DEBATT

Spillereglene endres: Den nigerianske prinsen er i ferd med å stave på norsk

De fleste har etter hvert vent seg til å tolke e-poster og SMS-er på gebrokken norsk med dårlig tegnsetting som svindel. Men når svindlerne kan generere detaljerte historier med korrekt syntaks på morsmålet ditt ved hjelp av KI, så endres spillereglene.

Jelle Wieringa, IT-sikkerhetsevangelist hos KnowBe4, skriver i kronikken om hvor enkelt det er å bruke generativ kunstig intelligens til å lage phishingmeldinger, og hvor troverdige de framstår å være.
Jelle Wieringa, IT-sikkerhetsevangelist hos KnowBe4, skriver i kronikken om hvor enkelt det er å bruke generativ kunstig intelligens til å lage phishingmeldinger, og hvor troverdige de framstår å være. Foto: KnowBe4.
Jelle Wieringa, IT-sikkerhetsevangelist hos KnowBe4
7. apr. 2024 - 05:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Cybersikkerhetseksperter observerer at kriminelle i økende grad bruker KI når de forsøker å manipulere og svindle seg til kontroll over datamaskinen din. Spesielt KI-enes evne til å gjenskape og finne opp tekst på all verdens språk er en styrke for de cyberkriminelle, de som oftest ikke kan skrive feilfri norsk. Det betyr at de hackerne, ved bruk av KI-plattformer som ChatGPT, kan omgå mange av feilene som vi har vent oss til å gjenkjenne som svindel, og som vanligvis ville få alarmklokkene våre til å ringe. 

«Jeg kan lett se forskjell på en tekst som er skrevet av en maskin fremfor av et menneske», tenker du kanskje. Den påstanden satte en rekke av mine kolleger i Knowbe4 seg fore å prøve ut.

Her testet vi hvor enkelt det er å få ChatGPT til å utforme en såkalt phishingmail – altså en e-post som har til formål å få deg til å klikke på en lenke, slik at hackerne kan overta kontrollen over datamaskinen din. Og det gjorde den faktisk på kun fem minutter. Deretter testet vi den KI-genererte phishingmailen på en rekke ansatte. Mailen lyktes med å narre nesten like mange ansatte som de phishingmailene vårt spesialutdannede team normalt bruker mer enn 16 timer på å konstruere for slike tester.

Derfor må jeg nok dessverre avlive myten om at man ikke kan bli narret av en maskin, for det kan man i aller høyeste grad. «Robotene kommer», og vi er ikke forberedt.

Vegard Wollan ble ny sjef i Nordic Semiconductor på nyåret. Starten har vært tøff økonomisk, men han ser lyspunkter. Melissa Mulholland og Crayon har lagt et solid halvår bak seg, og har fortsatt sterk fokus på vekst.
Les også

Kraftig resultatfall: Røft halvår for flere IT-selskaper

Utkonkurrert av robotene

Mennesket vant sant og visst en knepen seier denne gangen, men KI lærer hele tiden, og de phishingmailene som cyberkriminelle kan KI-generere, blir bare mer og mer overbevisende. Vi må forvente at KI blir mer sofistikert, for eksempel i form av korrekt grammatikk, og kjører forbi oss i utvikling og design av cybersvindel.

For eksempel har man det siste året sett en tendens til at cybersvindlerne benytter såkalte voice clones. Her imiterer man ved hjelp av KI et virkelig menneskes stemme, og utgir seg for å være stemmens eier ved bruk av en syntetisk, fabrikkert stemme for å fralure folk penger eller opplysninger.

Det høres teoretisk ut, men vi har sett det skje i praksis med de mest brukte språkene, som engelsk, og dette vil også ramme mindre land og mindre utbredte språk.

«Rage Against The Machines»

Men skal vi virkelig bare kaste inn håndkledet og avfinne oss med en fremtid der vi blir svindlet av hackere som lener seg på kunstig intelligens? Heldigvis finnes det mer progressive muligheter. Vi har nettopp gjennomført en stor undersøkelse av IT-sikkerhetstreningsdata fra 32 millioner brukere fordelt på snaue 500 millioner falske phishingmailer. Undersøkelsen viser med all tydelighet at ansatte som mottar IT-sikkerhetstrening av sin IT-avdeling, er bedre rustet til å oppdage svindel.

Helt presist peker undersøkelsen vår på at medarbeidere som blir trent i IT-sikkerhet, er hele 274 prosent bedre til å oppdage phishingmailer, enn folk uten trening.

Og det er vesentlig å være oppmerksom på at for virksomheter står phishing og de såkalte social engineering-angrepene for 70-90 prosent av påviste datatap. Det er altså den største angrepsflaten hos virksomheter, men likevel ser vi altfor ofte at EDR (Endpoint Detection and Response) og nettverksløsninger blir prioritert over utdannelse av de ansatte.

Kontoen din vil bli hacket, send konto- og registreringsopplysninger nå!

Så avliv myten om den nigerianske prinsen som sender eksotiske e-poster med omvendt ordstilling, feil bøying og stavefeil, for snart er han en saga blott. I stedet bør du og dine ansatte være på vakt overfor lange og komplekse e-poster, som er en karakteristikk ved KI-genererte tekster.

Overordnet handler det om å skape en sunn og naturlig digital skepsis hos de ansatte. Det er stikk i strid med den norske folkesjelen, der vi stoler på hverandre inntil det motsatte er bevist. Men på nett bør vi som utgangspunkt alltid være på vakt – på vakt overfor e-poster som avviker fra normalen, overfor beskjeder om pakker på iMessage eller WhatsApp  med underlige lenker i, og overfor underlige fakturaer som sjefen din sender «fra iPaden sin».

Dessverre kan du ikke lenger utelukkende se etter dårlig grammatikk. Det har de IT-kriminelle lært.

Mats Koteng, digital hendelsesleder mnemonic
Les også

Mnemonic-leder: KI er fortsatt ikke en fare for it-sikkerheten

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.