Aan de vooravond van een nieuw decennium kijken we naar wat er op ons afkomt op het gebied van fraude. We hebben geen glazen bol, maar van een aantal zaken is te verwachten dat we ermee te maken krijgen.
De grootste verandering die we de afgelopen decennia zagen, is het ontstaan van de digitale wereld. Die ontwikkeling zal verder doorzetten en de ervaring leert dat fraudeurs zich graag ontfermen over nieuwe technologieën. We zetten een paar ontwikkelingen voor u op een rij.
A.I.
A.I. staat voor artificiële (kunstmatige) intelligentie. A.I. kan vertaald worden als het vermogen van een machine om te leren, te redeneren en zelfstandig tot oplossingen te komen. A.I. komen we op steeds meer plaatsen tegen. Denk aan de ‘helpende elektronica’ in moderne auto’s, de karakters in videogames en de internetzoekmachines. A.I. wordt inmiddels helaas ook meer en meer door criminelen gebruikt voor het uitvoeren van hun kwade bedoelingen. En ze hoeven die A.I. niet eens zelf te ontwikkelen. Ze kopen het gewoon, tegen steeds lagere bedragen. Fraude as-a-service. Kant-en-klaar.
Het einde van het wachtwoord?
Ieder wachtwoord is uiteindelijk te kraken. De kracht van een wachtwoord wordt bepaald door de tijd die een aanvaller nodig heeft om het wachtwoord te ‘raden’. De meest simpele maar ook traagste methode is het uitproberen van alle beschikbare mogelijkheden. Maar computers kunnen tegenwoordig veel meer dan dat. Uit allerlei bronnen, bijvoorbeeld uit gelekte databestanden, wordt informatie gecombineerd om met behulp van A.I. patronen te herkennen. Hoe slimmer die patronen door A.I. ingezet worden, hoe korter de tijd die nodig is om een wachtwoord te kraken.
Stel dat u als wachtwoord ‘fraude’ gebruikt. In 1982 had een computer nog 10 uur, 16 minuten en 5 seconden nodig om dat wachtwoord te ‘raden’. Eind 2019 kostte dat nog maar 18 seconden. Dat is meer dan 2.000 keer sneller!
Als u bedenkt dat A.I. heel snel in kracht toeneemt, begrijpt u dat ook de kracht van wachtwoorden snel in waarde afneemt. Om die reden krijgt u op steeds meer plekken 2-factor-authenticatie (2fa) als veiligheidsoptie aangeboden. Daarbij gebruikt u de combinatie van iets wat u weet (uw gebruikersnaam en wachtwoord) met iets wat u hebt (een smartphone, een vingerafdruk, enz.). Voor inloggen bij de meeste banken is dat tegenwoordig standaard. Wanneer u verzuimt om 2fa in te stellen op alle plekken waar u nu nog met alleen een inlognaam/wachtwoord-combinatie werkt, dan geven we u de garantie dat u ergens in de komende jaren geconfronteerd zult worden met een gehackt wachtwoord.
Lees meer over veilig omgaan met inloggen
Overgenomen identiteit
Bent u straks nog wel wie u bent? Of heeft iemand op slinkse wijze uw identiteit overgenomen om daar kwalijke zaken mee te doen?
We geven ongemerkt heel veel informatie over onszelf prijs op internet. Via social media vertellen we maar al te makkelijk hoe ons leven eruitziet. We vertellen wie onze familie en vrienden zijn, verklappen onze schrijfstijl en plaatsen foto’s van onszelf en onze favoriete vakantieplekken. Dat doen we misschien verspreid over verschillende plekken op internet, maar die informatie kan verzameld en gecombineerd worden.
Zeker wanneer een fraudeur dat laat doen door slimme A.I. En binnen een ommezien hebben ze onder uw identiteit, met uw foto’s en uw interesses, een nieuw account aangemaakt.
U weet zelf natuurlijk dat dit niet echt is. Maar uw Facebookvrienden die uit uw naam om financiële hulp gevraagd wordt, weten dat waarschijnlijk niet.
Nu al worden we met regelmaat geconfronteerd met meldingen waarin iemand aangeeft via WhatsApp door een ‘zoon’ of ‘dochter’ te zijn benaderd. Deze ‘zoons’ en ‘dochters’ vragen of er met spoed geld kan worden overgemaakt, omdat zij anders in de problemen raken. Hoe beter de A.I. z’n werk heeft gedaan hoe overtuigender de oplichters over komen.
Meer informatie over app’s met hulpvragen van een ‘bekende’
Het instellen van een hoger privacy-niveau in die social media is een begin. Maar wel een mager begin. Het geeft geen enkele garantie dat er geen vreemde ogen meelezen.
Criminelen ontwikkelen apps om informatie van uw smartphone te verkrijgen. Daarom moet u ook geen apps van niet-geverifieerde bronnen installeren. En zeker ook niet iedere app overal toegang toe geven. Wanneer oplichters uw profielgegevens kunnen combineren met gevoelige informatie als uw bankgegevens, dan wordt het helemaal eng. Er ontstaan dus steeds meer plekken waar u uw informatie kunt delen, en criminelen krijgen steeds meer mogelijkheden iets met die informatie te doen.
