Frederic Noppe
COO
4.7.2023

KI und Phishing: Hoch entwickeltes Phishing für Jedermann

Bonn, 4.7.20231 Minuten Lesezeit
KI und Phishing: Hoch entwickeltes Phishing für Jedermann

Es ist kein Geheimnis, dass die Künstliche Intelligenz (KI) im Begriff ist, unsere Welt und Arbeitsweisen zu revolutionieren. Inmitten dieser digitalen Revolution spielt KI in der IT-Sicherheit eine zunehmend zentrale Rolle. Während wir uns an positiven Anwendungsmöglichkeiten dieser neuen Technologie erfreuen, sollten wir uns auch der potenziellen dunklen Seite der KI bewusst sein: Der Missbrauch von KI durch Cyberkriminelle.

Seit einigen Monaten ist durch KI-Modelle (meist Large Language Models kurz LLMs) der Einsatz von KI als nützliches Tool zur Arbeitserleichterung für viele Nutzer zum Alltag geworden. Doch können nicht nur „normale“ Arbeitnehmer KI nutzen, um Mails besser zu formulieren, auch Hacker können KI verwenden, um Angriffe wie Phishing effizienter und für ihre Ziele passend gestalten. Als Phishing bezeichnet man eine betrügerische Methode, bei der Angreifer gefälschte E-Mails, Textnachrichten oder Websites verwenden, um sensible Informationen von ahnungslosen Opfern zu stehlen.

Ein aktuelles Beispiel, das zeigt, wie KI in der Cyberkriminalität eingesetzt werden kann, ist das LLM ChatGPT von OpenAI. Seit seiner öffentlichen Freigabe im November hat ChatGPT beeindruckende Fähigkeiten bei der Generierung natürlicher Sprache demonstriert. Es ist in der Lage, ausführliche Dialoge zu führen und komplexe Fragen zu beantworten, und kann sogar Code in mehreren Programmiersprachen generieren.

ChatGPT kann den Sprachstil von Einzelpersonen und Organisationen imitieren, was es für Phishing-Angriffe besonders attraktiv macht. Cyberkriminelle könnten die Fähigkeiten des Modells nutzen, um gefälschte Nachrichten oder E-Mails zu generieren, die nahezu identisch mit den tatsächlichen Mitteilungen von legitimen Organisationen oder Personen sind. Diese hohe Qualität der Täuschung könnte es den Angreifern erleichtern, das Vertrauen ihrer Opfer zu gewinnen und sie zur Preisgabe sensibler Informationen zu verleiten.

Realbeispiel: Phishing, unterstützt durch KI

Disclaimer: Die gezeigte Angriffsmethode ist potenziellen Angreifern bekannt und wird bereits genutzt, weswegen ich mich zu Aufklärungszwecken dazu entschieden habe, Bestandteile aus dieser darzustellen.

Zu Testzwecken konnte ich die folgende Mail über die kostenlose und leicht zugängliche ChatGPT Version GPT-3.5 mit dem Prompt:„Generiere mir eine E-Mail des Telekommunikationskonzerns Mustercom, die den Adressaten dazu auffordert, sein Passwort aufgrund eines Sicherheitsvorfalls möglichst zeitnah zu ändern.“ generieren.

Zugegeben, bedarf diese Mail noch einigen Anpassungen. Diese können jedoch schnell durchgeführt werden, da die grundlegende Struktur der Mail bereits in weniger als einer Minute erstellt wurde. Ebenso kann der gesamte Text innerhalb weniger Sekunden per kostenloser KI-Übersetzungstools in die verschiedensten Sprachen übersetzt werden. Die meist passende Übersetzung der Texte in natürlich klingende Sprache erschwert es dem Opfer des Angriffs umso mehr, die Phishing-Mail von einer legitimen Mail zu unterscheiden.

