Nettangrep: IT-personell lar seg lettere lure

Korte nettsikkerhetskampanjer har liten eller ingen effekt ifølge forskning. Og IT-personell er dårligere enn andre til å gjenkjenne nettangrep under slike kampanjer.

Sikkerhetshull som følge av ulike ferdigheter i å gjenkjenne både video og tale-deepfakes kan forbedres ved å kartlegge kompetansen og gi opplæring på bakgrunn av individuelle behov skriver forskere i en ny studie. Fotoillustrasjon: Colourbox.com.

Overdreven tro på egne ferdigheter er noe av årsaken til at IT-personell er mer sårbare for slike nettangrep.

­­– Når IT-personell vet de skal være med på kampanjer, som for eksempel under sikkerhetsmåneden oktober eller ved andre kortvarige nettsikkerhets-kampanjer, gjør de det gjerne dårligere enn vanlige folk, sier førsteamanuensis Ricardo Gregorio Lugo ved Fakultet for helse, velferd og organisasjon.

Sammen med tre andre forskere fra Høgskolen i Østfold, samt fem forskere fra Albstadt-Sigmaringen University i Tyskland, har han skrevet artikkelen The Role of IT Background for Metacognitive Accuracy, Confidence and Overestimation of Deep Fake Recognition Skills.

Forskerne bak studien har sett spesielt på IT-personells evne til å gjenkjenne deepfakes og phising under kortvarige kampanjer.

Gjennom datainnsamlingen via nettplattformen Google Forms, ble intervjuobjektene som både var IT-personell og ikke-IT-personell blant annet presentert for ulike deepfake-videoer.

Deltakerne ble bedt om å vurdere ferdighetene sine for deepfakes-gjenkjenning og hvor sikre de var på sin mening om ferdighetene deres.

Blir overmodige

– Under normale omstendigheter er ikke IT-ansatte dårligere til å gjenkjenne tegn til nettsikkerhetsangrep enn andre. Men de er rett og slett mer overbevist om at de kommer til å gjøre det bedre under en kampanje og at deres kunnskap og ferdigheter innenfor IT skal beskytte dem, og de senker derfor garden, sier Lugo.

Førsteamanuensis Ricardo Gregorio Lugo ved Institutt for velferd, ledelse og organisasjon, HiØ.

– Det handler om å underprestere på ferdigheter som man egentlig har, forklarer han. 

Overmot i forhold til egne ferdigheter er noe som også er kjent fra ser på andre områder. For eksempel kan et dyktig fotballag som vet de skal spille mot et svakere lag, gjøre det dårlige enn forventet.

Her slår de samme mekanismene inn i form av at spillerne tar for gitt sine egne ferdigheter og presterer derfor dårligere enn forventet.  


KJEKT Å VITE

DEEPFAKES: Deepfakes utnytter kunstig intelligens for å lage videoer og lydinnhold det er svært vanskelig å avsløre som falskt, inkludert etterligning av andres identitet. (Kilde:Medietilsynet)

PHISHING: En form for sosial manipulering hvor en angriper forsøker å lure noen til å utføre en handling, for eksempel åpne et e-postvedlegg, klikke på en lenke eller betale en falsk regning. (Kilde: Datatilsynet)


Deepfakes et økende problem

– Takket være lett tilgjengelig og stadig bedre programvare på internett, ser vi en økende grad av mer overbevisende deepfakes brukt i kriminell sammenheng i form av video og som stemmeforvrengning i en telefonsamtale, forteller Lugo.

Ett eksempel på en deepfake-video er videoen som florerte på nett våren 2022 som viser den Ukrainske presidenten Vladimior Zelenskyj som ber ukrainske soldater overgi seg.

– Slike videoer koster lite å produsere og formidle ut, og er i stor grad drevet av kunstig intelligens, forteller forskeren.

