Next-Gen Phishing: De Opkomst van AI Vishing Scams

In de cybersecurity, kunnen de online bedreigingen door AI een zeer tastbare impact hebben op individuen en organisaties over de hele wereld. Traditionele phishing-scams zijn geëvolueerd door het misbruik van AI-hulpmiddelen, waardoor ze vaker, geavanceerder en moeilijker te detecteren worden met elk passerend jaar. AI-vishing is misschien wel de meest verontrustende van deze evoluerende technieken.

Wat is AI Vishing?

AI-vishing is een evolutie van voice phishing (vishing), waarbij aanvallers zich voordoen als vertrouwde individuen, zoals bankvertegenwoordigers of technisch ondersteunings teams, om slachtoffers te misleiden om acties uit te voeren zoals het overmaken van geld of het geven van toegang tot hun accounts.

AI verbetert vishing-scams met technologieën zoals voice cloning en deepfakes die de stemmen van vertrouwde individuen imiteren. Aanvallers kunnen AI gebruiken om telefoongesprekken en conversaties te automatiseren, waardoor ze een groot aantal mensen in een relatief korte tijd kunnen targeten.

AI Vishing in de Praktijk

Aanvallers gebruiken AI-vishing-technieken ondiscrimineer, waarbij ze iedereen targeten, van kwetsbare individuen tot bedrijven. Deze aanvallen hebben zichzelf als opmerkelijk effectief bewezen, met een toename van 23% in het aantal Amerikanen dat geld verliest door vishing van 2023 tot 2024. Om dit in perspectief te plaatsen, zullen we enkele van de meest in het oog springende AI-vishing-aanvallen onderzoeken die de afgelopen jaren hebben plaatsgevonden.

Italiaanse Bedrijfsscam

Begin 2025 gebruikten oplichters AI om de stem van de Italiaanse minister van Defensie, Guido Crosetto, te imiteren in een poging om enkele van Italië’s meest prominente zakenleiders te scammen, waaronder modeontwerper Giorgio Armani en Prada-oprichter Patrizio Bertelli.

Zich voordoend als Crosetto, beweerden de aanvallers dat ze dringende financiële hulp nodig hadden voor de vrijlating van een ontvoerde Italiaanse journalist in het Midden-Oosten. Alleen één doelwit viel voor de scam in dit geval – Massimo Moratti, voormalig eigenaar van Inter Milan – en de politie wist het gestolen geld terug te krijgen.

Hotels en Reisbedrijven Onder Beleg

Volgens de Wall Street Journal zag het vierde kwartaal van 2024 een significante toename in AI-vishing-aanvallen op de hospitality- en reisindustrie. Aanvallers gebruikten AI om zich voor te doen als reisagenten en corporate executives om hotelmedewerkers te misleiden om gevoelige informatie te onthullen of ongeautoriseerde toegang tot systemen te geven.

Ze deden dit door drukbezette klantenservicemedewerkers, vaak tijdens piekuren, te instrueren om een e-mail of browser te openen met een kwaadaardige bijlage. Vanwege de opmerkelijke mogelijkheid om partners te imiteren die samenwerken met het hotel via AI-hulpmiddelen, werden telefoonscams beschouwd als “een constante bedreiging”.

Romancescams

In 2023 gebruikten aanvallers AI om de stemmen van familieleden in nood te imiteren en ouderen te scammen voor ongeveer $200.000. Scam-gesprekken zijn moeilijk te detecteren, vooral voor ouderen, maar wanneer de stem aan de andere kant van de lijn exact klinkt als een familielid, zijn ze bijna ondetecteerbaar. Het is de moeite waard om op te merken dat dit incident twee jaar geleden plaatsvond – AI-stemcloning is sindsdien nog geavanceerder geworden.

AI Vishing-as-a-Service

AI Vishing-as-a-Service (VaaS) is een belangrijke bijdrage geweest aan de groei van AI-vishing in de afgelopen jaren. Deze abonnementsmodellen kunnen spoofing-mogelijkheden, aangepaste prompts en adaptieve agenten omvatten, waardoor slechte actoren AI-vishing-aanvallen op grote schaal kunnen lanceren.