Deepfake
Kent u die apps die je op basis van een selfie laten zien hoe u er over 30 jaar uitziet? Of die zo’n leuke avatar van uw gezicht maken, meebewegend met alles wat u zegt? Hier is A.I. op een knappe manier aan het werk.
De manipulaties die u in zo’n app te zien krijgt, zijn natuurlijk niet geloofwaardig genoeg om uw identiteit mee over te nemen. Maar er bestaan wel degelijk technieken om die manipulaties levensecht te laten lijken. Dat noemen we deepfake. Alle informatie die u zo’n app aanbiedt, kan worden opgeslagen en misbruikt. Met zo’n app geeft u dus mogelijk informatie waarmee criminelen uw uiterlijk kunnen gebruiken in bewegende beelden.
Datzelfde geldt voor uw stemgeluid. Op basis van een geluidsfragment van slechts enkele minuten kan A.I. uw stem compleet nabootsen. Een YouTube-filmpje of een opgenomen telefoongesprek is al voldoende. Criminelen hebben zo de mogelijkheid u digitaal te ‘klonen’ en daarmee heel geloofwaardig namens u op te treden.
Koppel deze techniek aan een beeldtelefoon en men kan maar zo namens u bellen met de salarisadministratie over een nieuw bankrekeningnummer. Uw ‘zoon’ ter verificatie bij een WhatsApp-hulpverzoek vragen even te bellen, biedt binnen afzienbare tijd ook al geen uitsluitsel meer. En wat doet u als u een telefoontje van uw baas krijgt met de opdracht met spoed geld naar een buitenlandse leverancier over te maken?
De kosten van deze technieken zijn momenteel nog de reden dat ze niet breed worden ingezet. Maar bedenk dat die kosten met de dag lager worden.
Slimme apparaten
Hoe handig is het: een thermostaat die aanslaat als hij ontdekt dat u onderweg naar huis bent, de robotstofzuiger die automatisch aan het werk gaat terwijl u op kantoor bent, en de verlichting die via uw smartphone kan worden gedimd.
Op vakantie even kijken wie er thuis heeft aangebeld en tijdens het winkelen checken wat er nog in de koelkast ligt. Hand over hand groeit het aantal apparaten dat u via uw thuisnetwerk kunt koppelen. En daar zit ‘m nou net de crux. Want niet al die apparaten zijn goed beschermd tegen aanvallers. Meekijken op een gehackte verwarmingsthermostaat kan criminelen makkelijk vertellen wanneer u thuis bent. Ook kan een crimineel de informatie die in zo’n apparaat is opgeslagen bemachtigen of aanpassen, of het ding op afstand bedienen. Een bewakingscamera krijgt natuurlijk een heel andere functie als een crimineel kan meekijken. Ook is het niet ondenkbaar dat criminelen kans zien om via zo’n apparaat verder in uw netwerk door te dringen.
Marketeers weten dat hun klanten dingen die het leven makkelijker maken omarmen. Het is dus zeker niet ondenkbaar dat uw koelkast in de toekomst gekoppeld kan worden aan een bestelsysteem bij uw favoriete supermarkt. Als een hacker via uw thermostaat heeft uitgeplozen wanneer u op vakantie bent, kan hij op dat moment via uw koelkast eenvoudig een doos met dure whiskyflessen bestellen en bij uw voordeur afvangen – als u uw beveiliging niet op orde hebt.
Wanneer u dergelijke apparaten installeert, verander dan in ieder geval het standaard-wachtwoord. Verder biedt het Nationaal Cyber Security Centrum (NCSC) van de overheid een ‘factsheet’ over het beveiligen van slimme apparaten. Daarmee kunnen de risico’s aanzienlijk verminderd worden.
Voice
Praten met apparaten, het kan tegenwoordig. Er zijn al diverse ‘slimme speakers’ in omloop die apparaten bedienen en bijvoorbeeld de verlichting of verwarming aanzetten wanneer u daar een gesproken opdracht voor geeft. Het gebruik ervan neemt snel toe. In de VS heeft op dit moment al 1 op de 5 huishoudens een dergelijk apparaat in huis en ook in Nederland zien we dat het gebruik toeneemt. Je kunt er ook het alarm mee aanzetten. Of uitzetten…..
En geld overmaken wordt misschien ook mogelijk. Het enige dat nodig is, is uw stem. Of een deepfake-copy daarvan.
Slapeloze nachten?
Die willen we u uiteraard niet bezorgen. Maar met al die mooie nieuwe technologieën ontstaan ook nieuwe risico’s. Voor alle technologieën geldt dat ze steeds volwassener worden, en daarmee goedkoper en bereikbaarder. Zeker is dat criminelen daarin mogelijkheden zullen ontdekken om burgers en bedrijven te benadelen. Als u zich daarvan bewust bent, kan dat een boel ellende besparen. Dáár helpen we graag bij.