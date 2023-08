Criminelen maken volop gebruik van ChatGPT om frauduleuze mails te schrijven die niet van echt te onderscheiden zijn. Experts vrezen de komende jaren voor een vloedgolf aan zogeheten phishingmails en stellen dat vooral kleine bedrijven en ouderen zonder digitale kennis hier onvoldoende tegen beschermd zijn. 'Dit is een technologie die niet twee of drie keer sneller en slimmer wordt per jaar, maar een miljoen keer.'

De afgelopen maanden schieten 'slimme chatbots' als paddenstoelen uit de grond. Inmiddels gebruiken tientallen miljoenen mensen de bots om logisch klinkende teksten te schrijven, zoals e-mails, gedichten en essays. Zorgwekkend is dat deze systemen in essentie niet zijn ontworpen om de waarheid te vertellen. Uit een proef van deze site blijkt zelfs dat het kinderspel is om ChatGPT een phishingmail te laten opstellen. "ChatGPT is erg goed in het na-apen van menselijke conversaties, ook de misleidende", zegt AI-deskundige Henk van Ess.

Met name ouderen en onervaren ondernemers lopen hierdoor groot risico, waarschuwen deskundigen. "We zitten in een tijdsgeest waarin technologie zich in een ongekend tempo ontwikkelt, waardoor mensen moeite hebben om bij te blijven", zegt Dave Maasland, CEO van het digitale beveiligingsbedrijf Eset Nederland. "Dáár zit het grote gevaar van deze cocktail: dat sommige doelgroepen nu al moeite hebben phishing te herkennen, de overheid geen uniforme werkwijze heeft en criminelen meer mogelijkheden dan ooit."

Wat is phishing?

Phishing is een vorm van online fraude waarbij criminelen nepwebsites of vervalste e-mailadressen gebruiken om naar gegevens te 'hengelen'. Normaal zijn deze oplichtingspraktijken redelijk simpel te herkennen aan taalfouten, maar met ChatGPT is het mogelijk om bijvoorbeeld een bank of een bekend persoon geloofwaardig na te bootsen.

Sets op darkweb

Op het boven- en ondergrondse web worden zelfs al voor 30 tot 50 dollar sets aan instructies verkocht voor ChatGPT, waarmee je een gelikte aanval kan opzetten. "Deze teksten zijn véél beter geschreven dan de e-mails waar de mensen nu al intrappen. Dit is zéker een probleem", zegt Van Ess. "Mijn simpelste advies: klik nooit op een link in een e-mail, zélfs als je het wel vertrouwt."

Europol en cyberspecialisten zien op basis van data dat criminelen ChatGPT al inzetten voor criminele doeleinden. Zorgen zijn er nu vooral om de kleine bedrijven. Zo neemt een kwart van de ondernemers geen enkele actie om digitaal veilig te zijn, blijkt uit onderzoek van I&O Research.

Vloedgolf

Juist deze bedrijven moeten zo snel mogelijk hun medewerkers trainen om het cyberbewustzijn te vergroten, waarschuwen diverse brancheorganisaties. Zij vrezen voor een vloedgolf aan phishingmails. Het zou volgens ondernemersclub VNO-NCW en mkb-Nederland al helpen als mkb-ondernemers, die geen digitale specialisten zijn, zoveel mogelijk ontzorgd worden en bijvoorbeeld niet fysiek aangifte hoeven te doen, 'maar heel makkelijk online'.

Ook NL Digital, een overkoepelende club binnen de digitale sector, waarschuwt haar leden. 'Een bewustwordingstraining kan helpen een deur dicht te houden, maar eerst moet je ervoor zorgen dat de deur goed gesloten kan worden en beveiligd is tegen inbraak.'