Og legger til:

– Selv om du kjenner til teknologien, så er det blitt mer avansert enn det var bare for 3-4 år siden, slik at det blir vanskelig å avsløre hva som er galt med videoen.

Artikkelen viser til at taktikken som ofte benyttes av de kriminelle er å vekke emosjonelle reaksjoner eller magefølelser som fører til impulsiv beslutningstaking hos dem de «angriper».

– I slike situasjoner blir vi mindre kritiske og derfor mer sårbare, forklarer Lugo.

Opplæring er helt nødvendig

Vi har nylig lagt bak oss det vi kaller «sikkerhetsmåneden oktober», en kampanje for å øke engasjementet, bevisstheten og kunnskapen om digital sikkerhet, både i befolkningen og i virksomheter. 

Mange bedrifter kjører i denne sammenheng korte sikkerhetskurs for sine ansatte, med blant annet foredrag, bevisstgjørings-mailer og ulike kampanjer.

Men ifølge forskning, hjelper det ikke å tro at jobben er gjort med bare korte kampanjer.

– Slike kortvarige sikkerhetskampanjer har vist seg å ha liten langsiktig effekt. For å holde oppe folks årvåkenhet må det jobbes konstant med denne bevisstgjøringen, forteller Lugo.

Konklusjonen i studien er at sikkerhetshull som følge av ulike ferdigheter i å gjenkjenne både video og tale-deepfakes kan forbedres ved å kartlegge kompetansen og gi opplæring på bakgrunn av individuelle behov. Dette gjelder også opplæring for IT-personell.

– Skreddersydd opplæring er det som har best effekt, og som bør skje over tid i alle profesjoner, uansett hvor du jobber og på hvilket nivå du er i en virksomhet, sier Lugo.


SEKS RÅD FRA LOGO OM HVORDAN DU KAN BESKYTTE DEG MOT NETTANGREP

1. Still alltid kritiske spørsmål.
Gi aldri fra deg informasjon uten å være kritisk til hvorfor. Hvorfor har jeg fått denne mailen? Hvorfor kontakter de meg?

2. Vær kritisk til kilden.
Stopp opp og vurder nøye før du klikker på noe. Har du fått noe fra banken som du er usikker om faktisk er fra dem, ring heller banken og spør. Og sjekke nøye både e-postadressen og url-adressen til en nettside du mottar.

3. Bruk datamaskin fremfor mobil.
Har du mulighet så bruk PC istedenfor mobil for å sjekke kilder. Der får du bedre oversikt. Enkelte ting kan være vanskeligere å oppdage på mobil, da vi ikke alltid ser hele kilden (url-en).

4. Mobilapper sporer deg i større grad enn webapplikasjoner.
Ved å laste ned å godkjenne vilkår på en app gir du samtidig godkjenning til at appen samler inn informasjon om deg. Mange apper skanner også de andre appene for informasjon om din adferd.

5. Vær klar over at Google og Siri samler inn data om deg og gir deg tilpasset informasjon tilbake.

6. Og sist, men ikke minst, hver kritisk til det du deler i sosiale medier.
Gjennom delinger og likes og hva vi føler på sosiale medier, legger vi igjen spor som kan brukes mot oss i for eksempel nettangrep.


Referanse:

Sütterlin, Stefan; Lugo, Ricardo Gregorio; Ask, Torvald Fossåen; Veng, Karl; Eck, Jonathan; Fritschi, Jonas; Talha-Özmen, Muhammed; Bärreiter, Basil & Knox, Benjamin James (2022). The Role of IT Background for Metacognitive Accuracy, Confidence and Overestimation of Deep Fake Recognition Skills. Lecture Notes in Computer Science (LNCS). ISSN 0302-9743. 13310, s. 103–119. doi: 10.1007/978-3-031-05457-0_9.

Av Nina Skajaa Fredheim
Publisert 14. nov. 2022 11:06 - Sist endret 14. nov. 2022 11:06