Tekoälyllä tehty huijaus ei enää näytä huijaukselta, uhka kasvaa nopeasti

Tietojenkalastelu ei ole enää pelkkä sähköpostiongelma, eikä se näytä enää roskapostilta.

Teknologian kehittyessä tietojenkalastelun tunnistamisesta on tullut myös aiempaa vaikeampaa. Generatiivinen tekoäly ja agenttiset tekoälyjärjestelmät ovat mahdollistaneet huijausviestit, jotka ovat kieliopillisesti moitteettomia, henkilökohtaisesti kohdennettuja ja usein suoraan sidottuja uhrin työtehtäviin tai organisaation sisäisiin projekteihin.

Tietoturvayhtiö Check Pointin mukaan tekoälyä hyödyntävien phishing- ja smishing-hyökkäysten määrä on kasvanut yli 50 prosenttia vuoden aikana. Yhä useammin ne hyödyntävät useita kanavia samanaikaisesti: sähköposti, tekstiviestit, Linkedin, Whatsapp ja jopa puhelut, joissa käytetään kloonattua ääntä tai deepfake-videota.

– Tekoälyllä tuotettu viesti voi näyttää siltä, että esimies pyytää maksamaan laskun, tai toimitusjohtaja ilmoittaa videolla yritysjärjestelystä. Kun viestit perustuvat todellisiin nimiin, projekteihin ja asiayhteyksiin, niitä ei tunnisteta huijauksiksi, sanoo Sergey Shykevich, uhkatiedustelusta vastaava johtaja Check Pointilta tiedotteessa.

Check Pointin mukaan verkkorikolliset hyödyntävät tekoälyä kahdella tavalla. Ensinnäkin generatiivinen tekoäly toimii sisällöntuotannon moottorina. Toiseksi agenttinen tekoäly hallinnoi koko kampanjaa ja mukauttaa sitä vastaanottajan reaktioiden mukaan.

Jos sähköposti ei tuota tulosta, viesti saapuu seuraavaksi tekstinä tai puheluna. Tutkijat kutsuvat tätä lähestymistapaa nimellä Advanced Persistent Manipulation (APM) – jatkuva, sopeutuva manipulointi, joka etenee hitaasti mutta määrätietoisesti kohti päämäärää.

Rikolliset hyödyntävät esimerkiksi vuotaneita henkilötietoja ja Linkedin-profiileja viestin räätälöintiin, ääninäytteitä ja videomateriaalia johtajien kloonaamiseen ja pilvipalveluita, bottiverkkoja ja automaatiota viestien massajakoon.

Lisäksi rikokset osaavat käyttää hyväkseen yli sadan kielen tukea suurissa kielimalleissa. Suomalaisille tämä näyttäytyy selvimmin siten, että tietojenkalasteluviestit ovat yhä useammin tehty sujuvalla suomen kielellä. Siksi huijausta ei voi enää tunnistaa huijaukseksi sen kehnon kieliasun perusteella.

Perinteinen tunnistaminen ei enää riitä

Tekniikan kehittymisen takia juuri nämä aiemmin toimineet varoitusmerkit (huono kieli, väärä URL-osoite tai outo lähettäjäosoite) eivät enää päde. Samalla kun tekoäly mahdollistaa tuhansien personoitujen huijausten lähettämisen sekunneissa, organisaatioiden tietoturvatiimit kamppailevat jo nyt ylikuormituksen kanssa.

Check Point varoittaa, että kohteena on nyt digitaalinen luottamus: työntekijät luottavat johtajien viesteihin, asiakkaat brändiviestintään ja kumppanit toimittajasähköposteihin. Tekoälyvetoiset huijaukset murentavat tätä rakenteellisesti.

Tekoälyllä toteutetut hyökkäykset ylittävät yhä useammin sääntelykynnyksiä. Esimerkiksi Yhdysvaltain SEC edellyttää vakavista kyberpoikkeamista raportointia neljän arkipäivän kuluessa, ja GDPR, HIPAA sekä kybervakuuttajat korostavat nyt sopeutuvaa riskienhallintaa.

– Organisaatiot, jotka eivät päivitä suojaustaan tekoälyn tasolle, jäävät puolustamaan vanhentuneilla välineillä. Kyse ei ole enää vain teknisestä haasteesta – vaan myös hallinnollisesta ja strategisesta kysymyksestä, Check Point muistuttaa.