Awareness

Künstliche Intelligenz betreibt erfolgreich Spearphishing Angriff!

Aktualisiert am

Eine Software, welche von Sicherheitsforschern entwickelt wurde, hat diverse PokemonGo Spieler, die sich auf Twitter zu dem beliebten Spiel äußerten, einem automatisierten spearphishing Angriff unterzogen. Tweets, die von der Software als Antworten auf Tweets mit dem Hashtag #PokemonGo formuliert worden waren, enthielten einen Link. In dem Experiment war der Link harmlos – er wurde aber mit einer Klickrate von ca. 30% – 66% überdurchschnittlich häufig angeklickt1.

Social Media missbrauchen, um Nutzer mit Malware zu infizieren

Twitter steht und fällt mit der Interaktion anderer Benutzer. Jede Antwort, jeder Retweet, jeder Like ist ein Zeichen der Anerkennung, des Interesses oder auch der Anteilnahme. Das Twitter auch von Bots missbraucht wird, fällt bestimmt jedem auf der sich neu anmeldet. Man erhält unseriöse Follower und teilweise wird man in seltsame Listen gesteckt. Die Belästigung durch diese Bots ist aber halb so wild und noch weit davon entfernt intelligent und automatisiert betrieben zu werden.

Künstliche Intelligenz betreibt erfolgreich spearphishing Angriff bei Twitter

Ein anderes Angriffsszenario wurde nun mit einer Maschinen-lern Software auf ein neues Level gehoben. Die Software hat vollständig automatisch auf Tweets reagiert, die mit dem Hashtag #PokemonGo gekennzeichnet waren2.

Die “Malicious Tweets” – also bösartigen Tweets  – erzielten dabei höchsterschreckende Klickraten von 30% bis 60%. Bei nicht mehr funktionierenden Links wurde teilweise sogar um die Zusendung des korrekten Links gebeten. Bei einem üblichen Phishing Angriff undenkbar. Klickraten von 5 – 10% sind bei normalem Phishing hingegen der Standard3. Die Software musste dazu mit ca. 2 Millionen Tweets antrainiert werden, bevor sie in der Lage war, selber welche zu schreiben4.

Die Problematik von Phishing und Spearphishing wird angekurbelt – das Fazit

Für einen manuell erstellten spearhishing Angriff werden in der Regel bis zu 10 Minuten Arbeit fällig. Zwar liegt die Klickrate dann bei bis zu 40% – sie ist jedoch auch um ein vielfaches aufwendiger, als die automatisierte Methode5.

Dass die Software weder perfektes Deutsch noch Englisch spricht, tut dem Erfolg keinen Abbruch. Der Slang der bei Twitter herrscht kommt den Algorithmen zugute. Das was verdächte Emails verrät – nämlich wenn sie von Rechtschreibfehlern übersät sind – wird bei sozialen Netzwerken toleriert6. Die Aussicht, das maschinelle Algorithmen immer leichter zu verwenden sind, macht sie über kurz oder lang auch kriminell motivierten Menschen zugänglich. Wer mehr über die Vorgehensweise und Künstliche Intelligenz erfahren will, der kann sich einen für die Allgemeinheit zugänglichen Kurs anschauen, über den wir bereits berichtet haben.

Weitere Informationen und Quellen

[1] Gezieltes Phishing mit Künstlicher Intelligenz (heise.de/TechnologyReview)
[2] Weaponizing data science for social engineering: Automated E2E spear phishing on Twitter (Blackhat.com/John Seymour & Philip Tully)

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.