Let goed op als je via Booking.com een reis boekt, adviseert het bedrijf, na een ‘explosie’ van oplichtingszaken. Vooral door AI is het aantal gevallen van oplichting in anderhalf jaar met 900% gestegen. Beveiligingsdirecteur Marnie Wilking ziet een relatie met de opkomst van generatieve AI-tools zoals ChatGPT. ‘Sinds de opkomst van de e-mail hebben we last van phishing, sinds de lancering van ChatGPT nog veel meer’. Cybercriminelen gebruiken AI om aanvallen uit te voeren met e-mails die ‘er veel beter uitzien dan alles wat we tot nu toe hebben gezien’. In een e-mail kunnen oplichters de link nog maskeren, in een sms kan dat niet. ‘Bevat die link bijvoorbeeld de extensie .ru of .info, dan kan je er bijna zeker van zijn dat het om phishing gaat’. Booking.com zegt dat diezelfde AI overigens ook helpt om criminelen te ontmaskeren en om frauduleuze berichten te blokkeren.
chatgpt
“Chinese en Russische staatshackers misbruikten ChatGPT voor cyberaanvallen”
Staatshackers uit China, Rusland, Iran en Noord-Korea hebben ChatGPT misbruikt voor cyberaanvallen, zo blijkt uit onderzoek van OpenAI en Microsoft. De hackers schreven met ChatGPT onder meer content voor phishingcampagnes, als ondersteuning bij aanvallen en niet om volledige aanvallen te genereren. De twee organisaties ‘verstoorden’ vijf ‘threat actors’ en hackersgroepen die gelieerd waren aan overheden. De OpenAI-accounts van deze actoren zijn opgeschort. De hackers gebruikten ChatGPT ook voor het opvragen van openbare informatie, voor vertalingen, voor het vinden van fouten in code en het uitvoeren van basale programmeertaken. Noch Microsoft noch OpenAI zegt ‘grote aanvallen’ te hebben gezien waarbij taalmodellen zijn gebruikt. Ze waarschuwen dat zoiets wel kan gebeuren en misschien ook gaat gebeuren, bijvoorbeeld met neptelefoongesprekken waarbij stemmen worden nagebootst met AI.
Meerderheid gemeenten gebruikt ChatGPT
Bij bijna driekwart van alle Nederlandse gemeenten wordt ChatGPT gebruikt – als informatiebron, sparringpartner of voor het verbeteren van openbaar te publiceren teksten – maar bijna de helft van die gemeenten weet niet wat hun medewerkers ermee doen, blijkt uit onderzoek van EenVandaag. En dat terwijl het voor rijksambtenaren afgeraden wordt om AI-software te gebruiken vanwege alle de risico’s. Data-ethicus Iris Muis waarschuwt. ‘Het risico is dat burgers verkeerde informatie ontvangen die klakkeloos uit ChatGPT wordt doorgestuurd. Copy-paste en klaar!’ Bovendien zijn er risico’s voor de bescherming van gegevens. ChatGPT gebruikt de data die gebruikers erin stoppen namelijk om het systeem te trainen. ‘Als je er een vertrouwelijk beleidsstuk in gooit en zegt: destilleer de kernboodschap van dit beleidsstuk – best handig – dan heb je niet door dat ChatGPT die vertrouwelijke informatie gebruikt om zich te trainen. En dat het op straat kan komen te liggen’. ChatGPT kan de data ook weer doorverkopen aan andere partijen. Volgens Muis is ChatGPT bevooroordeeld en dat is iets wat je als overheid niet moet willen. ‘ChatGPT kan bevooroordeelde antwoorden geven, omdat het met bepaalde data getraind is’. Voor algoritmes zijn inmiddels allerlei regels opgesteld maar voor ChatGPT (nog) niet. Dat kan bijvoorbeeld discriminatie in de hand werken; de tool is getraind op illegaal verkregen data en is daarom niet transparant. Uit het onderzoek komt ook naar voren dat 28% van de gemeenten een verbod voor ChatGPT heeft overwogen en dat ‘slechts een handjevol’ gemeenten dat ook heeft gedaan. Staatssecretaris Alexandra van Huffelen (Digitalisering) bevestigt de opvattingen van Muis. Taalmoddelen zijn niet getest, voldoen niet of nauwelijks aan privacyregels, het is onbekend hoe en waarmee ze getraind zijn en onbekend is wat er met ingevoerde data gebeurt. ‘We raden het af, want we vinden het gevaarlijk’, ook al ziet ze de mogelijkheden. Het is volgens haar verstandig als gemeenten de regels voor rijksambtenaren volgen en het gebruik ‘ontraden’.
