Kontakt med oss

Tankeledere

Den økende innvirkningen av AI på valgsvindel denne sesongen

mm
Publisert

I 2022, ondsinnede e-poster rettet mot valgarbeidere i Pennsylvania fylke strømmet rundt primærvalget 17. mai, og steg mer enn 546 % på seks måneder. Sammen med potensialet for ondsinnede store språkmodeller (LLMs) på toppen av disse tradisjonelle phishing-angrepene, er det stor sannsynlighet for at den dagligdagse amerikaneren vil bli målet for en enda mer realistisk svindel denne valgsesongen.

Regjeringer begynner å legge merke til det, spesielt ettersom AI blir integrert i hverdagen vår. For eksempel US Cybersecurity and Infrastructure Security Agency lansert et program for å øke valgsikkerheten – demonstrerer et økende krav fra både regjeringen og offentligheten om å beskytte seg selv, og deres data, fra potensielle dårlige aktører denne valgsesongen.

Og enda mer nylig, på sikkerhetskonferansen i München i 2024, signerte 20 teknologi- og AI-selskaper en "Teknisk avtale for å bekjempe villedende bruk av AI i valget i 2024," som fremhever veiledende prinsipper for å beskytte valg og valgprosessen, inkludert forebygging, herkomst, oppdagelse, responsiv beskyttelse, evaluering og offentlig bevissthet. Dette består av store teknologiske aktører inkludert Microsoft, Amazon og Google, og betyr et viktig skifte i bransjen at selv utover politiske tilknytninger, er datasikkerhet et tema som vil bekymre både borgere og cybereksperter gjennom resten av dette valgåret. Dessuten vil generativ AI ha stor innvirkning på hvor dårlige skuespillere kan utføre angrepene sine, noe som gjør det lettere å lage svært realistiske svindel.

Typer valgsvindel

Selv om valgsesongen ikke er den eneste gangen vi ser en økning i svindel, har vi en tendens til å se en økning i flere metoder og teknikker når det er på tide å stemme, enten i primærvalget eller stortingsvalget. Hver av disse brukes med det typiske målet å få tilgang til en enkeltpersons konto eller pengegevinst og konsekvensene av å falle for dem kan få store konsekvenser. Faktisk har dypfalsk svindel alene kostet USA mer enn $ 3.4 milliarder i tap.

Noen eksempler på svindel vi ser rundt valgsesongen inkluderer:

  • Phishing: Phishing innebærer bruk av falske lenker, e-poster og nettsteder for å få tilgang til sensitiv forbrukerinformasjon – vanligvis ved å installere skadelig programvare på målsystemet. Disse dataene brukes deretter til å stjele andre identiteter, få tilgang til verdifulle eiendeler og overbelaste innbokser med e-postspam. I en valgsesong kan phishing-e-poster kamufleres som donasjons-e-poster som får en borger til å klikke på lenken, og tror at de donerer til en kandidat, men faktisk spiller inn i en dårlig skuespillers plan.
  • Robocals, etterligninger og AI-genererte stemme- eller chatbots: Som sett i New Hampshire Når et robocall etterlignet president Biden og oppfordret innbyggerne til å ikke stemme, vil valgsesongen føre til en økning i etterligninger av meningsmålere eller politiske kandidater for å falskt tjene tillit og få sensitiv informasjon.
  • Deepfakes: Med fremveksten av AI har deepfakes blitt utrolig realistiske i dag og kan brukes til å etterligne en sjef eller til og med favorittkjendisen din. Deepfakes er videoer eller bilder som bruker AI for å erstatte ansikter eller manipulere ansiktsuttrykk eller tale. Mange av de dype forfalskningene vi møter daglig vil være i form av en video, med et klipp som viser personen som sier eller gjør noe de kanskje aldri har gjort. Dette forventes å være spesielt utbredt denne valgsesongen med risiko for at deepfakes blir opprettet for å etterligne kandidater. Selv utenfor USA, for eksempel i Storbritannia, er det frykt for at dype forfalskninger kan brukes til å rigge valg.

