GPT-gesteuerte Phishing-Kampagnen sind eine echte Bedrohung.

CWenn es um Cybersicherheit geht, ist es allgemein anerkannt, dass der Mensch oft das schwächste Glied darstellt. Wir neigen dazu, unvorsichtig auf Links zu klicken, E-Mail-Anhänge zu öffnen, ohne die Authentizität des Absenders zu überprüfen, und Programme aus fragwürdigen Quellen herunterzuladen. Phishing bleibt eine hartnäckige und beliebte Waffe unter Bedrohungsakteuren, die als Auftakt für verschiedene Angriffe, einschließlich Ransomware, und als Mittel zum Diebstahl von Anmeldeinformationen, zum Infiltrieren von Infrastrukturen und zur Unterbrechung von Betriebsabläufen dient.

Auch wenn Sie mit dem Begriff „Phishing“ nicht vertraut sind, sind Sie wahrscheinlich schon auf Geschichten über seine unglücklichen Opfer gestoßen, die häufig Schlagzeilen machen. Gleichzeitig sorgt der Generative Pre-Trained Transformer (GPT), ein bekanntes großes Sprachmodell (LLM) und ein führendes Framework für generative künstliche Intelligenz, in der Technologiewelt für Aufsehen. Obwohl GPT keine Einheit ist, die man ohne weiteres mit digitaler Kompromittierung in Verbindung bringen würde, könnte es eine unvorhergesehene Rolle spielen.

GPT-Modelle, die auf neuronalen Netzen und maschinellem Lernen basieren, sind derzeit die Lieblinge der Technologielandschaft. Fast jeder hat etwas über sie zu sagen und ihr Einfluss ist weit verbreitet. Beispielsweise ist Microsoft maßgeblich an chatgpt von OpenAI beteiligt. Auch wenn der Einstieg von Googles Gegenstück Bard alles andere als ideal war, kann man mit Sicherheit davon ausgehen, dass es sich bei der mit Alphabet in Verbindung stehenden Technologie wahrscheinlich nicht um einen vorübergehenden Trend handelt.

Eines der herausragenden Merkmale von GPT ist seine Fähigkeit, in großem Umfang überzeugend menschenähnliche Texte zu generieren. Diese Funktion weckt bei Sicherheitsexperten Warnsignale, da sie tiefgreifende Auswirkungen auf Phishing und andere E-Mail-basierte Bedrohungen hat, einschließlich Business E-Mail Compromise (BEC). Beim Phishing kommt es auf Prozentsätze an; Das gezielte Ansprechen einer großen Anzahl von Benutzern mit Nachrichten führt letztendlich zur erfolgreichen „Fangung“ eines Opfers. Bei einer Ausweitung ist dies ein bedeutender Erfolg. Für regionale Unternehmen besteht jedoch möglicherweise ein katastrophaler Nachteil. In Regionen wie den Vereinigten Arabischen Emiraten kommen fast monatlich Warnungen vor Phishing von verschiedenen Behörden wie der TDRA und der Zentralbank.

Beim Phishing besteht das Ziel darin, den Endbenutzer zu täuschen und zu glauben, dass die Nachricht, sei es per E-Mail, SMS, WhatsApp oder einer anderen Plattform, von einer legitimen Entität stammt, beispielsweise einer bekannten oder vertrauenswürdigen Marke. Mit BEC werden die E-Mails sorgfältig so gestaltet, dass sie aussehen, als kämen sie von einem IT-Helpdesk-Mitarbeiter oder einem Vorgesetzten. GPT kann diesen Prozess erleichtern, indem es Aspekte wie Stil und Sprache zurückentwickelt, um den Eindruck zu erwecken, als ob der Empfänger mit einem Kollegen und nicht mit einem böswilligen Akteur interagiert. Obwohl es derzeit Tools zur Unterscheidung zwischen maschinengeneriertem und von Menschen geschriebenem Text in Nachrichten gibt, müssen wir uns auf eine Zukunft vorbereiten, in der sich GPT so weit entwickelt, dass diese Tools unwirksam werden. Darüber hinaus gibt es zwar derzeit Beschränkungen, um den Missbrauch der GPT-Technologie zu verhindern, doch die dunkleren Ecken des Internets könnten irgendwann Möglichkeiten finden, diese Schutzmaßnahmen zu umgehen. Wir sollten auch damit rechnen, dass Cyber-Bedrohungsakteure, die bereits KI in ihren Kampagnen nutzen, herausfinden, wie sie GPT-ähnliche Modelle nutzen können, um Bilder und Videos zu generieren oder bestimmte Branchen anzusprechen.