Bij Fortra hebben we PlugValley getrackt, een van de belangrijkste spelers in de AI Vishing-as-a-Service-markt. Deze inspanningen hebben ons inzicht gegeven in de dreigingsgroep en, nog belangrijker, laten zien hoe geavanceerd en gesofisticeerd vishing-aanvallen zijn geworden.

PlugValley: AI VaaS Onthuld

De vishing-bot van PlugValley laat dreigingsactoren toe om levensechte, aanpasbare stemmen te gebruiken om potentiële slachtoffers te manipuleren. De bot kan in real-time aanpassen, menselijke spraakpatronen imiteren, caller-IDs spoofen en zelfs callcenter-achtergrondgeluid toevoegen aan voice-calls. Het maakt AI-vishing-scams zo overtuigend mogelijk, waardoor cybercriminelen bankgegevens en eenmalige wachtwoorden (OTPs) kunnen stelen.

PlugValley verwijdert technische barrières voor cybercriminelen, waardoor ze schaalbare fraude-technologie kunnen aanbieden met een maandelijkse abonnement voor een nominaal bedrag.

AI VaaS-aanbieders zoals PlugValley zijn niet alleen scams aan het runnen; ze zijn sociale engineering aan het industrialiseren. Ze vertegenwoordigen de laatste evolutie van sociale engineering, waardoor cybercriminelen machine learning (ML)-hulpmiddelen kunnen gebruiken om mensen op grote schaal te misleiden.

Bescherming Tegen AI Vishing

AI-gedreven sociale engineering-technieken, zoals AI-vishing, zullen in de komende jaren waarschijnlijk vaker, effectiever en geavanceerder worden. Daarom is het belangrijk voor organisaties om proactieve strategieën te implementeren, zoals medewerkerstraining, verbeterde fraude-detectiesystemen en real-time dreigingsinformatie,

Op individueel niveau kan de volgende richtlijn helpen bij het identificeren en vermijden van AI-vishing-pogingen:

• Wees Voorzichtig met Ongevraagde Gesprekken: Wees voorzichtig met onverwachte telefoongesprekken, vooral die waarin om persoonlijke of financiële gegevens wordt gevraagd. Legitieme organisaties vragen meestal geen gevoelige informatie op over de telefoon. ​
• Verifieer de Identiteit van de Beller: Als een beller beweert een bekende organisatie te vertegenwoordigen, verifieer dan onafhankelijk hun identiteit door contact op te nemen met de organisatie via officiële contactgegevens. ​WIRED suggereert dat je een geheime wachtwoord moet maken met je familie om vishing-aanvallen te detecteren die beweren van een familielid te komen.
• Beperk Informatiedeling: Vermijd het delen van persoonlijke of financiële informatie tijdens ongevraagde gesprekken. Wees vooral voorzichtig als de beller een gevoel van urgentie creëert of negatieve gevolgen bedreigt. ​
• Educatie voor Jezelf en Anderen: Blijf op de hoogte van veelvoorkomende vishing-tactieken en deel deze kennis met vrienden en familie. Bewustzijn is een kritieke verdediging tegen sociale engineering-aanvallen.​
• Meld Verdachte Gesprekken: Informeer de relevante autoriteiten of consumentenbeschermingsorganisaties over vishing-pogingen. Meldingen helpen bij het volgen en mitigeren van frauduleuze activiteiten.

Volgens alle indicaties is AI-vishing hier om te blijven. In feite zal het waarschijnlijk blijven toenemen in volume en verbeteren in uitvoering. Met de prevalentie van deepfakes en de gemakkelijke adoptie van as-a-service-modellen, moeten organisaties verwachten dat ze op een gegeven moment het doelwit zullen worden van een aanval.

Medewerkerstraining en fraude-detectie zijn cruciaal om AI-vishing-aanvallen te voorkomen en voor te bereiden. De geavanceerdheid van AI-vishing kan zelfs goed opgeleide beveiligingsprofessionals ertoe brengen om ogenschijnlijk authentieke verzoeken of verhalen te geloven. Daarom is een uitgebreide, laag voor laag beveiligingsstrategie die technologische beveiligingsmaatregelen integreert met een consistent geïnformeerd en waakzaam personeel essentieel om de risico’s die door AI-phishing worden veroorzaakt te mitigeren.