Generative KI hat in relativ kurzer Zeit nahezu jeden Aspekt des täglichen Lebens revolutioniert. Ein unglücklicher Nebeneffekt dieses Vordringens in den Mainstream ist jedoch eine Welle von Phishing-Betrügereien, die diese Technologie nutzen. Einem neuen Bericht des Cybersicherheitsunternehmens SlashNext zufolge sind Phishing-E-Mails seit der Einführung von chatgpt um 1.265 % gestiegen.
Neben der Entwicklung von Schadsoftware erzeugenden KI-Tools wie WormGPT, Dark Bart und FraudGPT, die sich im Darknet verbreiten, finden Cyberkriminelle auch neue Wege, um den Flaggschiff-KI-Chatbot von OpenAI zu jailbreaken.
„Als ChatGPT im Februar veröffentlicht wurde, sahen wir einen dramatischen Anstieg der Zahl der Phishing-Angriffe, der offensichtlich teilweise auf allgemeine Angriffe aufgrund des Erfolgs zurückzuführen war“, sagte Patrick Harr, CEO von SlashNext Entschlüsseln.
Unter Phishing-Angriffen versteht man einen Cyberangriff, der in Form einer E-Mail, SMS oder Nachricht in sozialen Medien erfolgt und scheinbar von einer seriösen Quelle stammt. Phishing-Angriffe können auch darauf ausgelegt sein, Opfer auf bösartige Websites zu leiten, die sie dazu verleiten, Transaktionen mit ihrer Krypto-Wallet zu signieren, die ihnen dann ihr Geld entziehen.
Laut dem Bericht von SlashNext wurden im letzten Quartal 2022 täglich 31.000 Phishing-Angriffe gesendet, was bereits einem Anstieg des Credential-Phishing um 967 % entspricht. Laut SlashNext sind 68 % aller Phishing-Angriffe textbasiert Kompromisse bei geschäftlichen E-Mails (BEC) und 39 % aller mobilbasierten Angriffe erfolgten über SMS-Phishing (schmunzelnde) Angriffe.
„Während es einige Debatten über den wahren Einfluss generativer KI auf cyberkriminelle Aktivitäten gibt, wissen wir aus unserer Forschung, dass Bedrohungsakteure Tools wie ChatGPT nutzen, um beim Schreiben anspruchsvoller, gezielter Geschäfts-E-Mail-Kompromittierungen und anderer Phishing-Nachrichten zu helfen“, sagte Harr.
„Im Kern handelt es sich hierbei um linkbasierte Angriffe, die versuchen, Sie dazu zu bringen, Ihre Zugangsdaten, Ihren Benutzernamen und Ihr Passwort preiszugeben“, fügte Harr hinzu und wies darauf hin, dass Phishing-Angriffe auch dazu führen können, dass resistentere Ransomware installiert wird. „Bei dem Angriff auf die Colonial Pipeline handelte es sich um einen Credential-Phishing-Angriff. [the attackers] konnten Zugriff auf den Benutzernamen und das Passwort eines Benutzers erhalten.“
Da Cyberkriminelle generative KI nutzen, um Opfer ins Visier zu nehmen, sollten Cybersicherheitsexperten laut Harr in die Offensive gehen und KI mit KI bekämpfen.
„Diese Unternehmen müssen sich integrieren [AI] direkt in ihre Sicherheitsprogramme, damit [the AI] durchsucht ständig alle ihre Nachrichtenkanäle, um diese zu entfernen [threats],“ er sagte. „Genau aus diesem Grund verwenden wir generative KI in unseren eigenen Toolsets, um zu erkennen und nicht nur zu blockieren, sondern wir nutzen sie auch, um vorherzusagen, wie das nächste passieren wird.“
Doch während Harr hinsichtlich der Fähigkeit der KI, betrügerische KIs auf frischer Tat zu ertappen, optimistisch ist, räumt er ein, dass dazu mehr erforderlich ist, als ChatGPT anzuweisen, nach Cyberbedrohungen Ausschau zu halten.
„Darauf muss das Äquivalent einer privaten großen Sprachmodellanwendung stehen, die darauf abgestimmt ist, nach den schändlichen Bedrohungen zu suchen“, sagte er.
Während KI-Entwickler wie OpenAI, Anthropic und midjourney hart daran gearbeitet haben, Schutzmaßnahmen gegen die Nutzung ihrer Plattformen für schändliche Zwecke wie Phishing-Angriffe und die Verbreitung von Fehlinformationen einzuführen, sind erfahrene Benutzer bestrebt, diese zu umgehen.
Letzte Woche veröffentlichte die RAND Corporation einen Bericht, der darauf hindeutete, dass Terroristen mithilfe generativer KI-Chatbots lernen könnten, wie man einen biologischen Angriff durchführt. Während der Chatbot nicht erklärte, wie die Waffe gebaut wird, konnte der Chatbot mithilfe von Jailbreak-Eingabeaufforderungen dazu gebracht werden, zu erklären, wie der Angriff durchgeführt werden sollte.
Forscher haben außerdem herausgefunden, dass sie durch die Verwendung weniger häufig getesteter Sprachen wie Zulu und Gälisch ChatGPT hacken und den Chatbot dazu bringen könnten, zu erklären, wie man mit einem Ladenraub davonkommt.
Im September startete OpenAI einen offenen Aufruf an offensive Cybersicherheitsexperten, auch Red Teams genannt, um bei der Suche nach Sicherheitslücken in seinen KI-Modellen zu helfen.
„Unternehmen müssen ihre Sicherheitsvorkehrungen überdenken“, schloss Harr. „Sie müssen generative KI-basierte Tools verwenden, um diese Dinge zu erkennen und darauf zu reagieren oder, was noch wichtiger ist, nicht nur zu reagieren, sondern sie auch zu erkennen, zu blockieren und zu stoppen, bevor sie Maßnahmen ergreifen.“