Phishing und andere E-Mail-basierte Angriffe führen für Cyberkriminelle stets zu Ergebnissen. In dieser Untergrundindustrie, in der das einzige Endergebnis der finanzielle Gewinn ist, sprechen die Ergebnisse für sich. Wenn die Cyberkriminelle Wege finden kann, ihre E-Mails noch authentischer erscheinen zu lassen, werden sie die Chance nutzen. Allerdings sind seriöse Unternehmen ebenso einfallsreich und können ihre Widerstandsfähigkeit durch die Implementierung verschiedener Cybersicherheitsmaßnahmen verbessern. Auf technologischer Ebene können sie KI-gestützte E-Mail-Schutzlösungen einsetzen. Künstliche Intelligenz wird immer mehr zum Standard-Verteidigungsinstrument im Sicherheitsmarkt und bekämpft wirksam moderne Cyberkriminalitätstaktiken wie Account-Hijacking und BEC. KI ist außerordentlich geschickt darin, verdächtige Aktivitäten zu identifizieren und zu überwachen, einschließlich Anmeldungen von ungewöhnlichen Standorten und dem Vorhandensein ungewöhnlicher IP-Adressen. Durch den Abgleich dieser Daten mit den ungefähren geografischen Standorten der Mitarbeiter wird es möglich, Zugriffsversuche aus dem Ausland zu blockieren. Darüber hinaus kann die Multi-Faktor-Authentifizierung (MFA) eine zusätzliche Schutzebene gegen Infiltration bieten, wenn die einzigen anderen Identitätsfaktoren einfache Benutzernamen und Passwörter sind. Obwohl per SMS übermittelte Authentifizierungscodes nicht ideal sind, können biometrische Identifizierungsmethoden wie Fingerabdrücke, Netzhautscans und Gesichtserkennung die Sicherheit erheblich erhöhen. Zusätzlich zu diesen Maßnahmen können automatisierte Incident-Response-Lösungen die zeitnahe Säuberung des Posteingangs erleichtern und wertvolle Informationen sammeln, um künftige Abhilfemaßnahmen zu optimieren.

„Auch wenn wir Fortschritte bei der Minimierung der Bedrohungen machen, die unsere Posteingänge erreichen, und bei der Verbesserung unserer Authentifizierungsprozesse bleibt es offensichtlich, dass der Einzelne der anfälligste Punkt ist“, bemerkt Ian Parker, Executive Product Manager bei LOOPHOLD Security Distribution. „Während wir wichtige KI-gestützte E-Mail-Schutzlösungen wie Barracuda Email Protection einführen (https://www.loophold.com/technology-partners/barracuda-networks) von größter Bedeutung ist, müssen wir auch in die Schulung des Sicherheitsbewusstseins in unseren Organisationen investieren. Dadurch wird sichergestellt, dass unsere Mitarbeiter gut informiert und wachsam gegenüber verdächtigen E-Mails und anderen potenziellen Bedrohungen sind.“

Aus menschlicher Sicht sollten Organisationen regelmäßigen Schulungen Priorität einräumen. Das Erkennen und Reagieren auf Phishing- und Spear-Phishing-Angriffe ist im Prinzip einfach, erfordert jedoch wachsame Mitarbeiter. Das Konzept der „Employee Experience“ wird oft diskutiert und in der Cybersicherheit geht es darum, Mitarbeiter mit der Erfahrung zu fördern, Phishing-Versuchen effektiv zu widerstehen. Gamification und Simulationen können dazu beitragen, den Benutzern ihre Handlungen bewusster zu machen, wenn sie die möglichen Auswirkungen verstehen. Schulungen dieser Art helfen Sicherheitsteams auch dabei, Benutzer zu identifizieren, bei denen ein höheres Risiko besteht, Opfer von Social Engineering zu werden.

Darüber hinaus sollten interne Richtlinien einer gründlichen Überprüfung unterzogen werden und die Mitarbeiter müssen darüber aufgeklärt werden, welche Informationen per E-Mail übermittelt werden dürfen und welche nicht. Es können robuste Richtlinien festgelegt werden, um sicherzustellen, dass sensible Informationen nicht per E-Mail übermittelt werden können.

Bei der Cybersicherheit geht es grundsätzlich um Antizipation. GPT könnte bald zu einer erheblichen Bedrohung werden. Daher müssen wir proaktiv handeln, um es vollständig zu verstehen und uns mit den Fähigkeiten und Werkzeugen auszustatten, die erforderlich sind, um GPT-gesteuerten Phishing-Kampagnen standzuhalten, falls sie jemals weit verbreitet werden.