Chatbots “in beginsel verboden voor rijksambtenaren”
Rijksambtenaren mogen, als er een risico is dat wetgeving wordt overtreden, geen gebruik maken van generatieve AI-systemen zoals ChatGPT, Bard en Midjourney. Alleen als zowel aanbieder als gebruiker kunnen aantonen dat ze aan geldende wet- en regelgeving voldoen, is gebruik toegestaan, schrijft staatssecretaris Alexandra van Huffelen (Digitalisering) in een voorlopig kabinetstandpunt over het gebruik van generatieve AI door Rijksorganisaties. Volgens Van Hufffelen voldoen ‘niet-gecontracteerde generatieve AI-toepassingen [..] over het algemeen niet aantoonbaar aan de geldende privacy- en auteursrechtelijke wetgeving’. Per AI-tool moet voor het gebruik vooraf per uniek geval een risicoanalyse worden uitgevoerd, bestaande uit een zogeheten Data Protection Impact Assessment en een ‘algoritme impact assessment’. De uitkomsten daarvan moeten voor advies naar de Chief Information Officer (CIO) en de Functionaris Gegevensbescherming. Het standpunt is geen categorisch verbod van de technologie maar herhaalt geldende wet- en regelgeving, aldus Van Huffelen. ‘Het gebruik wordt niet ontzegd, maar gekaderd’. Wel blijft het mogelijk te experimenteren met de technologie. Er komt verder een ‘Handreiking voor Rijksorganisaties bij het gebruik van generatieve AI’.
“Voer geen vertrouwelijke gegevens in bij ChatGPT”
De politie adviseert gebruikers van ChatGPT om nooit vertrouwelijke gegevens of namen van personen in de chatbot in te voeren. ‘Als je het niet op LinkedIn zou zetten, moet je het ook niet invoeren op ChatGPT’, zegt strategisch specialist digitaal Manon den Dunnen bij het Digital Trust Center. ChatGPT traint zichzelf met de informatie die je invoert en ‘voordat je het weet komt jouw informatie terug in teksten die gegenereerd zijn voor anderen’. Den Dunnen benadrukt dat ChatGPT geen zoekmachine is, maar een taalmodel, getraind op het genereren van teksten. ‘Er zit geen database achter, dus gebruik het niet als feitelijkheid belangrijk is. Maar zie het als een slimme autocomplete die woord voor woord een tekst voor je genereert’. Dat was goed te zien toen een Amerikaanse advocaat ChatGPT gebruikte om jurisprudentie te zoeken: hij kreeg niet-bestaande rechtbankdossiers. ‘Mensen zeggen dan dat het systeem hallucineert, maar het doet eigenlijk precies wat er gevraagd wordt: genereer een tekst die lijkt op…’ Voor de politie zijn manipulatie van informatie, social engineering, deepporn en identiteitsdiefstal grote uitdagingen. ‘Iemand kan met één druk op de knop dezelfde boodschap op honderden verschillende websites publiceren. Via algoritmes, ook een vorm van AI, kunnen die resultaten hoog in de zoekmachines en tijdlijnen komen’. Het is daardoor volgens Den Dunnen bijna niet meer mogelijk te herkennen welke informatie echt is of door een bot is gegenereerd. Dat de politie aan waarheidsvinding doet, wordt daardoor steeds lastiger: zie alle nieuwe vormen van fraude, zoals de tool FraudGPT op het darkweb. Er moet daarom meer zekerheid komen over de betrouwbaarheid van teksten, beelden en geluiden – met dertig seconden stemgeluid kun je iemand zeven verschillende talen laten spreken… Al deze uitdagingen zijn niet meer op te lossen met regulering of technologie, maar alleen met gedrag. ‘Het moet normaal worden om een controlevraag te stellen’, aldus Den Dunnen: klopt het wel wat ik lees/hoor/zie? En dus moeten we terug naar menselijk contact. ‘Als je vertrouwelijke gesprekken hebt, kun je ze beter in persoon voeren [..] Maak kritische afwegingen. Je levert altijd iets in aan authenticiteit, autonomie en/of grip. Denk daar goed over na’.
