Awareness

Phishing 4.0: Neues Level durch KI

Aktualisiert am

Phishing ist immer noch in aller Munde und die Bedrohungslage hat sich aus verschiedenen Gründen verändert. Beim Phishing handelt es sich um eine Art von digitalem Angriff, bei dem Benutzer mit Hilfe von betrügerischen E-Mails oder Websites dazu gebracht werden, persönliche Daten wie Passwörter oder Kreditkartennummern preiszugeben.

Phishing-Angriffe sind oft schwer zu erkennen, da sie legitime E-Mails oder Websites imitieren können. Jetzt werden Phishing-Angriffe sogar noch raffinierter, indem künstliche Intelligenz (KI) als Unterstützung eingesetzt wird. Mithilfe von KI können Angreifer realistische und personalisierte Phishing-E-Mails erstellen, die selbst für die gründlichsten NutzerInnen nur sehr schwer zu erkennen sind. Die Angreifer entwickeln ihre Methoden ständig weiter, um den Benutzern und Unternehmen immer einen Schritt voraus zu sein. Da Phishing-Angriffe immer raffinierter werden, ist es wichtig, wachsam zu sein und sich und andere darüber zu informieren, wie man sich vor diesen Bedrohungen schützen kann.

Phishing 4.0 – Eine Geschichte

Phishing ist seit dem Beginn des Internets ein immer größer werdendes Problem und auch auf dem Blog haben wir schon einige Male über den Angriff geschrieben. Egal ob wir eigene Forschung zum Thema Phishing betrieben haben oder auf besonders perfide Betrugsmaschen aufmerksam gemacht haben: Das Thema gehört zur Awareness wie Spinat zu Popeye. Doch bereits vor dem Internet gab es Betrugsversuche. Damals natürlich nicht per E-Mail, sondern per Brief. Dennoch zeigt auch die Vergangenheit, dass Kriminelle durchaus kreativ waren. Durch die immer schneller werdende Vernetzung und Digitalisierung ist jedoch das Geschäft mit kriminellen Mails immer besser skalierbar geworden und dadurch zu einer wahren Plage geworden. Spam-Filter und andere Sicherheitslösungen versuchen zwar immer wieder bösartige E-Mails aus den Posteingängen raus zu halten, aber der Erfolg ist eher mäßig. Auch weil Kriminelle immer wieder neue Methoden und Angriffsvektoren finden, um diese Filter zu umgehen.

Künstliche Intelligenz – Ein Treiber der Digitalisierung

Künstliche Intelligenz (KI) ist ein Teilgebiet der Informatik, das sich mit der Schaffung intelligenter Agenten befasst. Das bedeutet, dass Systeme lernen sollen logisch zu denken, sowieso selbstständig lernen und handeln sollen. Die Forschung beschäftigt sich aktuell vorallem mit der Frage, wie Computer beziehungsweise Programme geschaffen werden können, die zu intelligentem Verhalten fähig sind.

In der Praxis können KI-Anwendungen in verschiedene Kategorien unterteil werden:

  1. Maschinelles Lernen: Hierbei handelt es sich um eine Methode, bei der Computern beigebracht wird, aus Daten zu lernen, ohne dass sie explizit programmiert werden.
  2. Verarbeitung natürlicher Sprache: Hier geht es darum, Computern beizubringen, die menschliche Sprache zu verstehen und so zu reagieren, wie es für Menschen natürlich ist.
  3. Robotik: Hier geht es um den Einsatz von Robotern zur Ausführung von Aufgaben, die für Menschen sonst nur schwer oder gar nicht zu bewältigen wären.
  4. Prädiktive Analytik: Hierbei handelt es sich um eine Methode, bei der künstliche Intelligenz eingesetzt wird, um Vorhersagen über zukünftige Ereignisse, Trends und Verhaltensweisen zu treffen.

