Phishing: Wie KI die Gefahr verändert

Phishing ist wirklich kein neues Problem. Seit jeher versuchen Cyberkriminelle, durch Täuschung an vertrauliche Informationen zu gelangen. Dabei nutzen sie gefälschte E-Mails, Websites oder Nachrichten, die scheinbar von vertrauenswürdigen Quellen stammen. Doch während Phishing-Angriffe an sich schon eine erhebliche Bedrohung darstellen, bringt das Zeitalter der künstlichen Intelligenz (KI) eine neue Dimension von Cyberkriminalität. KI, eine Technologie, die Maschinen komplexere Aufgaben und Lernen ermöglicht, revolutioniert viele Branchen. Und wie bei jeder Technologie gibt es sowohl positive als auch negative Anwendungen. In diesem Artikel versuchen wir die Verbindung zwischen Phishing und KI zu beleuchten und wie diese Kombination die Art und Weise verändert, wie wir über Cybersicherheit denken müssen.

Grundlagen von Phishing

Phishing, ein Begriff, der sich von „fishing“ ableitet, beschreibt den Versuch, durch Täuschung an wertvolle Daten zu gelangen. Ähnlich wie ein Angler versucht, einen Fisch an den Haken zu bekommen, doch statt Ködern verwenden Phisher gefälschte E-Mails oder Nachrichten. Diese E-Mails sehen oft täuschend echt aus und können leicht mit legitimen Nachrichten verwechselt werden. Typischerweise enthalten sie Links zu gefälschten Websites, auf denen die Opfer dazu aufgefordert werden, persönliche Informationen wie Passwörter oder Kreditkartendaten einzugeben.

Doch wie erkennen wir solche Angriffe? Einige Anzeichen können sein: Rechtschreibfehler, ungewöhnliche Absenderadressen oder unaufgeforderte Aufforderungen zur Eingabe persönlicher Daten. Während viele Menschen glauben, sie könnten Phishing leicht erkennen, werden die Angriffe immer raffinierter und sind sehr verbreitet. Opfer von Phishing können von Einzelpersonen bis großen Unternehmen nahezu jeder werden. Über die digitalen Gefahren für Kleinunternehmer und Freelancer könnt Ihr euch hier informieren.

Dazu kommt das immer Webseiten auftreten, deren Aufgabe es ist, Login- oder Bankdaten abzugreifen. Laut dem Phishing Activity Trends Report des Anti-Phishing-Konsortiums APWG, ist die Zahl erkannter Phishing-Webseiten seit Januar 2015 von ca. 31.000 auf ca. 460.000 im Dezember 2022 angestiegen. Auch werden Jahr für Jahre Rekorde gebrochen, was die Anzahl registrierter Phishing-Attacken betrifft. So wurden im Jahr 2022 4,7 Millionen Attacken erkannt.

 

Ein Beispiel einer typischen Phishing-Mail. Ein Werbebanner in gelb und weiß, der Nutzer dazu auffordert, ihr Paket anzufordern. Es gibt einen Button mit der Aufschrift "Fordern Sie Ihr Paket an" und einen Abschnitt, der Informationen darüber gibt, wie man den Status seiner Sendungen verfolgen kann, begleitet von einem weiteren Button "Verfolgen Sie Ihr Paket". Es gibt auch einen Hinweis am unteren Rand über die Möglichkeit, sich von E-Mails abzumelden.
Beispiel einer Phishing-Mail

KI-gestützte Phishing-Methoden

Mit der fortschreitenden Entwicklung der künstlichen Intelligenz haben sich auch die Techniken der Cyberkriminellen weiterentwickelt. KI ermöglicht es ihnen potentiell, Phishing-Angriffe auf ein ganz neues Niveau zu heben. Stellen Sie sich eine Software vor, die in der Lage ist, E-Mails zu verfassen, die genau wie Nachrichten von einem Kollegen, einem Freund oder einer vertrauenswürdigen Organisation klingen. Genau das machen moderne Chat-KIs möglich. Sie analysieren riesige Datenmengen und lernen daraus, wie legitime Kommunikation aussieht. Anschließend generieren sie überzeugende Phishing-Nachrichten, die selbst aufmerksame Leser täuschen können. Doch das ist noch nicht alles. KI kann auch Social-Media-Profile und andere Online-Informationen scannen, um personalisierte Angriffe zu erstellen, die speziell auf ein bestimmtes Opfer zugeschnitten sind. Diese zielgerichteten Angriffe, oft als „Spear-Phishing“ bezeichnet, haben eine alarmierend hohe Erfolgsrate. Auch Deepfakes von Stimme und Aussehen sind Mittel gewisser Phishing-Attacken.

