Kan AI lave den perfekte phishing-mail?

Det er en hektisk morgen på kontoret. Din indbakke flyder over med emails. En af dem ser ud til at komme fra din chef, så du åbner den. Hurtigt. Du klikker på et vedhæftet dokument, men... det er en phishing-mail. 

Hvordan kunne du falde for det? Hvordan kunne du ikke gennemskue, at noget var galt? 

Svaret er, at AI efterhånden kan skabe en phishing-mail, der er næsten umulig at skelne fra de legitime mails, vi modtager hver dag.  

Men hvordan fungerer det, og hvad kan vi gøre for at beskytte os? 

AI-genererede phishing-mails

AI gør phishing-angreb langt mere overbevisende og effektive end tidligere. Store sprogmodeller som GPT analyserer tekstmønstre og lærer at generere e-mails, der præcist efterligner virksomhedens kommunikation.  

Dette gør det muligt for angribere at skabe beskeder, der lyder helt autentiske - og dermed også gør det sværere for medarbejdere at opdage, når de bliver narret. 

For hvor traditionelle phishing-angreb ofte er lette at genkende på åbenlyse fejl som stavefejl, mærkelige links eller et generisk toneleje, kan AI-genererede phishing-mails være fuldstændig overbevisende og målrettede enkelte personer. 

AI-forbedrede phishing-angreb kan nemlig ikke blot efterligne formelle e-mails, de kan også udnytte data-mining til at skabe personlige beskeder. Ved at analysere tidligere interaktioner og virksomhedens kommunikationsstil kan AI skræddersy mails, der fremstår som om de stammer fra en betroet kollega eller leder. 

Forsvar og forebyggelse

Hvordan kan vi så beskytte os mod angreb, der er så svære at spotte?  

En vigtig del af svaret er uddannelse. Alle i virksomheden skal være opmærksomme på faresignaler som mistænkelige vedhæftede filer, links og afsenderadresser, selv når e-mailen ser ud til at stamme fra en intern kilde. 

Og så gælder selvfølgelig om at skrue organisationens systemer sammen på en måde, så alt ikke ramler, fordi en enkelt medarbejder er kommet til at klikke på et ondsindet link.  

I den forbindelse er det en rigtig god idé, at virksomheden har styr på sådan noget som korrekt DMARC-opsætning, der gør det svært at sende ondsindede mails via virksomhedens domæner.  

Vejledning fra Center for Cybersikkerhed

Center for Cybersikkerhed har udgivet en vejledning om netop DMARC.

Se vejledningen fra Center for Cybersikkerhed 

Og så skal backup og recovery naturligvis også spille, skulle uheldet være ude. 

Derudover kan selv avancerede phishing-forsøg afsløres ved hjælp af AI-baserede sikkerhedsløsninger, som analyserer komplekse sprogmønstre og opdager afvigelser i indholdet.  

Disse systemer er i stand til at scanne e-mails for både syntaktiske og semantiske mønstre, som kan afsløre, når en besked afviger fra en typisk kommunikationsstil i en virksomhed.  

Ved at anvende maskinlæring på et omfattende datasæt af legitime e-mails kan AI-modeller lære, hvilke ordvalg, sætningsstrukturer og tonefald der normalt benyttes internt. Modellen kan derefter identificere anomalier, som kan være indikatorer på social engineering, såsom usædvanlige anmodninger, følelsesladede appeller eller afvigende afsender-signaturer. 

AI-analyser gør det også muligt at opdage mønstre, der ellers ville kræve omfattende menneskelig opmærksomhed. For eksempel kan algoritmer overvåge hyppigheden af bestemte formuleringer og søge efter ualmindelige kombinationer, der peger på falske e-mails. Når systemet identificerer sådanne afvigelser, kan det automatisk flage e-mails som mistænkelige og enten blokere dem eller varsle medarbejderne.