Die Geschichte der künstlichen Intelligenz ist lang und komplex und reicht bis in die Anfänge der Computertechnik zurück. Der Bereich der künstlichen Intelligenz wurde auf einer Konferenz im Jahr 1956 formell begründet und hat seither eine Reihe von Veränderungen und Entwicklungen durchlaufen. Ein aktueller Trend im Bereich der künstlichen Intelligenz ist GPT-3 (Generative Pre-trained transformer 3): GPT-3 ist eine Plattform für maschinelles Lernen, die Texte schreiben soll. Die Plattform ist aktuell in der Lage sein, menschenähnliche Texte zu produzieren und kann sogar den Stil eines bestimmten Autors kopieren. GPT-3 soll auch in der Lage sein, den Kontext eines Textes zu verstehen und Texte zu produzieren, die dem Kontext angemessen sind. Natürlich sind auch künstliche Intelligenzen anfällig für Angriffe, aber das beschreiben wir in einem anderen Blogpost.

Phishing 4.0 – Künstliche Intelligenz als Treiber der Skalierung?

OpenAI ist ein Unternehmen welches sich der Forschung rund um das Thema künstliche Intelligenz widmet. OpenAI hat nun eine API veröffentlicht, welche es EntwicklerInnen erlaubt, einige Funktionen der künstlichen Intelligenz nutzbar zu machen. OpenAI API ist eine Plattform, die es EntwickleInnen ermöglicht, Anwendungen mit hochentwickelter künstlicher Intelligenz auszustatten. Die API bietet Tools und Dienste, mit denen Entwickler KI-Modelle trainieren und einsetzen können. Diese API könnte nun von AngreiferInnen ausgenutzt werden, um Phishing E-Mails noch personalisierter und vorallem komplett automatisiert zu formulieren und zu versenden. Wie einfach das geht, kann im Playground gezeigt werden.

Erstellung einer generischen Phishing Nachricht

Im Playground muss also nur eingegeben werden, für wen ich eine Phishing Mail schreiben will und das Programm schreibt mir komplett automatisiert eine plausible Phishing-Nachricht. Dies lässt sich über die API natürlich komplett automatisieren. Alles was ein Angreifer nun tun muss, ist einen entsprechenden Link einfügen und fertig ist die Phishing Nachricht. Diese muss dann nur noch versendet werden.

Insbesondere in Kombination mit großen Datendiebstählen, welche ebenfalls das automatisierte Verarbeiten von Mailadressen, Namen und anderen persönlichen Details erlauben, müssen wir uns auf noch bessere und skalierbare Phishing-Wellen einstellen. Insbesondere wenn AngreiferInnen die Nachrichten mit weiteren, vermeintlich persönlichen Details spicken, wie im folgenden Video zu sehen ist:

Erstellung einer personalisierten Phishing Nachricht

Wie schütze ich mich vor Phishing 4.0?

Es gibt ein paar Dinge, die NutzerInnen tun können, um sich vor Phishing 4.0 zu schützen. Die sind gar nicht so unterschiedlich zu den allgemeinen Tipps zum Erkennen einer Phishing Nachricht.

  1. Achten Sie noch mehr auf Domain und den Absendernamen, von dem die E-Mail stammt. Diese muss gut gefälscht oder gewählt sein, damit die Nachricht wirklich authentisch wirkt.
  2. Informieren Sie sich: Mit dem Lesen dieses Blogs haben Sie einen weiteren Schritt getan: Sie sollten sich bewusst sein, dass künstliche Intelligenz zunehmend zur Erstellung von Phishing-E-Mails eingesetzt wird und auch vermeintliche personalisierte Mails einen bösartigen Zweck verfolgen können.
  3. Seien Sie sich bewusst, dass es ähnliche Angriffe auch für andere Kommunikationsarten gibt, beispielsweise für Telefonanrufe, SMS-Nachrichten und auch Chats.

Als AWARE7 arbeiten wir aktuell an einfachen und individuell einsetzbaren Gegenmaßnahmen. Auch solche, bei denen Sie sich nicht auf die Technik verlassen müssen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.