X-Force hat fünf Tipps entwickelt, um ChatGPT darin zu schulen, Phishing-E-Mails zu erstellen, die sich an Mitarbeiter im Gesundheitswesen richten. Bei der Analyse der wichtigsten Themen für Branchenmitarbeiter hob das Modell Aspekte wie berufliches Wachstum, Stabilität und Arbeitszufriedenheit hervor. In Bezug auf die Social-Engineering- und Marketingtechniken, die eingesetzt werden sollten, betonte ChatGPT die Bedeutung von Vertrauen, Autorität und sozialem Beweis. Auch die Bedeutung von Personalisierung, mobiler Optimierung und Handlungsaufforderungen wurde hervorgehoben. Die Modelle schlugen vor, dass Sie im Namen des internen Managers einen Brief senden müssen.

Nachdem ChatGPT seine Version des Briefes vorbereitet hatte, machte sich das Team von Stephanie Carruthers, IBMs Top-Hackerin, an die Arbeit und begann mit Open Source Intelligence (OSINT). Sie suchten nach öffentlich zugänglichen Informationen auf Websites wie LinkedIn, Organisationsblogs und Glassdoor-Bewertungen. Anders als bei der schnellen Ausgabe von ChatGPT haben die Leute sorgfältig über ihre Phishing-E-Mail nachgedacht. Es beinhaltete eine Mitarbeiterbefragung mit „fünf kurzen Fragen, die nur wenige Minuten dauern“ und sollte „diesen Freitag“ zurück sein. Carruthers sagte, ein Team von Leuten habe 16 Stunden gebraucht, um den Brief vorzubereiten.

Beide Briefe wurden an 800 Mitarbeiter eines globalen Gesundheitsunternehmens verschickt. Die Klickrate für eine von Menschen erstellte E-Mail betrug 14 %, verglichen mit 11 % für KI. Bei Chatbot-E-Mails wurde eine höhere Rate verdächtiger Aktivitätsmeldungen beobachtet (59 %), verglichen mit der Meldungsrate bei menschlichen E-Mails, die bei 51 % lag.

Als Gründe für den Sieg nannte Carruthers emotionale Intelligenz, Personalisierung und prägnante Handlungsstränge. Erstens konnte das menschliche Team eine emotionale Verbindung zu den Mitarbeitern herstellen, indem es sich auf ein Beispiel innerhalb des Unternehmens konzentrierte, während die KI ein allgemeineres Thema wählte. Zweitens wurde der Name des Empfängers angegeben. Drittens war das von Menschen erstellte Thema spezifisch („Mitarbeitergesundheitsumfrage“), während das KI-Thema allgemeiner und ausführlicher war („Entdecken Sie Ihre Zukunft: Begrenzte Leistung bei Unternehmen X“). Dies dürfte zunächst Verdacht geweckt haben.

Phishing bleibt die Haupttaktik der Angreifer, weil es wirklich funktioniert. Laut Carruthers hinkt Innovation tendenziell ein paar Schritte hinter Social Engineering hinterher. Diese Taktik ist nach wie vor so erfolgreich, weil sie die Schwächen der Menschen ausnutzt, indem sie sie dazu verleitet, auf einen Link zu klicken oder sensible Informationen oder Daten bereitzustellen. Beispielsweise nutzen Angreifer den Wunsch aus, anderen zu helfen oder erzeugen ein falsches Gefühl der Dringlichkeit, um das Opfer zu schnellem Handeln zu zwingen.

Carruthers wies darauf hin, dass Unternehmen ihre Mitarbeiter darin schulen müssen, über die traditionellen „roten Fahnen“ hinauszuschauen. Es wird beispielsweise angenommen, dass Phishing-E-Mails voller Grammatik- und Rechtschreibfehler sind, aber das ist ein Mythos. Tatsächlich beweisen KI-gestützte Phishing-Versuche häufig Intelligenz. Organisationen müssen Social-Engineering-Programme aktualisieren und Identitäts- und Zugriffsverwaltungssysteme stärken.