Aanvallen via synthetische media tegengaan met veiligheidsbeleid

Deepfakes en andere vormen van synthetische media staan op het punt een revolutie te ontketenen in social engineering, en een nieuw paradigma van cyberaanvallen in te luiden. De FBI verwacht een aanzienlijke toename van social engineering-aanvallen via synthetische media in de komende 12 tot 18 maanden. [1] Synthetische media zullen nieuwe mogelijkheden toevoegen aan traditionele aanvallen, zoals vishing, door de stemmen van hoge functionarissen na te bootsen, of kunnen leiden tot geheel nieuwe aanvallen zoals zishing (zoom phishing). [2]

Door werknemers nu al voor te lichten over deze bedreigingen en een goed veiligheidsbeleid te voeren, wordt niet alleen de kans kleiner dat de aanvallen succesvol zullen zijn, maar ook de doeltreffendheid van meer traditionele social engineering-aanvallen.

De term "deepfakes" verwijst naar een bepaalde categorie synthetische media waarbij bestaande audio- of videoclips worden hergebruikt om de synthetische representatie (de syn-puppet) van de geïmiteerde te imiteren en te controleren. Deze technologie is al enkele jaren beschikbaar en wordt gebruikt in films met een groot budget, zoals Rogue One, voor het personage Prinses Leia.

Deepfakes in het wild

Ten minste één voorbeeld van audio deepfake-technologie is in het wild gerapporteerd via een vishing-aanval (business identity compromise, BIC) op een Brits bedrijf, waarbij criminelen zich voordeden als de stem van een directielid om een werknemer ervan te overtuigen geld over te maken naar een niet-geautoriseerde rekening. De criminelen waren zo overtuigend dat ze deze zwendel drie keer met succes herhaalden voordat ze bij de vierde poging werden ontdekt, toen de werknemer achterdochtig werd. [3]

De laatste jaren is deze technologie op grotere schaal beschikbaar en toegankelijker geworden voor gebruikers met weinig technologie. Op het moment dat ik dit schrijf, wordt een vrouw uit Pennsylvania ervan beschuldigd deepfake video's te hebben gemaakt van tiener-cheerleaders die verboden gedrag vertonen, in een poging hen uit het cheerprogramma te laten verwijderen. [4] Dit is een voorbeeld van hoe een niet-technisch persoon deze technologie potentieel kan gebruiken voor kwaadwillige acties.

Minimaliseer de dreiging met een goed veiligheidsbeleid

Hoewel er momenteel verschillende op technologie gebaseerde methoden bestaan om synthetische media te detecteren, zijn deze vaak moeilijk in real time toe te passen op persoonlijke apparaten. Gelukkig kan een goed "ouderwets" beveiligingsbeleid hier een effectieve tegenhanger bieden voor deze nieuwe en opkomende bedreiging. Hier volgen vier eenvoudig te implementeren beleidsmaatregelen die weinig kosten om uit te rollen:

• De Gedeelde Geheime Politiek.
• Het Nooit Doen Beleid.
• Het machtigingsbeleid voor meerdere personen.
• Het verificatiebeleid met meerdere factoren (meerdere kanalen).

Het Gedeelde Geheim Beleid

Dit is een snelle en makkelijke manier om de persoon aan de andere kant van de communicatie te valideren. Spionnen en hun agenten vertrouwen al eeuwen op deze vorm van validatie.

Om dit beleid te implementeren, regel je van tevoren een signaal (probe) en een tegensignaal (antwoord), met dien verstande dat als een van de partijen in de communicatie de probe hoort, de andere partij op gepaste wijze zal reageren. Een sondevraag zou kunnen zijn: "Welk voorblad hoort op dit verkooprapport? - waarop de ontvanger zou antwoorden met een vooraf bepaald antwoord, zoals: "De twee Bobs hebben gezegd dat verkoopcoversheets niet langer nodig zijn."

Om de adoptie onder werknemers aan te moedigen, kan dit zelfs worden omgezet in een interne grap. Vermijd het gebruik van sonde-antwoordparen (zoals filmregels, songteksten of bedrijfsslogans) die door een tegenstander kunnen worden geraden. Om de doeltreffendheid te maximaliseren, moet de vraag vermijden dat de crimineel wordt geattendeerd op de sonde. In dit voorbeeld, als verkooprapporten deel uitmaken van de interactie, zou deze uitwisseling normaal lijken.

