In den ersten Monaten, nachdem OpenAI im November 2022 seinen chatgpt-Chatbot veröffentlicht hatte, warnten Sicherheitsforscher, dass die äußerst beliebte generative KI-Technologie von Cyberkriminellen für ihre schändlichen Aktivitäten, einschließlich Phishing- und Business Email Compromise (BEC)-Kampagnen, genutzt werden könnte.

Im Januar führten Threat-Intelligence-Forscher des Cybersicherheitsunternehmens WithSecure Phishing-E-Mails als eine von sieben Möglichkeiten auf, wie Bedrohungsakteure ChatGPT und ähnliche Tools nutzen könnten. Schreiben dass „die in unserer Forschung gezeigten Experimente bewiesen haben, dass große Sprachmodelle verwendet werden können, um E-Mail-Threads zu erstellen, die für Spear-Phishing-Angriffe geeignet sind.“

Kürzlich ergab ein IBM-Experiment, dass ChatGPT Phishing-E-Mails schreiben kann, die fast so überzeugend sind wie von Menschen erstellte E-Mails, und zwar viel schneller.

Viele Phishing-Angriffe

A Bericht Die diese Woche veröffentlichten Zahlen geben Anlass zu den Bedenken. Das Cybersicherheitsunternehmen SlashNext hat herausgefunden, dass in den fast 12 Monaten, seit OpenAI ChatGPT öffentlich zugänglich gemacht hat, die Zahl der Phishing-E-Mails um 1.265 % gestiegen ist, wobei das Credential-Phishing, das der häufigste erste Schritt bei Datenschutzverletzungen ist, um 967 % zugenommen hat.

Bei Credential-Phishing-Angriffen nutzen Kriminelle Phishing-E-Mails oder andere Mittel, um Menschen dazu zu verleiten, persönliche Informationen oder Benutzernamen und Passwörter preiszugeben, wodurch die Angreifer Zugang zu ihren Systemen und Unternehmensnetzwerken erhalten.

Die Autoren des SlashNext-Berichts „State of Phishing 2023“ stellten fest, dass ChatGPT in den ersten Monaten nach seiner Veröffentlichung mehr als 100 Millionen Nutzer erreichte, und fügten hinzu, dass „einige der häufigsten Nutzer von LLM-Chatbots (Large Language Model) Cyberkriminelle sind, die das Tool nutzen.“ Helfen Sie dabei, geschäftliche E-Mail-Kompromittierungsangriffe zu schreiben und gezielte Phishing-Angriffe systematisch zu starten.“

„Wir können Statistiken wie diese nicht ignorieren“, sagte SlashNext-CEO Patrick Harr in einem Stellungnahme. „Obwohl es einige Debatten über den tatsächlichen Einfluss generativer KI auf cyberkriminelle Aktivitäten gibt, wissen wir aus unserer Forschung, dass Bedrohungsakteure Tools wie ChatGPT nutzen. … [A]Dass das Volumen dieser Bedrohungen im Zeitrahmen, in dem ChatGPT eingeführt wurde, um über 1.000 % zugenommen hat, ist kein Zufall.“

Senkung der technischen Barriere

Um den Bericht zu erstellen, analysierten Forscher von SlashNext Threat Labs vom vierten Quartal 2022 bis zum dritten Quartal dieses Jahres Milliarden von Bedrohungen, darunter verlinkte bösartige Anhänge und Nachrichten in natürlicher Sprache in E-Mails, Mobilgeräten und Browsern.

Sie untersuchten auch das Verhalten und die Aktivitäten von Cyberkriminellen im Dark Web, einschließlich der Frage, wie Hacker generative KI-Tools und Chatbots nutzten. Die Forscher befragten außerdem mehr als 300 Cybersicherheitsexperten.

ChatGPT und andere generative KI-Chatbots tragen nicht nur dazu bei, schneller überzeugendere Phishing-Nachrichten zu erstellen – wie IBM festgestellt hat –, sondern senken auch die Hürde für böswillige Akteure, die solche Kampagnen starten möchten. Weniger erfahrene Hacker verfügen nun über die Werkzeuge, um weitaus komplexere Phishing-Angriffe durchzuführen.

„Die Einführung von ChatGPT Ende des Jahres ist kein Zufall bei der exponentiellen Zunahme bösartiger Phishing-E-Mails, da der Einsatz von Chatbots und Jailbreaks zum Anstieg beitrug, da mehr Cyberkriminelle in der Lage waren, schnell raffinierte Angriffe zu starten“, schreiben die Forscher.

Die Notwendigkeit, den Schutz zu stärken

Mika Aalto, Mitbegründer und CEO des Sicherheitsbewusstseins-Trainingsunternehmens Hoxhunt, wies auf die Bedrohung hin, die KI und LLMs wie ChatGPT für Unternehmen darstellen, und fügte hinzu, dass Unternehmen die Verbesserung ihrer Abwehrmaßnahmen gegen Phishing ganz oben auf ihre Sicherheits-To-Do-Listen setzen müssen. Dazu gehört die Integration menschlicher Bedrohungsinformationen mit den „Schützen-Erkennen-Reagieren“-Fähigkeiten eines Unternehmens und die Schulung von Mitarbeitern in großem Maßstab, um Phishing-Angriffe zu erkennen und zu melden.

„KI senkt die technischen Hürden, um ein überzeugendes Profilbild und tadellosen Text zu erstellen, ganz zu schweigen von Code-Malware“, sagte Aalto in einer E-Mail gegenüber Security Boulevard. „Mit der Einführung von KI im Spiel verändert sich die Bedrohungslandschaft jetzt unglaublich schnell.“

Die gute Nachricht sei jedoch, dass KI auch von Verteidigern zum Schutz vor raffinierten Angriffen eingesetzt werden könne, sagte er.

Zu den weiteren wichtigen Erkenntnissen des SlashNext-Berichts gehört, dass 68 % aller Phishing-E-Mails textbasierte BEC sind – Phishing-Angriffe, die auf Organisationen abzielen, um Geld oder Informationen zu stehlen – und dass es in diesem Jahr durchschnittlich 31.000 Bedrohungen pro Tag gibt.

„Menschen sind immer noch der am stärksten angegriffene und verwundbarste Teil jeder Organisation“, schrieben die Forscher. „Die Zunahme mehrstufiger Angriffe zwischen E-Mail-, Mobil- und Kollaborationstools zeigt, wie Cyberangriffe immer ausgefeilter werden, indem sie auf weniger geschützte Kanäle wie Mobilgeräte abzielen. Für Hacker ist Phishing immer noch das effektivste Mittel, um einen Sicherheitsverstoß in einem Unternehmen zu begehen.“