Onderzoek: 54 procent klikt op door chatbot verzonnen phishingmails
Chatbots zijn net zo goed in het genereren van spearphishingmails als menselijke experts en vele malen sneller, zo stellen onderzoekers op basis van onderzoek. Voor het onderzoek onder 101 personen werd er gewerkt met vier soorten phishingmails. Bestaande phishingmails, door chatbots verzonnen phishingmails, door experts gemaakte phishingmails en 'human-in-the-loop' phishingmails, waarbij chatbots en experts 'samenwerkten'.
De phishingaanval bestond uit verschillende stappen. Zo werd er eerst een lijst met doelwitten opgesteld. Vervolgens werd er publiek beschikbare informatie over het doelwit verzameld. Op basis van de verzamelde informatie werd een gepersonaliseerde phishingmail met een link gemaakt. De e-mails werden dan naar vier groepen deelnemers gestuurd. Dit proces werd in het geval van de door chatbots verzonnen e-mails geheel geautomatiseerd uitgevoerd.
De bestaande phishingmails die bij echte campagnes zijn gebruikt hadden een klikratio van twaalf procent. De door chatbots verzonnen phishingmails en door experts gemaakte phishingmails scoorden beide 54 procent. De beste score haalden de 'human-in-the-loop' phishingmails. Hierbij konden mensen ingrijpen in het informatieverzamelproces en het opstellen van de phishingmails. Bijvoorbeeld als er informatie over de verkeerde persoon was verzameld. Deze mails hadden een klikratio van 56 procent.
De onderzoekers keken ook naar de snelheid waarmee de gepersonaliseerde phishingmails zijn te maken. Dan blijkt dat in het geval van 'human-in-the-loop' het informatieverzamelproces iets meer dan een minuut duurt. Het aanpassen van de door de chatbot gegenereerde phishingmails duurde iets meer dan anderhalve minuut. Het totale proces nam 2 minuten en 41 seconden in beslag. Bij een geheel handmatige door mensen uitgevoerde aanval kostte het informatieverzamelproces per doelwit 23 en een halve minuut. Het schrijven van de phishingmail nam 10 minuten in beslag, met een totale tijdsduur van 34 minuten per doelwit. De combinatie van mensen en chatbot was 92 procent sneller dan het volledige handmatige proces.
"Door het gebruik van taalmodellen kunnen aanvallers moeiteloos phishingmails maken die uniek voor elk doelwit zijn aangepast, wat signature gebaseerde detectie achterhaald maakt. Nu modellen beter worden zullen hun overtuigingsmogelijkheden waarschijnlijk ook toenemen", aldus de onderzoekers. Die stellen dat het gebruik van chatbots zeer effectief en economisch haalbaar is, waarbij de geautomatiseerde verkenning in bijna alle gevallen zeer nauwkeurig is en bruikbare informatie oplevert. Verder stellen de onderzoekers dat beschermingsmaatregelen die ontwikkelaars van chatbots hebben toegevoegd niet voorkomen dat chatbots kunnen worden ingezet voor het uitvoeren van verkenningsoperaties en genereren van phishingmails.
Misschien is het een goed idee om niet uw E-Mail adres met Jan en alleman te delen, en daarnaast een E-Mail alias aan te maken, dat voorkomt een hoop ellende.
Dat >50% toch klikt betekent dat de meerderheid nooit naar afzenders en/of linkjes kijkt.
Een voorbeeld email is:
Hi [Name],
Your recent paper on LLMs and phishing detection caught my attentions. We're starting a research project
bla bla bla
Given your expertise in AI and cybersecurity, would you be interesting in collaborating. etc etc.
You can review and apply here: link
Dat is een email waarbij het niet vreemd is dat het van een onbekende is, en voor een student is dat niet zo heel vreemd om te ontvangen.
(en jongeren blijken wat betreft cyber security sowieso al vrij naief te zijn)
Zoiets proberen oplichters ook wel in het bedrijfsleven, maar daar heeft men veel sneller argwaan en gaat kijken wat dat dan voor toko is en of ze daar wel hun naam aan willen verbinden. Daar word veel minder snel geklikt.
Het verklaart wel de bizar hoge klikrates in het onderzoek.
Dat >50% toch klikt betekent dat de meerderheid nooit naar afzenders en/of linkjes kijkt.
De token hijack trend is tegenwoordig ook op gang. Dus zelfs een bekend contactpersoon kan je een phishing mail sturen als de hijacker lang genoeg toegang tot de mailbox heeft gehad. En we weten ondertussen allemaal wel hoe laks bedrijven vaak zijn in hun cybersecurity. Veel bedrijven gaan het veel te laat of nooit opmerken dat hun token is gestolen tot dat het te laat is.
Vaak sturen ze nog algemene standaard mails namens de persoon, maar wie weet, wellicht beginnen ze binnenkort ook met AI spearphishing i.c.m. met een hijacked mail account zodat de afzender legitiem lijkt.
Het lijkt vergezocht maar let altijd op; ook bij bekende afzenders kan phishing worden verstuurd.
