Chatbots voor klantenservice hebben maar één taak: de gebruiker geven wat hij of zij vraagt, zonder een medewerker in te schakelen. De nieuwe AI-ondersteuningsassistent van Meta nam die opdracht iets te letterlijk. De afgelopen maanden hebben aanvallers ondersteuningschats geopend, de bot verteld dat ze waren buitengesloten van Instagram die niet van hen waren, en zijn ze er vervolgens vandoor gegaan met de toegangsgegevens.
Afgelopen weekend heeft Meta een noodpatch uitgebracht nadat Instagram van het Witte Huis onder Obama (die inmiddels niet meer actief zijn), schoonheidswinkel Sephora en een hoge functionaris van de Amerikaanse Space Force waren gehackt en kortstondig waren beklad met pro-Iraanse afbeeldingen. Ook beveiligingsonderzoeker en voormalig Meta-medewerkster Jane Manchun Wong werd getroffen.
Hoe de truc werkte
De aanval was eenvoudig. De aanvallers achterhaalden waar de accounteigenaar woonde (er zijn online lijsten te vinden met de woonplaatsen van accounteigenaren, of ze konden gewoon wat onderzoek doen naar het doelwit). Vervolgens gebruikten ze een VPN de geografische locatie van het doelaccount na te bootsen, waardoor ze niet in het vizier kwamen van de beveiligingssystemen Instagram.
Vervolgens startten ze een standaardprocedure voor het opnieuw instellen van het wachtwoord en openden ze de supportchat. Ze vroegen de AI-bot die ondersteuning bood om het e-mailadres van het account te wijzigen, en dat deed de bot ook: hij stuurde een eenmalige code rechtstreeks naar de inbox van de aanvaller.
Hiervoor lijkt de chatbot te zijn gekoppeld aan de accountbeheersystemen van Meta, met toestemming om wijzigingen aan accounts door te voeren, maar zonder dat hem is geleerd hoe hij kan controleren of hij daadwerkelijk met de echte accounteigenaar communiceert. Beveiligingsexperts hebben daar een term voor:„confused deputy“. Deze term bestaat al sinds de jaren tachtig.
Om eerlijk te zijn tegenover de verwarde bot: de aanvallers slaagden erin, zelfs als de verbeterde beveiliging in werking trad. Ze maakten blijkbaar deepfakes hun doelwitten met behulp van afbeeldingen die waren verzameld via – je raadt het al –Instagram.
Meta is in zijn eigen AI-val gelopen
Meta heeft personeel ingekrompen en flink geïnvesteerd in AI, en heeft eerder dit jaar zijn door AI aangestuurde ondersteuningsassistent gelanceerd om te helpen bij het herstellen van accounts en andere ondersteuningsverzoeken.
Het nadeel is dat de AI blijkbaar de mogelijkheid heeft gekregen om handelingen uit te voeren, zoals het wijzigen van e-mailadressen en het opnieuw instellen van wachtwoorden, zonder dat er voldoende veiligheidsmaatregelen zijn getroffen om eerst de identiteit van de gebruiker te verifiëren.
Andy Stone, hoofd communicatie bij Meta, heeft op X laten weten X het probleem is opgelost en dat de getroffen accounts worden beveiligd. Het bedrijf heeft niet bekendgemaakt hoeveel accounts er precies zijn getroffen.
Wat echt werkte
Waarom zou iemand überhaupt een Instagram willen hacken? Wraak kan een drijfveer zijn, maar meestal is financieel gewin het doel. Hackers hebben bedrijven gechanteerd die voor hun marketing afhankelijk zijn van die accounts.
Er is ook vastgesteld dat aanvallers die deze techniek gebruiken, het gemunt hebben op „OG“-accounts met korte of zeer gewilde gebruikersnamen. Als je Instagram bent begonnen en een pakkende gebruikersnaam hebt geregistreerd, kan die op de zwarte markt duizenden dollars waard zijn.
Wat kun je doen om jezelf te beschermen?
Een aloude tip geldt nog steeds: schakel meervoudige authenticatie (MFA) in. Volgens de ervaren cyberbeveiligingsverslaggever Brian Krebs mislukte de aanval op accounts waarvoor MFA was ingeschakeld, waaronder accounts die gebruikmaakten van sms-codes.
Dat betekent niet dat MFA perfect is, maar het biedt wel een belangrijke extra beveiligingslaag.
Het praktische advies is dus niet bepaald glamoureus:
- Open de instellingen Instagram
- Ga naar je Meta Accounts Center
- Schakel tweefactorauthenticatie in. Een authenticatie-app is beter dan een sms, maar beide zijn beter dan niets.
Doe het nu, want dit is misschien nog niet voorbij. TheCyberSecGuru meldt dat er weer een nieuwe aanval de ronde doet, ditmaal via een Android genaamd BlueStacks waarop een aangepaste versie van Instagram draait Instagram nieuwe verzoeken verstuurd met verborgen tekens die bedoeld zijn om de AI te manipuleren.
Verwacht nog meer misstappen van ‘behulpzame’ bots
Dit zal niet de laatste aanval op AI-chatbots zijn. Naarmate meer bedrijven AI gaan gebruiken om de kosten voor klantenondersteuning te verlagen, zal hun kwetsbaarheid toenemen en zullen ze tal van fouten maken bij hun pogingen om een evenwicht te vinden tussen veiligheid en functionaliteit.
Het Meta-beveiligingslek is verholpen, maar het ‘confused deputy’-concept niet. En er is niets zo schadelijk als een verwarde AI die de sleutels tot je digitale leven in handen heeft.
Oplichters hoeven je computer niet te hacken. Ze hoeven je maar één keer te laten klikken.
Malwarebytes Identity Theft signaleert verdachte activiteiten voordat ze tot een probleem leiden.