AIs innvirkning på valg

I tillegg til disse svindelene brukes AI-algoritmer til å generere mer overbevisende og engasjerende falske meldinger, e-poster og innlegg på sosiale medier for å lure brukere til å gi opp sensitiv informasjon.

Microsoft og OpenAI publiserte en trusselbriefing, "Navigere cybertrusler og styrke forsvar i AI-æraen,” som bemerket at fem trusselaktører fra Russland, Nord-Korea, Iran og Kina alle allerede har brukt GenAI for nye og innovative måter å forbedre sine operasjoner mot myke mål.

Svindel som chatbots, stemmekloning og mer tas et skritt videre med AI som et verktøy for å spre feilinformasjon, utvikle skadelig programvare og etterligne individer. Stemmekloningsverktøy kan lage nesten perfekte kopier av en valgpersons stemme eller ansikt, for eksempel. AI kan også brukes til å oversvømme telefonsentre med falske velgeranrop, og overvelde dem med feilinformasjon.

På høyeste beredskap vil sosiale medier være, siden det er et hovedredskap for kampanjer denne valgsesongen. Velgerne vil dele om de har stemt og kanskje til og med vise støtte til favorittkandidaten deres på sidene deres. Dette året utgjør imidlertid en ny trussel ettersom vi ser en ny økning i AI-phishing (for å inkludere smishing og vishing)-svindel.

Tenk deg om noen publiserte et innlegg på sin sosiale mediekonto der de støtter en bestemt kandidat. Noen minutter senere får de en e-post som ser ut til å være fra en kampanjeansvarlig, der de takker for støtten. Det potensielle offeret kan engasjere seg i e-posten ved å klikke på en lenke, noe som åpner dem for innsamling av legitimasjon, økonomisk tap eller installasjon av skadelig programvare. På grunn av AIs evne til å overvåke, opprette og levere målrettede phishing-kampanjer i nær sanntid, åpner tilsynelatende uskyldige innlegg på sosiale medier nå brukere for et nytt nivå av realistiske phishing-opplegg.

Forblir på vakt denne valgsesongen

Angrep som phishing vil fortsette å være en vanlig måte for dårlige skuespillere å lage realistisk svindel som kan gli forbi selv de mest kunnskapsrike, og i en alder med generativ AI har den potensielle effekten av disse bare blitt akselerert for å gi dårlige skuespillere raskere tilgang til sensitive informasjon.

Mens bedrifter bruker teknologi for å beskytte data og ansatte, må forbrukere også være klar over teknikker for å oppdage og unngå svindel. Noen av disse inkluderer:

  • Se etter tilfeldige eller feilstavede hyperkoblinger eller emnelinjer i e-post
  • Ikke klikker på en lenke fra en ukjent avsender
  • Bruk av tofaktorautentisering eller biometrisk autentisering der det er mulig
  • Gjør sosiale medier-kontoer private
  • Rapportering av ondsinnet aktivitet
  • Opplæring av andre kolleger eller familiemedlemmer
  • Se etter et .gov-nettsteddomene for å bekrefte ektheten til en valgkandidat
  • Har du IT på arbeidsplassen din kan du også spørre om:
    • Zero Trust-nettverk
    • Phishing-resistent tofaktorautentisering
    • E-postsikkerhetsverktøy (DMARC, DKIM, SPF)
    • Metoder for digital signering av innhold (eller en annen måte å kryptografisk verifisere kommunikasjonen på)

Selv om valgsesonger er en tid for å være i høy beredskap, kan angrep skje når som helst, så det er viktig å sikre at cybersikkerhetsgrunnlaget er sterkt og pålitelig året rundt.

Relaterte temaer:
mm

Mark Ruchie, CISSP er VP Infosec Advisor hos Entrust. Mark begynte i Entrust i januar 2015 og har jobbet i sikkerhetsfeltet i over 30 år med sikkerhetslederstillinger i UnitedHealth Group, US Air Force og KPMG og har en mastergrad i nasjonale sikkerhetsstudier fra Georgetown University.