‘Marketeers hebben een belangrijke taak in het voorkomen van phishing’

Phishing is op zichzelf natuurlijk niets nieuws. Toch is het geen verrassing dat ook ransomwarebedrijven profiteren van AI. ‘De laatste tijd zien we een sterke toename van spearphishing; een vorm van phishing waarbij aanvallers zich richten op specifieke individuen binnen een organisatie’, vertelt Hoekstra. ‘AI wordt gebruikt om precies de juiste tone of voice, huisstijl en andere informatie te achterhalen, zodat de berichten uitermate gepersonaliseerd zijn’, voegt Barendrecht toe.

De perfecte phishingmail

‘Spearfishing is getarget op jou, op één persoon’, legt Hoekstra uit. ‘Hackers onderzoeken op LinkedIn wat jouw taal is en wie jouw collega’s zijn. Vervolgens kijken ze naar de huisstijl van het bedrijf en maken ze een perfecte phishing e-mail, die nauwelijks van echt te onderscheiden is.’

Proef op de som

Een recente test bij Endeavour toonde aan hoe effectief deze aanvallen kunnen zijn. Barendrecht: ‘Onze IT-manager stuurde een e-mail naar alle medewerkers, uit naam van onze HR-manager. Daarin stond dat je voor het einde van de week moest inloggen op je bedrijfsaccount om een kerstpakket uit te kiezen. Ondanks regelmatige waarschuwingen voor beveiligingsrisico’s, trapten er toch een aantal collega’s in. En dat is niet eens zo gek, want het zat gewoon verdomd goed in elkaar.’

Veiligheid AI-tools

Naast het perfectioneren van phisingmails brengt AI nog meer securityrisico’s met zich mee. ‘Slecht getrainde chatbots kunnen onbedoeld gevoelige informatie prijsgeven of vatbaar zijn voor manipulatie door aanvallers’, legt Hoekstra uit. ‘Een ander risico is LLM poisoning, waarbij kwaadwillenden de dataset waarop een machine learning model is getraind, saboteren. Als aanvallers erin slagen om schadelijke data toe te voegen aan de trainingsset van deze chatbot, kan deze verkeerde adviezen geven of zelfs gevoelige informatie lekken. Dit kan grote financiële- en reputatieschade veroorzaken.’

Slecht getrainde chatbots kunnen onbedoeld gevoelige informatie prijsgeven

De rol van online marketeers

Voor online marketeers is security een zeer belangrijk thema, vinden de heren. ‘Bewustzijn dat het ook jou kan treffen is hierin het belangrijkst’, vindt Barendrecht. ‘Zo was er afgelopen maand een cyberattack via polyfill.io, waarbij ransomeware werd geïnstalleerd. Daarnaast legde Google alle advertentiecampagnes stil, om erger te voorkomen. Een vervelende verrassing voor de online marketeers in kwestie. Het is dus belangrijk om goed na te denken over het beschermen van je marketingdata.’

Hoekstra vult aan: ‘Online marketeers werken met ontzettend veel tools. Zeker met het oog op alle nieuwe AI-toepassingen is voorzichtigheid geboden. Verder zijn twee-factor authenticatie (2FA) en tijdige software-updates cruciaal en is het belangrijk om kritisch te zijn op de informatie die men ontvangt en deelt.’

Security-first cultuur

De experts benadrukken het belang van een security-first cultuur binnen organisaties. ‘Alle medewerkers moeten actief getraind worden op security-risico’s’, aldus Barendrecht. ‘Daarnaast is het belangrijk om regelmatig phishing-simulaties uit te voeren, om iedereen bewust te houden van de gevaren.’ Hoekstra vult aan: ‘Het is essentieel dat medewerkers leren om alert te zijn. Niet alleen op phising e-mails, maar ook op verdachte telefoontjes of bezoekers.’

Zorgplicht voor agencies

Naast online marketeers moeten vooral ook tech agencies voorzichtig zijn, vertellen de mannen. ‘Met de aankomende NIS2-wet krijgen bouwers van websites een grotere zorgplicht richting hun klanten. Agencies moeten strengere afspraken maken, bijvoorbeeld over het tijdig uitvoeren van updates’, aldus Barendrecht. Hoekstra vult aan: ‘Security kost nu eenmaal tijd en geld en de verantwoordelijkheid daarvoor ligt straks volledig bij ons als bouwers. Die zorgplicht nemen we ontzettend serieus.’