Die Kombination von Phishing und künstlicher Intelligenz stellt eine beispiellose Bedrohung dar. Während traditionelle Phishing-Angriffe oft durch bestimmte Merkmale erkennbar sind, wie etwa grobe Rechtschreibfehler oder verdächtige Links, sind KI-generierte Phishing-Nachrichten oft von echten Nachrichten kaum zu unterscheiden. Das macht sie so gefährlich. Ein weiteres Problem ist die Geschwindigkeit, mit der KI-Systeme arbeiten können. Während ein menschlicher Angreifer Stunden oder Tage benötigt, um eine überzeugende Phishing-E-Mail zu erstellen, kann eine KI dies in Sekunden tun. Und sie kann Tausende solcher E-Mails in kürzester Zeit versenden. Hinzu kommt, dass KI ständig dazulernt. Jeder gescheiterte Angriff trägt dazu bei, dass der nächste noch überzeugender wird. 

Beispiele

So wagte ich mich an ein Experiment. Ich war neugierig, ob und wie einfach es heute sein könnte, mit Hilfe von KI-Technologien eine potenzielle Phishing-Mail zu erstellen. Dazu habe ich das kostenfreie und allgemein verfügbare Tool ChatGPT benutzt. Innerhalb kürzester Zeit erhielt ich eine Antwort. Das Ergebnis war eine überzeugend formulierte E-Mail, die jemanden zu seinem Gewinn eines Smartphones gratulierte und dazu aufforderte, einen Link zu klicken, um den Gewinn zu beanspruchen. 

ChatGPT-Chat:
User: Generiere eine E-Mail, die jemanden zum Gewinn eines Smartphones gratuliert und Sie auf einen Link weiterleitet, auf dem Sie den Gewinn in Anspruch nehmen können.

ChatGPT: Betreff: Herzlichen Glückwunsch! Sie haben ein Smartphone gewonnen!

Liebe/r [Vorname des Empfängers],

wir freuen uns, Ihnen mitteilen zu können, dass Sie der glückliche Gewinner unseres aktuellen Smartphone-Gewinnspiels sind! Herzlichen Glückwunsch zu diesem tollen Preis!

Ihr Gewinn: Ein brandneues [Smartphone-Modell] im Wert von [Wert des Smartphones]. Wir sind sicher, dass Sie mit diesem hochmodernen Smartphone viel Freude haben werden.

Um Ihren Gewinn in Anspruch zu nehmen, klicken Sie bitte auf den folgenden Link:

[Gewinn-Link]

Bitte beachten Sie, dass Sie Ihren Gewinn innerhalb von [Anzahl der Tage, z.B. 14 Tagen] einlösen müssen, um Ihre Teilnahme zu bestätigen. Nach Ablauf dieser Frist verfällt Ihr Gewinn.

Für Fragen oder Unterstützung stehen wir Ihnen gerne zur Verfügung. Sie können uns per E-Mail unter [Ihre Kontakt-E-Mail] oder telefonisch unter [Ihre Kontakt-Telefonnummer] erreichen.

Nochmals herzlichen Glückwunsch zu Ihrem Gewinn! Wir hoffen, dass Sie Ihr neues Smartphone genießen werden.

Mit freundlichen Grüßen,

[Ihr Name]
[Ihre Position]
[Ihr Unternehmen]
[Ihre Kontaktinformationen]
GPT-3.5  | Version vom 25.09.2023

Doch das war noch nicht alles. Mein nächster Schritt in diesem Experiment war es, die generierte E-Mail in ein seriöses HTML-Design zu überführen, das an das Design von LinkedIn erinnert. Wiederum erhielt ich in Windeseile eine Antwort. Diesmal präsentierte ChatGPT mir einen vollständigen HTML- und CSS-Code für das E-Mail-Design. Dieser Code war so gestaltet, dass er das seriöse Aussehen von LinkedIn nachahmte, wodurch die E-Mail für viele Nutzer glaubwürdiger erscheinen könnte. Cyberkriminelle müssen so beispielsweise nur noch das LinkedIn-Logo hinzufügen und so erhält man innerhalb weniger Minuten ein relativ glaubwürdiges E-Mail-Template. Natürlich müsste man als gewiefter Cyberkrimineller noch ein bisschen mehr Aufwand betreiben, um die E-Mails vom LinkedIn so originalgetreu wie möglich nachzubauen.

ChatGPT-Chat:
User: Schreibe mir nun HTML-Code für diese E-Mail. Benutze CSS um das Design so seriös wie möglich zu gestalten. Lehne Sie an das LinkedIn-Design an.
GPT-3.5 | Version vom 25.09.2023
Ein digital gestaltetes E-Mail-Template mit einem blauen Hintergrund, das dem Empfänger gratuliert, ein Smartphone gewonnen zu haben. Die E-Mail enthält Felder für den Vornamen des Empfängers, Details zum Smartphone-Preis und Kontaktinformationen. Es gibt auch einen blauen Button mit der Aufschrift "Gewinn einlösen". Das Design wurde mithilfe von ChatGPT erstellt.
Gerenderter HTML-Code

Abwehrmaßnahmen gegen KI-gestützte Phishing-Angriffe

Prompt Engineering

Hinter dem fortschrittlichen Chatbot ChatGPT steht das renommierte Unternehmen OpenAI. Dieses Unternehmen hat verschiedene Schutzmechanismen in das System integriert, um potenziellen Missbrauch zu minimieren. Ein solcher Mechanismus verhindert beispielsweise, dass das KI-Modell Texte verfasst, die dazu dienen könnten, Furcht beim Leser auszulösen. Trotz dieser implementierten Sicherheitsmaßnahmen gibt es immer noch Methoden, die es ermöglichen, KI-Modelle für weniger wohlwollende Zwecke zu nutzen.