KI-Phishing-Unterstützung endet nicht beim Text

Das Nächste, was ein technisch schlechter aufgestellter Hacker tun kann, ist ChatGPT nach weiteren Tipps zu fragen. Auf die Frage: „Zähle mir auf, weswegen eine gut gestaltete Phishing-Mail schwer zu erkennen“ ist, erhielt ich eine de facto Checkliste, worauf ich bei meinem potenziellen Angriff alles achten muss. Zum Beispiel konnte ich mir innerhalb weniger Sekunden eine Schritt-für-Schritt-Anleitung zum Maskieren von Links innerhalb einer E-Mail erstellen lassen, damit diese durch das Opfer nicht mehr so leicht als potenziell gefährlich zu erkennen sind.

Der potenzielle Missbrauch von KI zum Erstellen von Phishing Angriffen endet jedoch nicht beim Text. Auch Code kann per KI generiert werden. Mit hohem Enthusiasmus half mir ChatGPT dabei, funktionsfähigen HTML-Code für eine Passwort-Reset-Website zu erstellen.

Kenner werden nun natürlich bemerken, dass Ausbesserungen für den UTF-8 Zeichensatz und ein PHP-Script zur Speicherung der zu erwartenden Daten notwendig sind (Das Layout der Website wurde hierbei außer Acht gelassen). Beides lässt sich jedoch auch einfach durch ChatGPT generieren.

Durch diese KI-Unterstützung erhalten Angreifer einerseits einen Leitfaden und andererseits technisches Know-how, um in kürzester Zeit Phishing Angriffe auf einem hohen Niveau aus dem Nichts zu erstellen.

Den Faktor Zeit sollte man auch nicht zu niedrig bewerten. Je mehr Angriffe durch den Angreifer in einem bestimmten Zeitraum durchgeführt werden können, umso höher ist die Wahrscheinlichkeit, dass einer der Angriffe erfolgreich ist. Eine Automatisierung des Mailversands ist auch gut denkbar, da ChatGPT beispielsweise auch Python beherrscht.

Ebenso könnte ChatGPT von Angreifern mit wenig technischem Wissen genutzt werden, um Malware zu erstellen.

Obwohl die Qualität des generierten Codes nicht garantiert ist, ist dies eine potenzielle Methode, mit der Cyberkriminelle fortschrittliche Angriffe orchestrieren könnten.

Weitreichende Konsequenzen für die Informationssicherheit

Die Tatsache, dass sich Europol mit dem Missbrauchspotenzial von KI-Sprachmodellen wie ChatGPT befasst, unterstreicht die wachsende Bedeutung von KI in der Cyberkriminalität. Sicherheitsexperten müssen mit der sich ständig weiterentwickelnden Technologie Schritt halten, um wirksame Strategien zur Bekämpfung von KI-unterstützten Cyberangriffen zu entwickeln.

Die Sicherheitsimplikationen von KI-Systemen wie ChatGPT sind tiefgreifend. Sie erfordern eine Neuorientierung unserer Denkweise im Bereich der IT-Sicherheit. Das Zeitalter der schlecht geschriebenen Phishing-Mails ist vorbei. Wir stehen nun vor einer Ära, in der KI-gestützte Phishing-Angriffe realistisch und überzeugend genug sein könnten, um selbst die wachsamen Benutzer zu täuschen.

Die Betrachtung von KI in der Cyberkriminalität stellt die Notwendigkeit einer dynamischen und adaptiven Sicherheitsstrategie dar. Sicherheitsexperten müssen sich auf die kontinuierliche Verbesserung und Anpassung ihrer Techniken und Werkzeuge konzentrieren, um den sich ständig weiterentwickelnden Bedrohungen gerecht zu werden. Ebenso müssen Angestellte in Unternehmen, die potenziell Opfer eines Phishing Angriffs werden können (also jeder Mitarbeiter mit einem E-Mail-Account) noch besser geschult werden, um diese zu erkennen. Mitarbeiter stellen beim Fehlschlag der vorgeschalteten Erkennungs- und Sicherheitssysteme die letzte Verteidigungslinie gegen eine erfolgreichen Social-Engineering Angriff über Phishing dar, weswegen ihre Sensibilisierung für die Gefährdung durch Phishing essenzieller Bestandteil einer Sicherheitsstrategie sein sollte.