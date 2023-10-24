Angreifer scheinen sich fast genauso schnell weiterzuentwickeln wie die Technologie selbst. Tag für Tag schreiten sowohl die Technologie als auch die Bedrohungen rasant voran. Jetzt, im Zeitalter der KI, ahmen Maschinen nicht nur menschliches Verhalten nach, sondern durchdringen auch fast jeden Aspekt unseres Lebens. Doch trotz der zunehmenden Besorgnis über die Auswirkungen der KI ist das volle Ausmaß ihres potenziellen Missbrauchs durch Angreifer noch weitgehend unbekannt.
Um besser zu verstehen, wie Angreifer generative KI ausnutzen können, haben wir ein Forschungsprojekt durchgeführt, das eine kritische Frage beleuchtet: Besitzen die aktuellen generativen KI-Modelle die gleichen Täuschungsfähigkeiten wie der menschliche Verstand?
Stellen Sie sich ein Szenario vor, in dem die KI in einer Phishing-Schlacht gegen den Menschen antritt. Das Ziel? Um zu ermitteln, welcher Kandidat in einer Phishing-Simulation gegen Unternehmen eine höhere Klickrate erzielen kann. Da ich beruflich Phishing-E-Mails schreibe, war ich gespannt auf die Antwort.
Mit nur fünf einfachen Prompts konnten wir ein generatives KI-Modell täuschen, um in nur fünf Minuten äußerst überzeugende Phishing-E-Mails zu entwickeln, die gleiche Zeit, die ich brauche, um eine Tasse Kaffee zuzubereiten. Mein Team braucht in der Regel etwa 16 Stunden, um eine Phishing-E-Mail zu erstellen, und das ohne die Infrastruktur-Einrichtung zu berücksichtigen. Angreifer können sich also potenziell fast zwei Arbeitstage sparen, indem sie generative KI-Modelle verwenden. Und der KI-generierte Phish war so überzeugend, dass er fast den von erfahrenen Social Engineers erstellten Phish übertraf. Aber die Tatsache, dass er überhaupt so gut ist, ist eine wichtige Entwicklung.
In diesem Blog erläutern wir, wie die KI-Prompts erstellt wurden, wie der Test durchgeführt wurde und was dies für Social Engineering-Angriffe heute und morgen bedeutet.
In der einen Ecke hatten wir KI-generierte Phishing-E-Mails mit äußerst raffinierten und überzeugenden Erzählungen.
Prompts erstellen. Durch einen systematischen Prozess des Experimentierens und Verfeinerns wurde eine Sammlung von nur fünf Prompts entwickelt, um ChatGPT anzuweisen, Phishing-E-Mails zu generieren, die auf bestimmte Branchen zugeschnitten sind.
Zunächst haben wir ChatGPT gebeten, die Hauptprobleme für Mitarbeiter in diesen Branchen zu beschreiben. Nachdem wir die Branchen und die Belange der Mitarbeiter als Hauptaugenmerk priorisiert hatten, beauftragten wir ChatGPT, strategische Entscheidungen zum Einsatz von Social Engineering- und Marketingtechniken in der E-Mail zu treffen. Diese Entscheidungen zielten darauf ab, die Wahrscheinlichkeit zu erhöhen, dass eine größere Anzahl von Mitarbeitern auf einen Link in der E-Mail selbst klickt. Anschließend wurde ChatGPT per Prompt gefragt, wer der Absender sein sollte (z. B. jemand intern im Unternehmen, ein Lieferant, eine externe Organisation usw.). Abschließend baten wir ChatGPT, die folgenden Vervollständigungen hinzuzufügen, um die Phishing-E-Mail zu erstellen:
Ich habe fast ein Jahrzehnt Erfahrung im Bereich Social Engineering, habe Hunderte von Phishing-E-Mails erstellt und fand selbst die KI-generierten Phishing-E-Mails ziemlich überzeugend. Tatsächlich gab es drei Unternehmen, die sich ursprünglich bereit erklärten, an diesem Forschungsprojekt teilzunehmen. Zwei davon zogen sich nach der Durchsicht der beiden Phishing-E-Mails komplett zurück, da sie eine hohe Erfolgsquote erwarteten. Wie die Eingabeaufforderungen zeigten, stammte das Unternehmen, das an dieser Forschungsstudie teilgenommen hatte, aus dem Gesundheitswesen, das derzeit zu den am stärksten angegriffenen Branchen gehört.
Produktivitätsgewinne für Angreifer. Während mein Team normalerweise etwa 16 Stunden für die Erstellung einer Phishing-E-Mail benötigt, wurde die KI-gestützte Phishing-E-Mail in nur fünf Minuten mit lediglich fünf einfachen Prompts generiert.
In der anderen Ecke hatten wir erfahrene X-Force® Red Social Engineers.
Mit Kreativität und einer Prise Psychologie erstellten diese Social Engineers Phishing-E-Mails, die ihre Zielpersonen auf einer persönlichen Ebene ansprachen. Das menschliche Element verlieh dem Ganzen eine Authentizität, die oft schwer zu imitieren ist.