Eine solche Methode ist das Prompt Engineering, bei dem spezifische Eingabeaufforderungen verwendet werden, um bestimmte Antworten von der KI zu erhalten. Dazu gehört die Methode der malicous prompt injection, bei der schädliche Eingabeaufforderungen in das System eingeschleust werden. Forscher des Cyberunternehmens WithSecure zeigen in einer Studie auf, wie solche Techniken in der Praxis angewendet werden können. Insbesondere haben sie untersucht, wie man mithilfe dieser Techniken gefährliche Phishing-E-Mails erstellt, die auf spezifische Individuen oder Gruppen abzielen, bekannt als Spear-Phishing. Darüber hinaus haben sie auch die Möglichkeit untersucht, wie solche Techniken zur Erstellung und Verbreitung von „Fake News“ oder falschen Informationen genutzt werden können.

Tipps gegen Phishing

In einer Zeit, in der KI-gestützte Phishing-Angriffe immer raffinierter werden, ist es unerlässlich, sich aktiv zu schützen. Zum Glück gibt es eine Reihe von Maßnahmen, die sowohl Unternehmen als auch Einzelpersonen ergreifen können. Regelmäßige Schulungen und Aufklärungskampagnen können helfen, Mitarbeiter und Individuen über die neuesten Phishing-Techniken zu informieren. Dabei sollten sie lernen, verdächtige E-Mails zu erkennen und richtig zu reagieren. Weiterhin sind technische Lösungen wie fortschrittliche E-Mail-Filter, die KI nutzen, um Phishing-Versuche zu erkennen, von unschätzbarem Wert. Diese Systeme werden ständig aktualisiert, um den neuesten Bedrohungen einen Schritt voraus zu sein. Schließlich ist es ratsam, Mehrfaktorauthentifizierung zu verwenden, wo immer dies möglich ist. Denn selbst wenn ein Angreifer Zugriff auf Passwörter erhält, bietet diese zusätzliche Sicherheitsebene einen weiteren Schutz.

Das Phishingradar der Verbraucherzentrale bietet eine Plattform, auf der aktuelle Betrugsversuche zusammengefasst werden. Nutzer leiten verdächtige E-Mails an eine spezielle Adresse weiter, die dann die Verbraucherzentrale Nordrhein-Westfalen dann auswertet. Auf Basis dieser Auswertungen informiert die Verbraucherzentrale über neue Betrugsvarianten und bietet zusätzlich umfassende Informationen und Tipps zum Erkennen von Phishing-Mails und zum Schutz vor Betrugsversuchen an.

Diese Checkliste des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bietet Richtlinien zur Erkennung und Abwehr von Phishing-Angriffen. Sie enthält Tipps zum Erkennen verdächtiger E-Mails, zur sicheren Handhabung von Links und Anhängen und zur Verwendung von Zwei-Faktor-Authentifizierung. Ziel ist es, sowohl Einzelpersonen als auch Organisationen vor Phishing-Bedrohungen zu schützen.

Zukunftsausblick

Während KI einerseits dazu beiträgt, Phishing-Angriffe raffinierter und zielgerichteter zu gestalten, bietet sie andererseits auch enorme Möglichkeiten für die Cyberabwehr. Es ist zu erwarten, dass zukünftige Sicherheitssysteme noch stärker auf KI setzen werden, um Anomalien im Datenverkehr zu erkennen und Bedrohungen in Echtzeit zu neutralisieren. Darüber hinaus könnten KI-Modelle entwickelt werden, die das Verhalten von Cyberkriminellen vorhersagen und proaktiv Gegenmaßnahmen ergreifen. Doch eines ist sicher: Der Schlüssel zum Schutz vor KI-gestützten Phishing-Angriffen liegt in der Kombination aus Technologie, Bildung und ständiger Wachsamkeit. Es wird spannend zu beobachten sein, wie sich dieser Bereich in den nächsten Jahren entwickelt und wie Technologie und Mensch zusammenarbeiten, um sich gegen Bedrohungen zu wappnen. Doch auch die Cyberkriminellen werden wohl immer neue Wege entdecken, sodass man sich selbst immer auf dem neuesten Stand halten sollte, um Phishing-Angriffe zu verhindern.


Image via Adobe Stock by bloomicon


Artikel per E-Mail verschicken