Gehaaide truc op Instagram nekt slachtoffers
Boilerroomfraude of in gewoon Nederlands: beleggingsfraude. Het komt de laatste weken op de een of andere manier flink voor in de regio Twente. Althans volgens De Stentor, zijn meerdere vrouwen uit Twente slachtoffer geworden van deze vorm van oplichting. Hun accounts op instagram of andere platforms werden ‘overgenomen’ door Nigeriaanse oplichters. Die plaatsen op de accounts, vaak ‘gewoon een tijdlijn met foto’s’, vooral berichten over (investeringen in) cryptovaluta. Zoals een vriend van een opgelichte vrouw zei: ‘ik dacht bij crypto altijd dat het onzin was maar toen jij dat postte, dacht ik dat het wel goed zit’. Dat blijkt ook precies de bedoeling, weet cybercrimespecialist Yoanne Spoormans van de politie Oost- Nederland. ‘Het komt geloofwaardiger over dan reclames of posts van accounts die mensen niet kennen. En dat zorgt ervoor dat meer mensen op de links klikken’. Spoormans zegt in 2023 ruim twee keer meer registraties van beleggingsfraude te zien dan in 2022. De gemiddelde schade bedraagt dertig mille; wereldwijd gaat het ‘richting het miljard’. Slachtoffer Carolien denkt dat de berichten via programma’s als ChatGPT in correct Nederlands zijn vertaald. Ze is inmiddels overgestapt op tweestapsverificatie, een extra controle na een inlog vanaf een andere locatie. Haar account heeft ze, na een langdurige communicatie met Meta, weer terug.
Spel op Whatsapp tegen mesgeweld
In Den Haag hebben politie, gemeente, Hack The Planet en enkele jongerenorganisaties HelpMaya gelanceerd, een interactief Whatsapp-verhaal gebaseerd op ChatGPT. Met het spel moeten onderwerpen als geweld, inclusiviteit, pesten en vooroordelen zichtbaar en bespreekbaar worden. Aanleiding was de hausse aan mes- en geweldsincidenten onder jongeren. Hoofdpersoon in het spel is Maya, die op variabele tijdstippen berichtjes, foto’s en video’s verstuurt. Afhankelijk van de reactie van de ontvanger neemt het spel een andere wending. Voor het interactieve element is een ChatGPT-integratie gemaakt die automatisch de juiste reactie geeft. Het gesprek start door Maya een berichtje te sturen, op helpmaya.nl. De gebruiker zit dan meteen in een gesprek met Maya. Na vijf dagen volgt een link naar hulpinstanties. Jongeren krijgen dan te zien dat onschuldige en soms kleine handelingen grote gevolgen hebben, aldus Tim van Deursen van spelbedenker Hack The Planet. ‘We denken dat we hier meer mee kunnen bereiken onder de jeugd dan met flyers en posters’.
Cybersecuritybeeld 2023: “verwacht het onverwachte”
De digitale dreiging voor Nederland is in 2023 ‘onverminderd groot en verandert voortdurend’. Behalve statelijke actoren die geopolitieke doelen willen bereiken en criminelen die steeds vaker ransomware inzetten, zal ook ‘generatieve AI’ naar verwachting veel impact hebben op de veiligheid. Volgens het Cybersecuritybeeld Nederland 2023 moeten organisaties daarom ‘het onverwachte verwachten’ en hun beveiliging daarop inrichten. Cybercriminelen worden steeds slimmer, schrijft de NCTV, ‘omdat er veel geld mee te verdienen is’. Het rapport wijst op de scheefgroei tussen digitale dreiging en weerbaarheid maar ook op de ontwikkelingen rond generatieve AI. Die – voortschrijdende – technologie maakt het laagdrempeliger om malware te ontwikkelen, phishingmails te schrijven en nepnieuws te produceren. Met alle gevolgen van dien: wat is nog echt? De politie noemt in een reactie op het CSBN ransomware als ‘de grootste bedreiging‘ voor de digitale veiligheid. Criminelen versleutelen niet alleen computersystemen, maar stelen ook data om andere misdrijven mee te plegen. Dit raakt niet alleen organisaties, maar ook steeds meer burgers.
