accent. De hoofdverdachte is dus AI. Maar het succes van de aanval had minder te maken met het gebruik van nieuwe technologieën dan met cognitieve vervorming, in dit geval de onderwerping aan autoriteit.

Psychologische autopsie

Psychologen hebben vele experimenten gedaan die aantonen dat zelfs intelligente, ervaren mensen geneigd zijn om zonder enige vragen te stellen een autoriteit te gehoorzamen, zelfs als dat indruist tegen persoonlijke overtuigingen, gezond verstand of bepaalde veiligheidsoverwegingen

In zijn boek The Lucifer Effect: Understanding How Good People Turn Evil, beschrijft Philip Zimbardo dit type experiment, waarin verpleegkundigen een telefoontje krijgen van een dokter die ze vraagt om een patiënt te injecteren met een dosis medicijnen die twee keer zo hoog ligt als de maximaal toegestane hoeveelheid. Van de 22 verpleegkundigen, vulden er 21 de naald zoals opgedragen. Bijna de helft van de verpleegkundigen die deel uitmaakten van het experiment volgde de instructies van de dokter op, wetende dat deze schadelijk konden zijn voor de patiënt. De gehoorzame verpleegkundigen geloofden dat ze minder verantwoordelijkheid hadden voor de bevelen dan een dokter met de wettelijke autoriteit om behandelingen voor te schrijven aan een patiënt.

Psycholoog Stanley Milgram legde deze kritiekloze gehoorzaamheid aan autoriteit eveneens uit met gebruik van de theorie van subjectiviteit, die neerkomt op het feit dat wanneer mensen zichzelf als gereedschap beschouwen om de wil van anderen uit te voeren, ze zich niet verantwoordelijk voelen voor hun acties.

Wat is hieraan te doen?

U kunt nooit 100% zeker weten met wie u over de telefoon praat, zeker niet als dit een publiek figuur is en er dus ook opnames van hun stem (interviews, speeches) openbaar beschikbaar zijn. Vandaag de dag is het nog zeldzaam, maar met steeds beter wordende technologie, zullen zulke incidenten ook steeds vaker voorkomen.

Door zonder enige kritiek instructies op te volgen, kan het dus zijn dat u iets doet dat in het belang van cybercriminelen is. Het is natuurlijk normaal om de baas te gehoorzamen, maar het is ook erg belangrijk om vreemde of onlogische bestuurlijke besluiten in twijfel te trekken.

We kunnen alleen maar aanraden dat u werknemers ontmoedigt om blind instructies op te volgen. Probeer geen bevelen te geven zonder de reden erachter uit te leggen. Op die manier is het waarschijnlijker dat een werknemer vraagtekens zet bij een ongewoon bevel als er geen duidelijke verklaring voor is.

Vanuit een technisch oogpunt raden we het volgende aan:

• Stel een duidelijke procedure op voor het uitvoeren van geldtransacties, zodat zelfs hooggeplaatste werknemers niet zonder toezicht geld kunnen overmaken naar externe rekeningen. Zorg ervoor dat de overschrijvingen van grote sommen door meerdere managers moeten worden goedgekeurd.
• Train werknemers in de grondbeginselen van cybersecurity en leer ze hoe ze met een gezonde dosis kritiek naar inkomende verzoeken moeten kijken. Onze programma voor veiligheidsbewustzijn helpt hierbij.