Trend Micro kommentiert KI-Technik
ChatGPT und die Zukunft der IT-Security
Fortsetzung des Artikels von Teil 1
Phishing
Phishing-Mails gehören zum Standardprogramm der meisten Angriffsvarianten, um einen ersten Ansatzpunkt für weitere kriminelle Aktivitäten zu schaffen. Und dies ist oft gar nicht so einfach. Deshalb gibt es auch einen eigenen Dienstleistungssektor im digitalen Untergrund, der einen so genannten „Access-as-a-Service“ mit guter Qualität bietet – eine Frage des Preises, mehr nicht. Das Problem der Kriminellen ist laut Werner, dass sowohl Technik als auch menschliche Intuition in der Lage ist, Attacken abzufangen, weshalb sie entweder in Masse (milliardenfach) gestartet werden oder, unter hohem Aufwand, mit menschlicher Interaktion.
KI zur Steigerung der Effektivität klingt für diese Tätergruppe sehr verlockend. Der aktuelle Stand der Technik mit ChatGPT kann dabei unterstützen, Mails glaubwürdiger zu formulieren. Es entfallen die häufig in Sicherheitsschulungen genannten Ausdrucks- und Rechtschreibfehler, und neue Inhalte können schneller generiert werden, sodass die Mails „attraktiver“ erscheinen.
Aber „bessere“ Phishing-Mails sind nicht die wichtigsten Sorgen, die Sicherheitsforscher beschäftigen, wenn sie über den Einsatz von KI im Rahmen von Access-as-a-Service nachdenken. Vielmehr befürchtet man, dass es gelingen könnte, eine KI so zu erstellen, dass sie in der Lage ist, eine interessante Kommunikation mit einem Opfer zu führen und damit den aktuell enormen Aufwand bei gezielten Angriffen zu reduzieren.
Gelinge dies, sind künftige Phishing-Mails nicht mehr von echter Geschäftskommunikation zu unterscheiden. Die Opfer werden dann mit persönlichen Angriffen konfrontiert, in die etwa über soziale Medien verfügbares Wissen integriert ist. Die Angriffsvariante Emotet hat bereits vorgeführt, welche Effekte dies haben kann, indem sie ihre Angriffs-Mail als Antwort auf eine zuvor vom Opfer tatsächlich versendete Mail schrieb, zum Glück noch ohne KI-Unterstützung – mit generisch erzeugten Inhalten. Dynamite Phishing, wie diese Methode bezeichnet wird, erwies sich bereits jetzt als äußerst effektiv.
Lesen Sie mehr zum Thema
