Siden generativ KI ble bredt tilgjengelig har angrepstallene eksplodert. Ifølge forskning sitert av Digi.no beskriver Thomas Zuliani, tidligere IT-sikkerhetsdirektør i flere danske selskaper, at den største trusselen ikke er sofistikasjonen isolert sett — men den enorme skalaen angriperne nå kan operere i.
Fra 16 timer til fem minutter
Tidligere krevde et overbevisende, personalisert phishing-angrep betydelig menneskelig innsats. Nå kan KI-verktøy produsere en effektiv phishing-e-post på rundt fem minutter — noe som tilsvarer en oppgave som normalt tar menneskelige eksperter 16 timer å gjennomføre. Det representerer en effektivitetsgevinst på nær 192 ganger, ifølge tilgjengelig forskningsdata.
Konsekvensen er at trusselaktører nå kan sende ut 10 000 unike, høyt personaliserte e-poster til en kostnad som tilsvarer ett enkelt tradisjonelt spear phishing-angrep.
KI automatiserer rekognosering og innhold
Mange tror fortsatt at phishing er enkelt å avsløre gjennom dårlig grammatikk eller merkelige formuleringer. Det bildet er utdatert. KI-modellene skanner åpne kilder — sosiale medier, lekkede databaser, bedriftsnyheter — og bruker denne informasjonen til å produsere meldinger som er grammatisk feilfrie og skreddersydd mottakeren.
Stephanie Carruthers, IBMs globale leder for Cyber Range og Chief People Hacker, er direkte i sin vurdering: «Med svært få instruksjoner kan en KI-modell skrive en phishing-melding skreddersydd akkurat for meg. Det er skremmende», ifølge forskningsmaterialet.
KI-modellene hjelper angriperne med å rydde opp i meldingene sine — gjøre dem mer konsise og presserende, og til noe langt flere faller for.
Deepfakes er ikke lenger et fremtidsscenario
Den teknologiske utviklingen stopper ikke ved tekst. Handel med deepfake-verktøy har økt med 223 prosent, og deepfakes utgjør nå 6,5 prosent av alle svindelangrep — en økning på over 2 100 prosent siden 2022.
Konsekvensene kan være massive. I februar 2024 ble en økonomiansatt i ingeniørselskapet Arup lurt til å overføre 25 millioner dollar til svindlere etter å ha deltatt i et videomøte der KI-genererte deepfakes av selskapets finansdirektør og andre ledere deltok — tilsynelatende live.
Filtrene henger etter
Et alvorlig problem for virksomheter er at tradisjonelle sikkerhetsverktøy i liten grad fanger opp KI-generert innhold. Krishna Vishnubhotla, VP for produktstrategi i Zimperium, påpeker at mange av de vanlige phishing-filtrene rett og slett ikke aktiveres, fordi meldingene mangler de klassiske varselsignalene.
Det er heller ikke bare utrente ansatte som rammes. Nær to tredjedeler av IT- og sikkerhetsansvarlige har selv innrømmet at de har gått på phishing-forsøk. KI-drevne spear phishing-angrep har ifølge forskningsmaterialet en suksessrate på 47 prosent mot trente sikkerhetseksperter.
Hva gjør sikkerhetsansvarlige nå?
Ifølge Digi.no forbereder erfarne sikkerhetsledere som Thomas Zuliani seg ved å ta inn over seg at angripernes kapasitet har endret seg fundamentalt — ikke bare teknologisk, men operasjonelt. Skalaen er det nye problemet: Det er ikke ett sofistikert angrep som skal stoppes, men potensielt titusener simultant.
Forsker Mark Stockley fra Malwarebytes, sitert av MIT Technology Review, mener retningen er klar: «Vi kommer til å leve i en verden der flertallet av cyberangrep utføres av agenter. Det eneste spørsmålet er hvor raskt vi kommer dit.»
For norske og nordiske virksomheter er bildet det samme som globalt: KI senker terskelen for hvem som kan gjennomføre avanserte angrep, og hever forventningene til hva et forsvar må tåle.