Kunstmatige intelligentie maakt phishingaanvallen overtuigender en professioneler, maar niet onzichtbaar. Dat stellen onderzoekers van KnowBe4 Threat Lab op basis van recente analyses van phishingcampagnes. Zij troffen in verschillende aanvallen herkenbare sporen van AI-gebruik aan, variërend van achtergebleven instructies van taalmodellen tot opvallende patronen in code en verborgen tekst die bedoeld was om beveiligingssystemen te misleiden.
Volgens recent onderzoek van KnowBe4 bevat inmiddels 86 procent van de phishingcampagnes die de afgelopen zes maanden zijn waargenomen een vorm van AI-ondersteuning. Daarmee is AI niet langer een experimenteel hulpmiddel voor cybercriminelen, maar een vast onderdeel geworden van hun gereedschapskist. Aanvallers gebruiken generatieve AI om betere teksten te schrijven, sneller phishingpagina’s te bouwen en campagnes geloofwaardiger te maken.
Toch blijken diezelfde AI-tools ook fouten en herkenbare patronen achter te laten. In één geval vonden onderzoekers een phishingmail waarin letterlijk een instructieregel was blijven staan die normaal alleen bedoeld is voor de gebruiker van een AI-tool. Het ging om tekst die lijkt op de manier waarop een chatbot soms uitlegt hoe een antwoord moet worden opgebouwd. Voor beveiligingsonderzoekers is zo’n vergeten instructie een duidelijke aanwijzing dat generatieve AI bij de aanval is gebruikt.
AI en no-code-platformen
Een tweede bevinding laat zien hoe AI en no-code-platformen phishing toegankelijker maken. Onderzoekers ontdekten phishingpagina’s die sterk leken op legitieme omgevingen van Microsoft of Meta, maar volledig waren gebouwd met publieke platforms waarmee zonder programmeerkennis websites kunnen worden gemaakt. Daardoor kunnen aanvallers snel professioneel ogende nepsites opzetten en tegelijk profiteren van het vertrouwen dat sommige beveiligingssystemen hebben in zulke bekende platforms.
Ook in de code van phishingwebsites vonden onderzoekers sporen van AI. Sommige pagina’s bevatten uitgebreide commentaarregels die stap voor stap beschreven hoe de aanval werkte. In enkele gevallen werd zelfs uitgelegd welke technieken werden gebruikt om beveiligingscontroles te omzeilen. Dat is opmerkelijk, omdat criminelen hun werkwijze doorgaans juist proberen te verbergen. Uitvoerige documentatie in code kan wijzen op door AI gegenereerde scripts, omdat taalmodellen vaak automatisch toelichting toevoegen.
Verborgen tekst
Een ander voorbeeld betrof verborgen tekst in phishingmails. Die tekst was voor ontvangers niet zichtbaar, maar moest beveiligingsscanners misleiden door de mail meer legitieme inhoud te geven. Opvallend genoeg bestond die verborgen inhoud uit alledaagse, door AI gegenereerde gesprekken, bijvoorbeeld over lunchbestellingen en restjes eten. Juist daarin vonden onderzoekers onwaarschijnlijke patronen, zoals onnatuurlijk regelmatige tijdsintervallen en herhaald gebruik van het e-mailadres van de ontvanger.
Volgens KnowBe4 bewijzen deze voorbeelden dat AI phishing weliswaar versterkt, maar ook nieuwe digitale vingerafdrukken creëert. Die kunnen beveiligingsteams helpen om campagnes sneller te herkennen, aanvallen aan elkaar te koppelen en dreigingsinformatie te verrijken. De strijd verandert daarmee aan beide kanten: aanvallers krijgen krachtigere middelen, maar verdedigers krijgen ook nieuwe aanknopingspunten.