Tools als ChatGPT kunnen niet alleen teksten schrijven maar ook code voor malware genereren. Ook het schrijven van phishingmails zonder taalfouten in alle talen, is met zo’n tool snel gedaan. Hoe groot zijn deze dreigingen van ChatGPT voor cybersecurity en hoe kun je als msp of mssp je klanten ertegen wapenen?
De populariteit van ChatGPT is niet te stuiten en de tool wordt alsmaar (kunstmatig) intelligenter. Hoewel de meest recente GPT-4-technologie alleen in de betaalde versie zit, kan iedereen de gratis versie, die ook al bijzonder krachtig is, gewoon gebruiken. Daarom kan het interessant zijn voor cybercriminelen om de AI-hulp te gebruiken voor hun praktijken. Als msp/mssp is bewustzijn hierover essentieel om je eindklanten te helpen en te zorgen voor de juiste beveiliging.
Malware maken met ChatGPT
ChatGPT is niet alleen in staat teksten te schrijven, het kan ook code genereren in verschillende programmeertalen. Het is goed om te weten dat er wel beperkingen zijn ingebouwd. Daardoor wordt bijvoorbeeld beledigend taalgebruik als output zo veel mogelijk vermeden. Ook kun je ChatGPT niet zomaar opdragen kwaadaardige code te schrijven.
Toch vinden mensen allerlei manieren om die filters te omzeilen. Zo lukte het cybersecurity-onderzoeksbureau CyberArk met ChatGPT malwarecode te genereren die lastig op te sporen is voor antimalware-software. Inmiddels is op fora op het dark web al code opgedoken die met ChatGPT werd geschreven en die bestanden kon stelen, comprimeren en naar anderen kon versturen. Ook code om bestanden op een computer compleet te versleutelen, zou met ChatGPT te schrijven zijn.
ChatGPT als hulp bij phishingmails
Phishingmails zijn vaak gemakkelijk te herkennen aan het slechte taalgebruik. Omdat ChatGPT foutloze teksten kan schrijven in iedere taal, is het eenvoudig om snel berichten te laten schrijven die niet alleen foutloos zijn maar gebruikers ook op de juiste manier aanspreken. Je kunt de chatbot bijvoorbeeld opdragen een tekst extra overtuigend te maken.
Zo kan het criminelen helpen zich voor te doen als vertegenwoordiger van een vertrouwde partij zoals een bank, een cybersecuritybedrijf of een klant die een rekening betaald wil hebben of gevoelige gegevens nodig heeft. De combinatie van phishing en social engineering is al jaren een beproefde methode om geld of gegevens buit te maken en ChatGPT kan dit eenvoudiger maken.
Valse informatie verspreiden met ChatGPT
Een laatste zorg is dat ChatGPT kan worden ingezet om desinformatie te produceren. Er zijn tal van voorbeelden van troll farms die worden ingezet om dit soort berichten te verspreiden en zo groepen mensen te beïnvloeden, bijvoorbeeld bij politiek gevoelige kwesties.
Hoewel ook hier filters zijn ingebouwd zodat de chatbot niet zomaar de grootst mogelijke onzin produceert, zijn er ook wat dit betreft geen garanties. ChatGPT is uiteindelijk getraind op een groot deel van wat op internet staat, en zoals we weten is niet alles wat online staat de waarheid. Bovendien is bewezen dat ChatGPT vol zelfvertrouwen dingen kan beweren die niet blijken te kloppen.
Hoe bedreigend is ChatGPT?
Hoe groot de risico’s echt zijn, is nog niet zo makkelijk te beoordelen. Iemand die kwaad wil, kan ChatGPT wel gebruiken, maar wil die een geslaagde aanval uitvoeren, dan is daar meer voor nodig. Hij moet namelijk domeinen registreren, websites bijhouden en bedenken hoe je welke mensen zo goed mogelijk kunt aanvallen. Kortom, malware maken en verspreiden, vraagt meer van een cybercrimineel dan alleen een foutloze mail schrijven. En wie malware wil verspreiden kan al voor een paar tientjes complete toolkits kopen. Zolang ChatGPT niet beter wordt dan de bestaande tools, is het dus maar de vraag of ChatGPT het cybercriminelen zo veel gemakkelijker maakt.
Bovendien kan ChatGPT juist ook worden ingezet om malware te bestrijden. Als het snel genoeg leert van zijn input, kan het misschien direct potentiële aanvallen herkennen en voorstellen doen om de security te verbeteren. Wanneer een AI-taalmodel wordt geïntegreerd in securitytools kan het bijvoorbeeld gemakkelijker worden om phishing-mails en spam uit de mailbox te filteren. Zowel cybersecurity-experts als hackers zullen proberen de technologie in hun voordeel te gebruiken. Wie deze AI-wapenwedloop wint, zullen moeten we afwachten.
Wat kun je doen tegen de gevaren van ChatGPT?
Dat AI naast veel moois ook risico’s met zich meebrengt, is iets waar we rekening mee moeten houden. Cybersecurity moet voor iedere organisatie een serieuze aangelegenheid zijn en dat geldt ook voor jouw klanten, ook als het gaat om kleinere mkb-bedrijven. Je kunt het volgende doen om de gevaren te beperken.
- Overtuig je klanten dat een zero-trust-omgeving essentieel is. Beperk de toegang tot bestanden en data zo veel mogelijk.
- Zorg dat de software bij je eindklant altijd up-to-date is en alle apparaten gepatcht.
- Het tegengaan van phishing en social engineering is niet alleen een kwestie van techniek. Zorg voor voldoende bewustzijn rond cybersecurity onder de medewerkers van jouw klanten.
Meer over beveiliging? Het volgende magazine gaat onder andere over Cyber- en Datasecurity.