Schritt 1: OSINT – Unser Ansatz zur Bekämpfung von Phishing beginnt stets mit der ersten Phase der Beschaffung von Open-Source-Intelligence (OSINT). OSINT ist die Abfrage öffentlich zugänglicher Informationen, die anschließend einer strengen Analyse unterzogen werden und als grundlegende Ressource für die Formulierung von Social-Engineering-Kampagnen dienen. Zu den bemerkenswerten Datenquellen für unsere OSINT-Aktivitäten zählen Plattformen wie LinkedIn, der offizielle Blog des Unternehmens, Glassdoor und eine Vielzahl weiterer Quellen.
Während unserer OSINT-Aktivitäten haben wir erfolgreich einen Blogbeitrag entdeckt, in dem der kürzliche Start eines Wellnessprogramms für Mitarbeiter detailliert beschrieben wird, zeitgleich mit dem Abschluss mehrerer wichtiger Projekte. Ermutigend ist, dass dieses Programm positive Bewertungen von Mitarbeitern auf Glassdoor erhielt, die seine Wirksamkeit und Mitarbeiterzufriedenheit bestätigten. Außerdem haben wir über LinkedIn eine Person identifiziert, die für die Verwaltung des Programms verantwortlich ist.
Schritt 2: E-Mail erstellen – Mit den in unserer OSINT-Phase gesammelten Daten haben wir den Prozess der sorgfältigen Erstellung unserer Phishing-E-Mails eingeleitet. Als ersten Schritt mussten wir unbedingt jemanden mit Autorität verkörpern, um das Thema effektiv anzusprechen. Um die Aura der Authentizität und Vertrautheit zu verstärken, haben wir einen legitimen Website-Link zu einem kürzlich abgeschlossenen Projekt eingebunden.
Um die Überzeugungskraft zu erhöhen, haben wir strategisch Elemente der wahrgenommenen Dringlichkeit integriert, indem wir „künstliche Zeitbeschränkungen“ eingeführt haben. Wir teilten den Empfängern mit, dass die betreffende Umfrage lediglich „fünf kurze Fragen“ umfasse, versicherten ihnen, dass deren Beantwortung nicht mehr als „ein paar Minuten“ ihrer wertvollen Zeit in Anspruch nehmen würde, und setzten eine Frist bis „diesen Freitag“. Dieser bewusste Rahmen diente dazu, die minimale Beeinträchtigung ihrer Zeitpläne zu unterstreichen und den nicht-intrusiven Charakter unseres Ansatzes zu verstärken.
Die Nutzung einer Umfrage als Phishing-Vorwand ist in der Regel riskant, da dies oft als Warnsignal wahrgenommen oder einfach ignoriert wird. Angesichts der von uns erhobenen Daten kamen wir jedoch zu dem Schluss, dass der potenzielle Vorteil die damit verbundenen Risiken überwiegen könnte.
Die folgende redigierte Phishing-E-Mail wurde an über 800 Mitarbeiter eines globalen Unternehmens gesendet:
Nach einer intensiven Runde von A/B-Tests waren die Ergebnisse eindeutig: Die Menschen gingen als Sieger hervor, wenn auch nur mit denkbar knappem Vorsprung.
Obwohl die von Menschen erstellten Phishing-E-Mails die KI übertrafen, war es ein spannender Wettkampf. Hier ist der Grund dafür:
Das KI-generierte Phishing hat nicht nur gegen Menschen verloren, sondern es wurde auch häufiger als verdächtig gemeldet.
Während X-Force den breiten Einsatz von generativer KI in aktuellen Kampagnen noch nicht beobachtet hat, wurden Tools wie WormGPT, die als uneingeschränkte oder halbeingeschränkte LLMs entwickelt wurden, auf verschiedenen Foren zum Verkauf angeboten, die mit Funktionen warben – ein Zeichen dafür, dass Angreifer den Einsatz von KI in Phishing-Kampagnen testen. Auch wenn selbst eingeschränkte Versionen von generativen KI-Modellen durch einfache Prompts zum Phishing verleitet werden können, bieten diese uneingeschränkten Versionen Angreifern in Zukunft möglicherweise effizientere Möglichkeiten, anspruchsvolle Phishing-E-Mails zu skalieren.
Die Menschen haben diesen Wettkampf vielleicht knapp gewonnen, aber die KI verbessert sich ständig. Mit dem Fortschritt der Technologie können wir nur erwarten, dass die KI immer ausgefeilter wird und eines Tages möglicherweise sogar den Menschen übertrifft. Wie wir wissen, passen sich Angreifer ständig an und innovieren. Allein in diesem Jahr haben wir gesehen, dass Betrüger zunehmend von KI generierte Sprachklone verwenden, um Menschen dazu zu verleiten, Geld zu verschicken, Karten zu verschenken oder vertrauliche Informationen preiszugeben.
Auch wenn der Mensch bei emotionaler Manipulation und dem Verfassen überzeugender E-Mails vielleicht noch die Oberhand hat, markiert das Aufkommen von KI beim Phishing einen Wendepunkt bei Social-Engineering-Angriffen. Hier sind fünf wichtige Empfehlungen für Unternehmen und Verbraucher, um gut vorbereitet zu sein:
Der Einsatz von KI bei Phishing-Angriffen fordert uns heraus, unsere Ansätze zur Cybersicherheit neu zu überdenken. Indem wir diese Empfehlungen annehmen und angesichts sich wandelnder Bedrohungen wachsam bleiben, können wir unsere Verteidigung stärken, unsere Unternehmen schützen und die Sicherheit unserer Daten und Mitarbeiter im heutigen dynamischen digitalen Zeitalter gewährleisten.
