Künstliche Intelligenz und maschinelles Lernen, Cyberkriminalität, Betrugsmanagement und Cyberkriminalität
KI-generiertes Phishing kann Menschen immer noch nicht besiegen, aber nicht mehr lange: IBM
Rashmi Ramesh (rashmiramesh_) • 25. Oktober 2023
ChatGPT kann in fünf Minuten nahezu perfekte Phishing-E-Mails erstellen und damit ein Social-Engineering-Team mit jahrzehntelanger Erfahrung fast um mehrere Stunden schlagen, wie ein „brisantes“ Experiment von IBM zeigte.
Der Technologieriese schickte Phishing-E-Mails an 1.600 Mitarbeiter eines unbekannten Gesundheitsunternehmens – die Hälfte von menschlichen Social Engineers und die andere Hälfte von KI erstellt.
Die „Menschen gingen als Sieger hervor, aber mit knapper Mehrheit“, sagte IBM in einem veröffentlichten Bericht veröffentlicht Dienstag.
Phishing ist eines davon am gebräuchlichsten Möglichkeiten, Malware zu verbreiten, wobei 84 % der Unternehmen an Proofpoint teilnehmen Bundesstaat Phish berichten von mindestens einem erfolgreichen Phishing-Angriff im letzten Jahr.
Mehrere generative KI-Modelle, darunter ChatGPT, verfügen über einen integrierten Schutz, der böswillige Nutzung verhindern soll – was Forschern und Hackern leicht gelingt (siehe: Ja, Virginia, ChatGPT kann zum Schreiben von Phishing-E-Mails verwendet werden).
Die Forscher brauchten nur eine Handvoll Eingabeaufforderungen, um die Blockade von ChatGPT gegen das Schreiben von Phishing-E-Mails zu durchbrechen und das Modell dazu zu bringen, „in nur fünf Minuten äußerst überzeugende Phishing-E-Mails“ zu entwickeln, sagte Stephanie Carruthers, IBMs Chef-People-Hackerin, die das Experiment leitete.
„Die meiste Zeit habe ich damit verbracht, die Eingabeaufforderungen zu erstellen und die richtige Anzahl und den richtigen Typ zu finden, um die effektivste Phishing-E-Mail zu erstellen. Nach mehreren Stunden des Ausprobierens habe ich fünf Eingabeaufforderungen ausgewählt und diese in das LLM eingespeist, damit es die Phishing-E-Mail erstellen kann Ich habe es nicht direkt gebeten, eine Phishing-E-Mail zu schreiben, sondern stattdessen gebeten, basierend auf den Aufforderungen eine E-Mail zu erstellen“, sagte sie.
Ihr Team braucht normalerweise etwa 16 Stunden, um eine Phishing-E-Mail zu erstellen, was bedeutete, dass der Einsatz von KI für denselben Zweck den Benutzern möglicherweise „fast zwei Tage Arbeit“ ersparte.
Während es möglich ist, ein Standard-Sprachmodell dazu zu bringen, eine Phishing-E-Mail zu schreiben, was die Aufgabe für Angreifer viel einfacher und effizienter macht, ist dies derzeit nur möglich, „wenn sie im Vorfeld die richtigen Eingabeaufforderungen erstellen“, sagte Carruthers gegenüber Information Sicherheitsmediengruppe.
Das Team generierte die „höchst raffinierte“ KI-Phishing-E-Mail und berücksichtigte dabei die wichtigsten Problembereiche für Mitarbeiter in der Zielbranche – in diesem Fall dem Gesundheitswesen. Sie wiesen es an, Social-Engineering-Techniken wie Vertrauen, Autorität und Social Proof zu nutzen und Marketingtechniken wie Personalisierung, mobile Optimierung und einen Call-to-Action einzusetzen. Sie verwiesen auch auf die Person oder Firma, die es nachahmen sollte – den internen Personalmanager.
Um das Experiment zu validieren, erstellte das Social-Engineering-Team von IBM eine eigene Phishing-E-Mail, „bewaffnet mit Kreativität und einer Prise Psychologie“. Sie sammelten Open-Source-Informationen von Social-Media-Plattformen, dem offiziellen Blog der Organisation, Glassdoor und nicht genannten Quellen. Sie haben diese E-Mail an Mitarbeiter desselben Gesundheitsunternehmens gesendet. Das menschliche Element „fügte einen Hauch von Authentizität hinzu, der oft schwer zu reproduzieren ist“, sagte Carruthers.
Die von Menschen erstellten Phishing-E-Mails übertrafen die von KI generierten E-Mails in Bezug auf die Anzahl der Personen, die auf einen schädlichen Link klickten, wenn auch mit einem geringen Vorsprung von 14 % bzw. 11 %. Der Vorteil des ersteren beruhte vor allem auf der Fähigkeit der Menschen, Emotionen „auf eine Art und Weise zu verstehen, von der die KI nur träumen kann“, und auf ihrer Fähigkeit, Inhalte zu personalisieren und prägnant zu halten.
Carruthers sagte, dass es dem KI-generierten Phishing-Angriff „an emotionaler Intelligenz mangelte und er sich für mich immer noch wie ein Roboter anfühlte. Das ist der Grund, warum letztendlich die Menschen die Nase vorn hatten“, sagte sie.
Auch wenn die Menschen diesen Kampf möglicherweise knapp gewonnen haben und Cybersicherheitsforscher keinen weitreichenden Einsatz generativer KI durch Bedrohungsakteure beobachten konnten, prognostiziert Carruthers, dass die KI eines Tages den Menschen übertreffen könnte. Wie weit ist dieser Tag entfernt? „Wenn Sie mir diese Frage vor dieser Recherche gestellt hätten, hätte ich vielleicht ein oder zwei Jahre gesagt. Aber nachdem ich gesehen hatte, wie die KI Phishing-E-Mails generierte und wie schnell sie diese erstellen konnte, würde ich sagen.“ Vielleicht werden wir in drei bis sechs Monaten sehen, dass sich dieser Abstand noch weiter verkleinert“, sagte sie gegenüber ISMG.
Der Einsatz von KI bei Phishing-Angriffen bedeutet, dass Unternehmen ihren Ansatz zur Cybersicherheit neu überdenken müssen. Sie müssten ihre Sicherheitsbewusstseinsprogramme nicht komplett überarbeiten, nur weil KI Angreifern jetzt dabei hilft, effektivere Phishing-E-Mails zu schreiben. Sie sollten jedoch damit beginnen, die neuesten Techniken wie Voice-Phishing zu integrieren und die Mitarbeiter auf anspruchsvollere Phishing-E-Mails vorzubereiten, sagte sie.
Carruthers empfahl Unternehmen, das Klischee aufzugeben, dass die meisten Phishing-E-Mails mit schlechten Grammatik- und Rechtschreibfehlern behaftet seien, da KI-gesteuerte Inhalte diese Warnsignale beseitigen. Längere E-Mails, oft ein Kennzeichen von KI-generiertem Text, können ein Warnsignal sein, sagte sie.