Forskerne på laget Fremtidsrettet trusselforskning fra AI-sikkerhetsselskapet TrendAI har utviklet et verktøy som kan samler automatisk inn offentlige innlegg, bilder og informasjon fra LinkedIn-profileranalyser dem ved hjelp av kunstig intelligens og gjør dem om til svært personlige phishing-e-poster, komplett med en falsk nettside, skreddersydd for offeret. Alt er laget av en enkelt person, uten å bryte noen personvernforskrifter, og bruker kun offentlig tilgjengelige data. Og vet du hvor lang tid det tok dem å orkestrere denne svindelsimuleringen? Mindre enn 30 minutter! Det som gjør dette scenariet spesielt relevant, er ikke den tekniske kompleksiteten til operasjonen, men hastigheten på utførelse og enkelheten den ble satt opp med: de nødvendige verktøyene er allerede tilgjengelige, billige og innen rekkevidde for alle som har motivasjon til å bruke dem. Og dette endrer cybertrussellandskapet radikalt for bedrifter og fagfolk, fordi det betyr at alle som publiserer aktivitetene sine på LinkedIn, som konferanser deltatt på, prosjekter som følges, faglige meninger osv., ubevisst leverer råstoff for potensielle målrettede angrep.
Den nye grensen for spear phishing med AI
La oss starte med et faktum. Den såkalte åpen kildekode-intelligens eller OSINT (Open Source Intelligence), dvs. analysen av offentlig tilgjengelig informasjon, har endret seg radikalt med «demokratiseringen» av AI. Det krevde en gang spesialistferdigheter og mye, mye tid; i dag kan det være utføres automatisk takket være kunstig intelligens. Dette senker inngangsterskelen drastisk, siden du ikke nødvendigvis trenger å ha strukturerte team eller avanserte ressurser for å analysere store datamengder: du trenger bare å ha de riktige verktøyene og vite hvordan du bruker dem.
For å demonstrere hvordan AI totalt har omskrevet spillereglene, har TrendAI-forskere utviklet en eksperimentelt systemdet som på sjargong kalles a PoC (Proof of Concept), det vil si en praktisk demonstrasjon av gjennomførbarhet, i stand til samle offentlige data fra LinkedIn og forvandle dem til detaljerte profiler som kan brukes til ondsinnede formål. Prosessen starter fra svært vanlige elementer: innlegg, bilder og metadata, det vil si all den «skjulte» informasjonen knyttet til innholdet, som datoer, kontekst eller relasjoner mellom elementer, som bidrar til å bedre tolke det som sees.
Denne informasjonen ble først samlet inn automatisk (forskerne klarte å gjøre dette til tross for anti-skrapingverktøyene LinkedIn er utstyrt med), og deretter ble den organisert i en struktur som har gjenoppbygd et helt bedriftshierarki: hvem jobber hvor, i hvilken rolle og med hvilket ansvarsnivå. Dette trinnet var grunnleggende, fordi det gjorde det mulig for forskere å forstå ikke bare hvem en person er, men også hvor mye de kan påvirke beslutninger i selskapet.
Et spesielt interessant aspekt gjelder bildeanalyse. Det handler ikke bare om å «se» hva som er på et bilde, men om å tolke det i sammenheng med innlegget det ble publisert i. Kunstig intelligens er i stand til å utlede det faglige budskapet som forfatteren ønsket å formidle, hans interesser, hendelsene han deltar i og til og med hans kontaktnettverk. Bilder og tekst blir med andre ord en enkelt informasjonskilde som er mye rikere enn summen av de enkelte delene.
Når disse profilene er bygget, kan systemet ta et ytterligere skritt: identifisere problemene som interesserer hver enkelt. Denne prosessen er basert på lingvistisk analyse, det vil si den automatiske studien av språket som brukes i innlegg, for å identifisere tilbakevendende og relevante emner. Disse temaene blir grunnlaget for å lage svært personlige meldinger.
Og det er her det såkalte kommer inn spyd phishing. I motsetning til «tradisjonell» phishing – den som er basert på massiv sending av generiske meldinger til tilfeldige brukere, så å si – er spear phishing målrettet: hver kommunikasjon er skreddersydd for et spesifikt offerved å bruke ekte informasjon for å gjøre alt så troverdig og mindre mistenkelig som mulig. Det analyserte systemet er i stand til å generere e-poster som direkte refererer til personens rolle, innholdet de har delt og hendelsene de har deltatt på.
Ikke bare det: det kan også utlede bedriftens e-postadresser. Ved å analysere offentlige eksempler, identifiser det mest sannsynlige formatet (som f.eks [email protected]) og genererer flere plausible varianter. Dette øker sjansen for at et angrep lykkes ytterligere.
Det siste trinnet er lage en falsk nettsidedesignet for å virke ekte og i samsvar med offerets interesser. På bare noen få minutter kan AI bygge en komplett side, med bilder, statistikk og referanser til ekte bransjerammeverk. På denne måten bygges et troverdig miljø, designet for å overbevise brukeren om å samhandle, for eksempel ved å skrive inn legitimasjon eller laste ned innhold.
Fra LinkedIn-skraping til angrep: Svindel på 30 minutter
Det mest urovekkende aspektet ved eksperimentet angår tidspunktet for angrepet. Hele prosessen, fra datainnsamling til å lage phishing-innhold, var fullført på mindre enn 30 minutter. Dette endrer omfanget av problemet fullstendig: det som før krevde timer eller dager med manuelt arbeid kan nå replikeres raskt og i stor skala. Og kun fra én person.
I en kommentar til eksperimentet forklarte TrendAI-forskerne faktisk:
Oppretter vårt AI-drevne analyseverktøy for LinkedIn det tok en enkelt forsker litt over 24 timers arbeidved å bruke Claude Code. (…) Profilering av hele selskapets lederteam, fra å trekke ut offentlige innlegg fra LinkedIn til å generere tilpassede phishing-sider, tar mindre enn 30 minutter, og alt dette med et Proof of Concept (PoC)-verktøy.