Een token hijack is een aanval dat een hacker de sessie tokens uit jouw browser uitleest en deze gebruikt om te authenticeren bij webbrowser diensten. Denk bijv. aan Microsoft en aan Google mail services. Het enige wat je hoeft te doen is een bestand te openen in je browser (standaardgedrag van Windows om HTML en PDF bestanden in MS Edge te openen..) of een verkeerde website bezoeken.
Dat >50% toch klikt betekent dat de meerderheid nooit naar afzenders en/of linkjes kijkt.
Het is gek dat bedrijven en instanties weer massaal emails met linkjes erin sturen. Een van de eerste dingen die je altijd leerde is om niet op linkjes in emails te klikken.
En aangezien alle instanties tegenwoordig linkjes sturen via allerlei schimmige trackingservices, klopt het domein gebruikt in de linkjes nooit meer met het domein waarvan de e-mail vandaan komt, dus in principe klik ik op geen enkel linkje in een email. Ik rapporteer deze altijd als phishing bij de betreffende instanties.
Ik dacht even dat je een grapje maakte, maar je hebt gelijk. In het abstract staat dat er 101 deelnemers waren die in 4 groepen verdeeld zijn. Bij 25 deelnemers per groep, zegt dit in elk geval niets en mag je de gegevens zeker niet met 2 cijfers nauwkeurigheid presenteren.
De enige conclusie had mogen zijn dat groep 1 een lagere response had dan de andere 3 groepen. Er exacte percentages aan hangen maakt het onderzoek onserieus.
als je dan 50% van de geaddreseerden een gmail account heeft snap ik de statistieken wel.
Ik dacht even dat je een grapje maakte, maar je hebt gelijk. In het abstract staat dat er 101 deelnemers waren die in 4 groepen verdeeld zijn. Bij 25 deelnemers per groep, zegt dit in elk geval niets en mag je de gegevens zeker niet met 2 cijfers nauwkeurigheid presenteren.
De enige conclusie had mogen zijn dat groep 1 een lagere response had dan de andere 3 groepen. Er exacte percentages aan hangen maakt het onderzoek onserieus.
Dat >50% toch klikt betekent dat de meerderheid nooit naar afzenders en/of linkjes kijkt.
Bedenk dat veel gebruikers als taak hebben "mail van klanten, nieuwe leveranciers en andere onbekende derden" te openen. En zij moeten dus zo veel mogelijk mailtjes beantwoorden in een zo kort mogelijke tijd.
Net als die medewerker van een verzekeringspaatschappij wiens taak het was om declaraties van verzekerden te lezen. En die komen als PDF binnen (of als docs e.d.) Daar zat dus ransomware tussen. Die medewerker is publiekelijk gecomplimenteerd vanwege de snelheid van melden van problemen met de werkplek. Bedenk dat het iedereen kan overkomen.
Zelfs die security beheerder die op vrijdag een nieuwe phishing test had klaargezet voor maandagochtend en daar zelf op maandagochtend intrapte, omdat hij een slecht weekend had gehad en met zijn gedachten daar nog was.
Een oplossing die voor een specialist als jij werkt, werkt in 99% van de gevallen niet voor "normale" medewerkers. Dat weet ik wel na 5 jaar awarenesstrainingen en phishingtests uitvoeren in onze organisatie.
Peter
Dat >50% toch klikt betekent dat de meerderheid nooit naar afzenders en/of linkjes kijkt.
Bedenk dat veel gebruikers als taak hebben "mail van klanten, nieuwe leveranciers en andere onbekende derden" te openen. En zij moeten dus zo veel mogelijk mailtjes beantwoorden in een zo kort mogelijke tijd.
Net als die medewerker van een verzekeringspaatschappij wiens taak het was om declaraties van verzekerden te lezen. En die komen als PDF binnen (of als docs e.d.) Daar zat dus ransomware tussen. Die medewerker is publiekelijk gecomplimenteerd vanwege de snelheid van melden van problemen met de werkplek. Bedenk dat het iedereen kan overkomen.
Zelfs die security beheerder die op vrijdag een nieuwe phishing test had klaargezet voor maandagochtend en daar zelf op maandagochtend intrapte, omdat hij een slecht weekend had gehad en met zijn gedachten daar nog was.
Een oplossing die voor een specialist als jij werkt, werkt in 99% van de gevallen niet voor "normale" medewerkers. Dat weet ik wel na 5 jaar awarenesstrainingen en phishingtests uitvoeren in onze organisatie.
Peter
De technische gatekeepers zijn en blijven noodzakelijk. De mens is je laatste sluitpost. Ipv trainen op herkennen (serieuze vraag in een awarenesstraining die aan medewerkers aangeboden werd: Nav verhaaltje de vraag of het spearphishing, CEO fraude, Whaling of iets anders was. Like, wtf, laten we al onze medewerkers opleiden tot cybersec specialist, yay).
We hebben als mens een enorme voorsprong op iedere (technische) AI oplossing: Emotie en gevoel. Ik adviseer simpelweg om geen onderzoek te doen, voelt een mail vreemd/onverwacht/raar gevoel in onderbuik? Meld de mail zsm aan. Bij voorkeur via een constructie met 1-click.Laat specialisten hun specialistische werk doen, zodat de medewerker door kan met zijn/haar werk.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?