Missbrauch von ChatGPT
KI-Assistent für Kriminelle
Fortsetzung des Artikels von Teil 1
Effektiveres Phishing dank KI
Auch für die Unternehmen verschärft ChatGPT die Risikolage. „Ransomware ist nach wie vor auf dem Vormarsch, sowohl bei Attacken gegen Unternehmen, als auch bei Cyberangriffen auf Staaten und Behörden“, sagt Lothar Geuenich von Check Point. „Die kriminelle Energie von Angreifern wird wesentlich komplexer, aber gleichzeitg automatisiert in Attacken umgesetzt.“ Dabei ziele die Angreiferseite oft auf das schwächste Glied in der Sicherheitsinfrastruktur: zu wenig geschulte Beschäftigte.
„Eines der größten Risiken besteht darin, dass Angreifer diese Plattformen nutzen, um die Qualität ihrer Phishing-Köder erheblich zu verbessern“, bestätigt Sophos-Experte Chester Wisniewski mit Blick auf ChatGPT. „Letztendlich liefern die immer besseren KI-Chatbots ein kostenloses Upgrade für alle Arten von Social-Engineering-Angriffen.“ Ein Angreifer mit Programmen wie ChatGPT könne kriminell orientierte, sehr realistische, interaktive Gespräche via E-Mail führen oder Chat-Angriffe über Facebook Messenger, WhatsApp oder andere Chat-Apps starten.
Derzeit bestehe die größte Gefahr für die englischsprachige Zielgruppe. Es sei aber wohl nur eine Frage der Zeit, bis neue Versionen glaubwürdige Texte in allen häufig gesprochenen Sprachen der Welt erstellen können. „Wir haben ein Stadium erreicht, in dem Menschen immer öfter nicht in der Lage sind, maschinengenerierte Prosa von der von Menschen geschriebenen zu unterscheiden – im Besonderen, wenn wir das Gegenüber nicht gut kennen“, so Wisniewski. „Traurig aber wahr: KI hat den letzten Nagel in den Sarg des Endbenutzer-Sicherheitsbewusstseins geschlagen.“
Betreutes Coden
Kriminielle haben das Potenzial von ChatGPT für Malware-Programmierung schnell erkannt. „ChatGPT-erzeugter Code ist nicht so toll, aber es ist ein Anfang“, sagt der renommierte Security-Experte Bruce Schneier. „Und die Technologie wird immer besser werden.“ Relevant sei dies, weil es weniger fähigen Hackern („Script Kiddies“) neue Möglichkeiten eröffne.
In der Tat hat Check Point Research (CPR) bei der Überwachung von Dark-Web-Foren beobachtet, dass Cyberkriminelle die KI bereits zur Erstellung von Angriffs-Tools nutzen – und dies zum Teil ohne Vorkenntnisse in Softwareentwicklung. So hatte im Dezember ein Foren-User namens USDoD ein Python-basiertes Verschlüsselungswerkzeug gepostet. Auf Rückfrage eines anderen Forenmitglieds erkärte er, dies sei das erste Skript, das er je erstellt habe. Laut Check Point ist es nur eine Frage der Zeit, bis raffiniertere Kriminelle diesen Missbrauch verfeinern.
Die CPR-Forscher berichten auch von einem Thread in einem beliebten Hacking-Forum, dessen Verfasser erklärte, er experimentiere mit ChatGPT, um Malware aus Forschungs- und Security-Reports nachzubilden. Als Beispiel postete er den Code eines Python-basierenden Info-Stealers: Die Malware sucht nach gängigen Dateitypen, kopiert sie in einen zufälligen Ordner innerhalb des Temp-Ordners, packt sie in ein ZIP-Format und lädt sie auf einen vorgegebenen FTP-Server. Check Point selbst hatte im Dezember getestet, ob sich mit ChatGPT und dem KI-Modell Codex eine Phishing-E-Mail und Schadcode für automatisierte Angriffe erstellen lassen – und es hat funktioniert (LANline berichtete).
„Obwohl ChatGPT mit einer Reihe von Sicherheitsvorkehrungen ausgestattet zu sein scheint, die darauf abzielen, negative Auswirkungen zu begrenzen und schädliche Aktivitäten unmöglich zu machen, ist klar, dass sich Angreifer einige Funktionalität von ChatGPT in bestimmten Szenarien zunutze machen könnten, zum Beispiel bei der Erstellung überzeugender Phishing-E-Mails in perfektem Englisch“, sagt Ivan Kwiatkowski von Kasperskys Global Research and Analysis Team. „Es ist definitiv nicht in der Lage, eine Art autonome Hacker-KI zu werden. Zukünftig werden wir jedoch höchstwahrscheinlich spezialisierte Produkte wie ein Reverse-Engineering-Modell sehen, um Code besser zu verstehen, sowie ‚offensive Sicherheitsmodelle‘ für Exploits und Intrusion.“
Als Mitigationsmaßnahmen empfehlen Crothers et al. zunächst Captchas, um menschliche Autoren von Bots zu unterscheiden, ebenso – relevant vor allem für die großen Plattformen – eine wiederum KI-gestützte Erkennung und Filterung KI-generierter Inhalte. Als großes Risiko erachtet es das Forschungsteam, dass Nutzer das Vertrauen in eine Plattform verlieren, wenn sie echte und KI-generierte (Fake-)Inhalte allzu häufig nicht – oder nicht sofort – unterscheiden können.
Abwehr ChatGPT-basierter Angriffe
„Obwohl KI bei Cyberangriffen eingesetzt werden kann und es Kriminellen ermöglicht, noch schneller und effizienter zu agieren, kann sie auch zur Verbesserung von Antiviren- und Sicherheitslösungen eingesetzt werden, um die Methoden der Hacker noch schneller zu analysieren und passgenaue Abwehrmethoden zu lernen“, beruhigt Michael Klatte vom Security-Anbieter Eset. Ebenfalls tröstlich: KI-generierter Schadcode bleibt Schadcode – mit den typischen Mermalen, auf deren Erkennung heutige Security-Lösungen getrimmt sind. „Die durch ChatGBT produzierte Malware“, so Achim Kraus von Gatewatcher, „könnte durch Technik erkannt werden, so wie wir heute auch schon Shellcode ohne Sandbox im Netzwerk-Traffic erkennen können.“
Wie es Eset-Mann Klatte formuliert: „Wir befinden uns bereits in einem ständigen Katz-und-Maus-Kampf mit künstlicher Intelligenz.“ Dieses Katz-und-Maus-Spiel ist in der Security ebenso altbekannt wie in der Schule der Versuch, sich um Hausaufgaben zu drücken. Mit ChatGPT geht das Spiel in eine neue Runde – dank KI quasi „auf Steroiden“. Zu hoffen ist, dass alles von Social Media bis hin zu E-Mail-Lösungen bald eine Erkennung maschinell generierter Inhalte mitbringt. Oder, wie Sophos-Mann Wiesnewski sagt: „Wir benötigen zunehmend intelligente Maschinen, um zu erkennen, wenn andere Maschinen versuchen, uns zu täuschen.“ Vielleicht würde der Empathietest aus „Blade Runner“ ja helfen.
- KI-Assistent für Kriminelle
- Effektiveres Phishing dank KI
Lesen Sie mehr zum Thema