Europa stemt in met AI Act
Het Europees Parlement heeft een wet aangenomen die mensen moet beschermen tegen de gevaren van kunstmatige intelligentie. Deze AI Act, de eerste wet ter wereld op dit gebied, verbiedt biometrische surveillance in de publieke ruimte, zoals beveiligingscamera’s met gezichtsherkenningssoftware. Handhavers mogen geen systemen gebruiken die op basis van profilering voorspellen of iemand zich crimineel zal gaan gedragen. En materiaal dat is gegenereerd door kunstmatige intelligentie, zoals teksten die door het programma ChatGPT zijn geschreven, moet volgens de wet expliciet als AI-productie worden gelabeld. De AI Act werkt met een risicopiramide, met relatief ongevaarlijke AI-toepassingen (zoals het algoritme van Spotify) aan de onderkant, en systemen die beoordelen of mensen een uitkering of hypotheek krijgen, in het midden. Voor die categorie moeten veel (en strenge) regels gelden. In de hoogste risicocategorie gaat het om ‘aanbevelingsalgoritmes’ die worden gebruikt door socialemediaplatformen en om algoritmes die het stemgedrag van kiezers kunnen beïnvloeden. Volgens eurocommissaris Thierry Breton (interne markt) is er geen tijd te verliezen. Hij wil snel onderhandelen met techbedrijven als Facebook en OpenAI. Eind 2023 moet een definitieve versie van de AI Act klaar zijn, in 2026 moet de wet in werking treden.
China: Gebruiker ChatGPT opgepakt voor verspreiden nepnieuws
In China is een man opgepakt voor het verspreiden van nepnieuws, officieel ‘misbruik van kunstmatige intelligentie’. De man had ChatGPT een nieuwsbericht laten schrijven over een treinongeluk waarbij negen doden vielen. Het bericht werd via sociale media verspreid en tienduizenden keren gelezen voor het werd verwijderd. De politie ontdekte al snel dat het bericht door ChatGPT was geschreven, dat in China officieel verboden is. Met vpn-diensten kunnen Chinezen die blokkade soms makkelijk omzeilen, zo leert deze casus. Tegen de politie zei de man dat hij bij vrienden had gezien hoe hij geld kon verdienen met nepnieuws. Volgens de politie is het de eerste arrestatie onder nieuwe regelgeving over het gebruik van kunstmatige intelligentie die China eerder dit jaar invoerde.
Engeland: Automobilist gebruikt ChatGPT om parkeerboete te verlagen
Een Engelse automobilist heeft, met succes, ChatGPT gebruikt om een parkeerboete aan te vechten. De man was op een luchthaven door een afgezette zone gereden en kreeg daarvoor een bekeuring van honderd pond. Die werd, na inzet van ChatGPT, verlaagd tot slechts vijftien pond. Hij claimde slechts de ‘definitieve kennisgeving’ te hebben gekregen maar geen (vereiste) eerste bericht. Bij ChatGPT vroeg hij een beroep te schrijven ‘op een aanmaning voor het rijden door de luchthaven van Gatwick. Ik heb een definitieve kennisgeving ontvangen, maar nooit een eerste kennisgeving van de boete’. Het programma schreef vervolgens meteen een beroepschrift, waarin werd verwezen naar de ‘onnodige stress en ontberingen’ over de laatste aanmaning. Het parkeerbedrijf werd verzocht uitleg daarover te geven. Volgens ChatGPT was de incassoprocedure ‘voorbarig’ en moesten de opgelegde boetes heroverwegen worden. De man stuurde dat zo in en kreeg te horen dat boete verlaagd was.
Australië: ChatGPT schuldig aan laster?
Over ChatGPT gesproken: kan het programma worden aangeklaagd voor laster? In Australië vindt burgemeester Brian Hood (Hepburn Shire Council) dat ChatGPT hem heeft belasterd, door te vertellen dat hij in de gevangenis heeft gezeten. Volgens ChatGPT zat Hood vier jaar vast. Dat klopt niet, Hood was klokkenluider in een omkomingszaak maar werd zelf niet vervolgd, laat staan veroordeeld. Hoods advocaten onderzoeken of ze OpenAI, maker van ChatGPT, kunnen aanklagen voor het verspreiden van foute informatie en ‘hallucinaties’. Het zou een primeur zijn. Overigens geeft ChatGPT inmiddels meerdere antwoorden op vragen over Hood. Op Belgische vragen wordt gemeld dat Hood nooit in de cel zat, volgens Britse varianten weer wel…
Is AI wondermiddel of gevaar?
