Hvad sker der, når den nigerianske prins lærer at stave og sætte kryds og bolle på dansk?

Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.

Cybersikkerhedseksperter observerer, at kriminelle i stigende grad gør brug af AI, når de forsøger at manipulere og svindle sig til kontrol over din computer.

Særligt AI’ers evne til at genskabe og opfinde tekst på alverdens sprog er en styrke for cyberkriminelle, der som oftest ikke kan skrive fejlfrit dansk. Det betyder, at hackerne, ved brug af AI-platforme såsom ChatGPT, kan omgå mange af de fejl, som vi har vænnet os til at genkende som scam, og som normalvis ville få vores alarmklokker til at ringe.

”Jeg kan godt kende forskel på en tekst, der er skrevet af en maskine fremfor af et menneske,” tænker du måske. Den påstand satte en række af mine kolleger sig for at afprøve.

Her testede vi, hvor nemt det er at få ChatGPT til at udforme en såkaldt phishingmail – altså en mail, der har til formål at få dig til at klikke på et link, sådan at hackere kan tage kontrol over din computer.

Og det tog den faktisk kun fem minutter. Derefter testede vi den AI-genererede phishingmail på en række ansatte. Mailen lykkedes med at snyde næsten lige så mange ansatte, som de phishingmails vores specialuddannede team normalt bruger mere end 16 timer på at konstruere til sådanne tests.

Derfor må jeg nok desværre aflive forestillingen om, at man ikke kan blive snydt af en maskine, for det kan man i allerhøjeste grad. ”Robotterne kommer”, og vi er ikke forberedt.

Mennesket vandt ganske vist en kneben sejr denne gang, men AI lærer hele tiden, og de phishingmails, som cyberkriminelle kan AI-generere, bliver kun mere overbevisende. Vi må forvente, at AI bliver mere sofistikeret, eksempelvis i form af korrekt grammatik, og overhaler os i udvikling og design af cybersvindel.

For eksempel har man det sidste år set en tendens til, at cybersvindlere benytter såkaldte voice clones. Her imiterer man, ved hjælp af AI, et virkeligt menneskes stemme, og udgiver sig for at være stemmens ejermand ved brug af en syntetisk, fabrikeret stemme for at franarre folk penge eller oplysninger.

Det lyder teoretisk, men vi har set det ske i praksis på de mere benyttede sprog som engelsk, og det vil også ramme de mindre nationer og mindre sprog.

”Rage Against The Machines”
Men skal vi så bare kaste håndklædet i ringen og affinde os med en fremtid, hvor vi bliver snydt af hackere, der læner sig op ad kunstig intelligens?

Heldigvis er der mere progressive veje at gå. Vi har netop gennemført en stor undersøgelse af it-sikkerhedstræningsdata fra 32 millioner brugere fordelt på knap 500 millioner falske phishingmails. Undersøgelsen viser med al tydelighed, at ansatte, der modtager it-sikkerhedstræning af deres it-afdeling, er bedre rustet til at opdage svindel.

Helt præcist peger vores undersøgelse på, at medarbejdere, der bliver trænet i it-sikkerhed, er hele 274 pct. bedre til at opdage phishingmails end folk uden træning.

Og det er væsentligt at være opmærksom på. Især for virksomheder, hvor phishing og de såkaldte social engineering-angreb, står for 70-90 procent af bevidste datatab. Det er altså den største angrebsflade for virksomheder, men alligevel ser vi alt for ofte, at EDR og netværksløsninger bliver prioriteret over uddannelse af de ansatte.

Så afliv myten om den nigerianske prins, der sender eksotiske mails med omvendt ordstilling, forkerte bøjningsformer og stavefejl, for snart er han en saga blot. I stedet bør du og dine ansatte være på vagt overfor lange og komplekse e-mails, der er karakteristisk for AI-genererede tekster.

Overordnet handler det om at skabe en sund og naturlig digital skepsis hos de ansatte. Det går stik imod den danske folkementalitet, hvor vi stoler på hinanden, indtil det modsatte er bevist, men online bør vi som udgangspunkt altid være på vagt. På vagt over for mails, som afviger fra normalen, over for beskeder på iMessage eller WhatsApp omkring pakker med underlige links i, og over for underlige fakturaer, som din chef sender ”fra sin iPad.”

Men desværre kan du ikke længere udelukkende kigge efter dårlig grammatik. Det er de it-kriminelle ved at have lært.