Oplichters gebruiken AI om overtuigende phishing-oproepen te creëren

Een beveiligingsexpert heeft verteld hoe hij bijna voor de gek werd gehouden door een nieuwe oplichtingsoproep op het gebied van kunstmatige intelligentie, bedoeld om toegang te krijgen tot de gegevens van zijn Gmail-account. Er zijn al ChatGPT-apps voor oplichting in de AppStore, maar nu zetten oplichters kunstmatige intelligentie in, wat expert Sam Mitrovic 'superrealistisch' noemt.

"Mensen hebben het druk, en deze zwendel klinkt en ziet er zo reëel uit dat ik ze een tien zou geven voor hun inspanningen. Veel mensen hadden er voor kunnen trappen", schreef Mitrovic in een blogpost.

“Hoewel zorgvuldige inspectie veel verdachte punten aan het licht brengt, lijkt de oproep redelijk genoeg om veel mensen te misleiden”, vervolgde hij. "Mijn inschatting is dat hun conversiepercentage voor het beantwoorden van oproepen relatief hoog zal zijn."

Voor Mitrovic begon het toen hij een melding ontving waarin hem werd gevraagd een poging om zijn Gmail-account te herstellen goed te keuren. Mitrovic negeerde dit en kreeg kennelijk een gemiste oproep van Google's vestiging in Sydney.

Een week later verscheen dezelfde melding en 40 minuten later kreeg hij een telefoontje, dat hij wel beantwoordde. Het verschil van zeven dagen is aanzienlijk omdat de beller hem vertelde dat het een week geleden was dat er verdachte activiteit op zijn account had plaatsgevonden.

Toen de beleefde, professionele Amerikaanse stem Mitrovic vroeg of het mogelijk was om vanuit het buitenland toegang te krijgen tot zijn account, zocht de beveiligingsexpert op Google naar het telefoonnummer van de beller. Dit is een legitiem Google-nummer, hoewel het vals kan zijn. Maar in dit geval was het Google-nummer specifiek voor de Google Assistent, niet voor het Gmail-account waar hij om werd gevraagd. Dus vroeg Mitrovic de beller om hem een ​​e-mail te sturen.

"Hij zei beleefd dat hij het zou doen, geef hem gewoon even de tijd. Op de achtergrond hoorde ik iemand typen... Na een tijdje arriveerde de e-mail en op het eerste gezicht leek het alsof hij echt was. Maar dat was niet zo. Net toen Mitrovic merkte dat het adres niet van een Google-domein afkomstig was, zei de beller: 'Hallo.'

"Ik negeerde het... ongeveer tien seconden later zei (de stem) opnieuw 'hallo'", zei Mitrovic, waarna de beveiligingsexpert ophing.

"Op dat moment besefte ik dat het een AI-stem was, omdat de uitspraak en spatiëring zo perfect waren. De zwendel werd steeds geavanceerder, overtuigender en groter."

Om te voorkomen dat hij in de val zou trappen, wees hij op verschillende aanwijzingen, te beginnen met de manier waarop hij de melding voor accountherstel ontving, die niet ongevraagd werd verzonden. Hij merkte ook op dat Google Gmail-gebruikers niet zal bellen tenzij ze ook een Google Business-profiel hebben.

Het vervalsen van telefoonnummers en e-mailadressen is eng genoeg, maar het is alarmerend om het hele gesprek door een AI te laten inspreken. Ironisch genoeg kan dit betekenen dat oplichters in de toekomst minder mensen zullen aannemen, maar het betekent ook dat honderden of duizenden van deze oproepen tegelijkertijd kunnen worden gedaan.

Afgezien van het aspect kunstmatige intelligentie zijn telefoonspoofing en phishing niets nieuws. Er zijn bijvoorbeeld in het verleden oplichters geweest die zich voordeden als medewerkers van het Apple Support Center.