WormGPT: AI ontworpen om geloofwaardige phishing e-mails te maken

Elwin Hodžić
0

Binnenkort kunnen cybercriminelen met behulp van een AI genaamd WormGPT een nieuwe golf van phishing in gang zetten. Het voorbeeld dat tot nu toe is gebruikt, is echter van slechte kwaliteit.

WormGPT: AI ontworpen om phishing e-mails te maken

Het probleem met traditionele phishing-aanvallen

Tot op heden hebben cybercriminelen een probleem gehad bij het gebruik van frauduleuze e-mails om hun doelwitten onterechte betalingen te laten doen. Dit komt omdat de teksten van typische phishing-e-mails vaak slecht zijn en niet passen bij het doelwit. Gebruikers die alert waren  konden deze phishing pogingen vaak gemakkelijk herkennen.

WormGPT: geavanceerde phishing-tool

Met de komst van WormGPT zou daar verandering in kunnen komen. Volgens een blogpost op Slashnext is Daniel Kelley, een voormalige Black Hat-hacker die beweert te zijn gerehabiliteerd, erin geslaagd om de tekstgenerator te gebruiken om taalkundig perfecte en overtuigende phishing-e-mails te maken. De AI-tool is gebaseerd op het GPT-J-taalmodel, dat twee jaar geleden is ontwikkeld als een alternatief voor OpenAI’s GPT-3.

De opkomst van WormGPT bij cybercriminelen

Volgens Kelley is WormGPT momenteel een veelbesproken onderwerp op cybercriminele fora en wordt het sterk aanbevolen voor oplichtingspogingen. De makers zouden het model hebben getraind met “malware-gerelateerde gegevens” en het zou geen “ethische beperkingen” hebben.

Als dit waar is, is dit het belangrijkste verschil met andere modellen zoals ChatGPT: de ontwikkelaars hebben dergelijke beperkingen ingebouwd, die vaak kunnen worden omzeild met zogenaamde “jailbreaks”. Hierbij worden bepaalde aanwijzingen gebruikt om de AI teksten te laten genereren die hij eigenlijk niet zou moeten produceren.

Voorbeeld van WormGPT in actie

Met slechts één screenshot van een phishing-e-mail die is gemaakt met WormGPT, demonstreert Daniel Kelley de output van de tool. Daarin vraagt de CEO van een bedrijf aan een ondergeschikte om een bijgevoegde factuur binnen 24 uur te betalen. De taal in de tekst is feitelijk goed en de toon past ook bij het onderwerp.

Er ontbreken echter details over het bedrijf, de relatie tussen de betrokken personen, de reden van de urgentie en het vermeende project. Het is mogelijk dat medewerkers erin zullen trappen, maar dit gaat niet verder dan eerdere pogingen tot fraude via e-mail.

Verhoogde dreiging

Kelley merkt echter terecht op dat dergelijke tools de instapdrempel verder verlagen. Met WormGPT zouden in korte tijd nog meer phishing-e-mails kunnen worden gegenereerd, mogelijk zelfs in talen die de criminelen niet begrijpen.

Het lijkt erop dat WormGPT, net als het sjabloon GPT-J, alleen Engels ondersteunt. Kelley citeert uit de criminele fora dat de resultaten van de tool door andere diensten moeten worden vertaald.


Altijd nieuwe praktijken van cybercriminelen op tijd weten?

Schrijf je in voor onze gratis nieuwsbrief:

Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.

Deel dit artikel

Elwin Hodžić
Elwin Hodžić(Web)redacteur bij c't. Ondanks de studie geschiedenis, altijd al een passie gehad voor alles wat met IT te maken heeft. Sleutelt in zijn vrije tijd graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen om een pc zo optimaal mogelijk te laten werken.

Lees ook

ChatGPT: malware laten programmeren door de bot van OpenAI

Volgens beveiligingsonderzoekers kunnen cybercriminelen gebruikmaken van de ChatGPT bot van OpenAI om malware te produceren. De eerste pogingen hierto...

Twee kwaadaardige Android apps ontdekt in de Google Play Store

IT-beveiligingsonderzoekers hebben onlangs twee kwaadaardige Android-apps ontdekt in de Google Play Store. Deze apps doen zich voor als bestandsbeheer...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er