Kwaadaardige AI

Binnen de bankenwereld vreest men al langer dat klanten slachtoffer worden van cyberaanvallen door inzet van chatbots. "Dit is een gevaarlijke ontwikkeling en met name problematisch voor mkb-bedrijven", zegt Samantha Reilly, sectorspecialist ICT bij ING. "Dat komt doordat veel kleine ondernemers niet de resources hebben voor digitale veiligheid. Zij hebben veel potjes op het vuur, en maken keuzes." De overheid moet daarom een actieve rol pakken in het laagdrempelig informeren over de risico's van ChatGPT, aldus Reily.

Bijkomend gevaar is de opmars van kwaadaardige AI, zoals FraudGPT en WormGPT. Chatbots die maar één doel hebben: mensen bedriegen. De overheid moet daar hoognodig actie tegen ondernemen, zegt securitydeskundige Dave Maasland. "Ook omdat het voor mensen niet makkelijk is zeker te weten of een website van de overheid komt of dat het een valstrik is. Dat is echt pure waanzin! Door overheidswebsites herkenbaar te maken als .gov of .overheid.nl zou er in ieder geval een grote stap worden gemaakt om dit aan te pakken."

Als dit niet snel gebeurt, zullen meer mensen slachtoffer worden, waarschuwt Maasland. "Dit kan ervoor zorgen dat mensen bang worden om technologie te gebruiken, en de gevolgen op lange termijn, als een groot gedeelte van de samenleving niet mee kan, zijn niet te overzien."

Hoe nu verder?

Voor criminelen is AI een gouden troef, zegt Michiel Steltman, directeur van stichting Digitale Infrastructuur Nederland. Daarbij denkt hij niet alleen aan geloofwaardige phishing. "Denk ook aan het omzeilen van beveiliging, het vinden van zwakke plekken of aan iemand nadoen door middel van stem en video." Het reguleren van AI, waar veel beleidsmakers voor pleiten, is geen oplossing voor cybercrime, denkt Steltman. "Probleem met criminelen is nu eenmaal dat ze zich niet aan de wet houden, dus regulering helpt daar niet. Blijft over: pakkans vergroten en weerbaarheid verbeteren."

Deze zomer keurde het Europees Parlement nog een wetsvoorstel goed over AI. Daarin wordt het ontwerpen van AI gereguleerd. "Maar ik vrees dat we al meteen kunnen beginnen met eerste update ervan, zó snel gaat deze techniek", zegt VVD-Europarlementariër en rapporteur cybersecurity Bart Groothuis. "Ik maak me veel zorgen over AI en de consequenties voor onze veiligheid. Dit is een technologie die niet twee of drie keer sneller en slimmer wordt per jaar, maar een miljoen keer."

NCTV: kunstmatige intelligentie zorgt voor nieuwe cybergevaren

Door de komst van ChatGPT ontstaan nieuwe digitale gevaren, waarschuwt ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), Pieter-Jaap Aalbersberg. Het wordt volgens Aalbersberg alsmaar laagdrempeliger om schadelijke software te ontwikkelen. Het wordt ook steeds moeilijker om vast te stellen of teksten, foto's, video's en geluiden wel echt zijn. Diezelfde technologie maakt het echter ook mogelijk om potentiële aanvallen sneller en beter af te slaan.

De coördinator constateert ook dat cybercriminelen 'steeds slimmer te werk gaan'. Daarom roept hij organisaties op weerbaarder te worden, zodat de schade bij een aanval beperkt kan blijven. "Het verkleinen van de scheefgroei tussen de digitale dreiging en de weerbaarheid blijft dan ook een grote uitdaging", aldus Aalbersberg.

De politie noemt gijzelsoftware (ransomware) de grootste bedreiging voor de digitale veiligheid. Aanvallers beperken zich tegenwoordig niet meer tot het versleutelen van systemen en het eisen van losgeld. Ze proberen ook interne gegevens te stelen. Daarmee kunnen ze het slachtoffer extra afpersen. Bovendien kunnen ze die gegevens doorverkopen op de zwarte markt, aan mensen die er bijvoorbeeld identiteitsfraude mee willen plegen. "We zien steeds vaker serieuze aanvallen met ransomware", zegt Theo van der Plas, die bij de politie verantwoordelijk is voor de bestrijding van cybercrime.