Een van de Cybersessies bij RTL Z ging onlangs over kunstmatige intelligentie, AI zo u wilt. Die heeft, het zal niemand verbazen, goede en slechte kanten – zie de recente discussies over ChatGPT en andere ‘generatieve AI’. Criminelen kunnen daarvan gebruik maken bij het plannen van cyberaanvallen, bij het schrijven van phishingscripts en oplichtingsmails. Onderzoekers die dertig dagen voor de lancering van ChatGPT en dertig dagen erna keken naar phishingmails, zagen een verschil in complexiteit van de mails. ‘Er is AI-technologie gebruikt om berichten op maat te maken die niet meer van echt te onderscheiden zijn’. Ook al zijn die mails van alle tijden, zijn zulke mails door AI versterkt en versneld. Experts maken zich vooral zorgen over de snelheid waarmee dit gaat. ‘Het lijkt er voor het grote publiek opeens te zijn’. Met alle gevolgen vandien: ontvangers van phishingmails trappen er mogelijk sneller in. Maar zoals zo vaak: verbieden (Italië verbood ChatGPT al) heeft geen zin. Technologie gaat immers niet meer weg, ook Netflix, Facebook, Google en veel meer bedrijven maken er gebruik van. ‘We kunnen beter waakzaam zijn voor de risico’s en de mogelijkheden omarmen, want het kan voor zoveel mooie dingen worden ingezet’.
ChatGPT “van onschatbare waarde voor crimineel met weinig kennis”
ChatGPT is ‘van onschatbare waarde’ voor criminelen met weinig technische kennis die bijvoorbeeld malware willen verspreiden. Dat schrijft Europol in een rapport over de impact van chatbots op opsporingsinstanties. ChatGPT speelt een rol bij social engineering, phishingaanvallen en het ontwikkelen van malware en kan ook code in verschillende programmeertalen produceren. Politiekorpsen in de EU moeten daarom leren met zulke chatbots om te gaan en er vooral zelf gebruik van te maken. ‘Het is cruciaal dat opsporingsdiensten zich voorbereiden op hoe de positieve en negatieve toepassingen hun dagelijkse werkzaamheden kunnen beïnvloeden’, aldus het rapport. Politieagenten moeten daarom met ChatGPT leren omgaan, maar ook overleggen met ‘relevante stakeholders’ om voldoende veiligheidsmechanismes aan de chatbots toe te voegen.
Colombia: Rechtbank vraagt ChatGPT om advies
Een primeur! Een rechter in Cartagena, Colombia heeft chatbot GPT om advies gevraagd bij het beoordelen van een zaak. Die draait om de medische kosten die de ouders van een autistische tiener hebben gemaakt. Rechter Juan Manuel Padilla vroeg de chatbot letterlijk of een ‘autistische minderjarige vrijgesteld is van het betalen van vergoedingen voor zijn therapieën’. De chatbot antwoordde positief, de rechter – die gelukkig ook eerdere vonnissen bestudeerde – daarna ook. In zijn vonnis schreef Padilla over het inzetten van ChatGPT. Dat kan volgens hem de overbelaste rechterlijke macht in het land efficiënter laten werken. ChatGPT ‘kan het schrijven van een vonnis vergemakkelijken’; rechters moeten wel ‘zelf blijven nadenken’. Juridische experts vinden het ethisch niet verantwoord om ChatGPT te gebruiken. Padilla ‘rechtvaardigt het gebruik van ChatGPT als tijdsbesparing maar hij is zich nauwelijks bewust van alle risico’s’, zei hoogleraar Juan David Gutierrez van de Rosario University. ‘Onder het mom van vermeende efficiëntie worden grondrechten in gevaar gebracht’. Voor zover bekend is het de eerste keer dat ChatGPT (wereldwijd al honderd miljoen gebruikers) in een rechtszaak is ingezet.
Cops in cyberspace 