Het Nooit Doen Beleid

Na een reeks zwendelpraktijken met cadeaubonnen waarbij werknemers betrokken waren, verklaarde de directeur van een organisatie nadrukkelijk en ondubbelzinnig dat hij werknemers onder geen enkele omstandigheid ooit zou vragen om cadeaubonnen te kopen. Duidelijke instructies over wat een hooggeplaatste leidinggevende zal vragen (of nooit zal vragen) helpt werknemers te begrijpen wat "normale" verzoeken zullen zijn.

Bovendien moet zo'n duidelijke instructie ook instructies bevatten over hoe een werknemer een twijfelachtige communicatie moet afhandelen. In het afgelopen jaar heb ik zes e-mails ontvangen waarvan ik overtuigd was dat het phishing e-mails waren. Nadat ik ze aan mijn Security Incident Response Team (SIRT) had gemeld, kwam ik erachter dat ze in feite legitiem waren. Valse alarmen zoals deze zijn onvermijdelijk, maar dat is geen slechte zaak. Integendeel zelfs: Medewerkers die op hun hoede zijn voor pogingen tot social engineering zijn van onschatbare waarde voor uw organisatie. Zorg ervoor dat u het nut van deze cyber resilience stewards maximaliseert door hen te laten weten hoe ze op de juiste manier kunnen reageren.

Het meerpersoonsauthenticatiebeleid

Hoewel werknemers autonoom moeten zijn om hun werk te kunnen doen, kunnen bepaalde omstandigheden het best worden afgehandeld met meerdere machtigingsniveaus. BIC-fraude zou aanzienlijk kunnen worden teruggedrongen door eenvoudigweg te eisen dat meerdere personen transacties autoriseren.

Een jongere werknemer zou minder geneigd kunnen zijn een meerdere in twijfel te trekken, waardoor hij vatbaarder zou zijn voor oplichters die zich voordoen als leidinggevenden op hoog niveau. In het geval van het Britse bedrijf had een supervisor die de voorgewende leidinggevende kende, meerdere gevallen van oplichting kunnen voorkomen. Door te vertrouwen op een gedeeld geheim en door op voet van gelijkheid te staan, zouden zij eerder bereid zijn de sondeervraag te stellen.

Het verificatiebeleid met meerdere factoren (meerdere kanalen)

Het gebruik van meerdere vormen van authenticatie is waarschijnlijk de meest effectieve methode om BIC-fraude te voorkomen. Het belangrijkste punt hier is dat de tweede factor (of het tweede kanaal) moet verschillen van het primaire kanaal dat wordt gebruikt. Als een verzoek bijvoorbeeld via e-mail wordt ontvangen (het eerste kanaal), dan moet de bevestiging via de telefoon worden geregeld (het tweede kanaal).

Een slachtoffer dat ik heb ondervraagd, vertrouwde me toe dat hij een e-mail had gestuurd naar het adres waar hij het eerste verzoek van had ontvangen, om te vragen of de eerste e-mail legitiem was. Helaas was die rekening gecompromitteerd, en de crimineel stuurde een antwoord naar het slachtoffer waarin stond dat het oorspronkelijke verzoek legitiem was en dat ze verder moesten gaan met de geldovermaking.

De kern van de zaak

De grootste uitdaging bij de tenuitvoerlegging van dit beleid zal erin bestaan de menselijke neiging te overwinnen om het te omzeilen omwille van tijdsdruk, gemak of sympathie voor een persoon in nood. De uitvoering van dit beleid is slechts een deel van de oplossing; er een vaste gewoonte van maken is een andere (mogelijk grotere) uitdaging om deze aanvallen af te slaan.

[1] " Kennisgeving aan particuliere sector ," FBI

[2] " Deepfake Social Engineering: Creating a Framework for Synthetic Media Social Engineering," Matthew Canham

[3] " Fraudeurs gebruikten AI om CEO's stem na te bootsen in ongebruikelijke cybercriminaliteitszaak ," Wall Street Journal

[4] " Pennsylvania Woman Accused of Using Deepfake Technology to Harass Cheerleaders ," New York Times