Inhaltsverzeichnis

    GenAI ist nicht das Ende der Welt

    Letzte Woche hatte ich das Vergnügen, an der BSidesVienna und der DeepSec-Konferenz in Wien teilzunehmen. Es gab viele interessante Gespräche, und natürlich war generative KI (GenAI) ein häufiges Thema. In meiner Präsentation habe ich den Wandel hervorgehoben, den GenAI für Cyberkriminelle mit sich gebracht hat, gleichzeitig aber betont, dass es nicht das Ende der Welt ist.

    GenAI hilft bei der Automatisierung

    In meinem Vortrag diskutierte ich auch die Anwendung von GenAI in der Erstellung und Durchführung von E-Mail-Phishing. Dass die Angreifer mittlerweile GenAI nutzen, um die Auswahl des Ziels, die Erstellung und den Versand der Nachricht bis hin zur automatischen Beantwortung zu beschleunigen, überrascht heute niemanden mehr. Und wenn Entwickler GenAI nutzen, um schneller besseren Code zu erstellen, warum soll die Gegenseite nicht Automatisierungsskripts mit Hilfe von ChatGPT und Co. erstellen? GenAI macht die Angreifer effizienter, was schliesslich die Häufigkeit und Volumen ihrer Angriffe erhöht. In Dark-Web-Foren findet man eine ganze Reihe von Anzeigen für solche Dienste.

     
    image-1
     

    Üblicherweise startet eine Phishing-Kampagne damit, dass potenzielle Ziele aus durchgesickerten E-Mail-Listen oder aus dem Mitarbeiterverzeichnis eines Zielunternehmens ausfindig gemacht werden. Sind die Daten einmal strukturiert, lassen sich mit Hilfe der Skripts ganz schnell personalisierte Nachrichten entwerfen, indem sie beispielsweise auf Interessen und Hobbys in sozialen Medien verweisen. Natürlich ist dies keine neue Technik; Tools wie Maltego können solche Aufgaben schon seit vielen Jahren erledigen. Mit GenAI werden diese Fähigkeiten jedoch einem breiteren Publikum zugänglich gemacht.

    A Fool with a Tool...

    GenAI Tools sind, wie der Name schon sagt, Werkzeuge. Wie bei jedem anderen Werkzeug hängen die Ergebnisse in hohem Masse von der Person ab, die das Werkzeug benutzt, und von den Eingabedaten. Wir haben zum Beispiel mehrere Phishing-E-Mails beobachtet, die in schweizerdeutschem Dialekt verfasst waren. Das ist amüsant, denn würde eine Bank oder ein Logistikunternehmen jemals auf Schweizerdeutsch kommunizieren? Natürlich nicht. Wahrscheinlich hat jemand das KI-Tool angewiesen, die zum Zielland passende Sprache anzuwenden, ohne den Fehler zu bemerken.

    Ein wesentlicher Vorteil von GenAI für Angreifer ist die Fähigkeit, mehrstufige Interaktionen zu verarbeiten. Egal, ob es sich um Romance Scams, CEO-Betrug oder Vorschussbetrug handelt, ein KI-Agent kann automatisch und im richtigen Kontext auf jede Frage des Opfers antworten. Wir haben auch schon erlebt, dass Cyberkriminelle mit Hilfe von Reinforcement Learning ihre Nachrichten aktualisieren oder Phishing-Links automatisch austauschen, wenn sie entdeckt werden.

    Kontext ist wichtig

    Es stimmt also, dass Phishing-E-Mails immer persönlicher werden und der Text besser geschrieben ist. Andererseits haben raffinierte Angreifer schon seit Jahrzehnten gezielte Spearphishing-Nachrichten verfasst. Diejenigen, die ihre Verteidigung von den Sprachkenntnissen der Gegenseite abhängig machten, hatten bereits vor GenAI ein grösseres Problem.

    Der Inhalt einer Phishing-E-Mail ist nur ein Merkmal. Am besten werden alle verfügbaren Indikatoren zur Analyse von E-Mails verwendet. Dazu gehören Headers wie SPF, DKIM und DMARC, die für GenAI viel schwieriger zu fälschen sind, genauso wie Daten, die das Verhalten der kommunizierenden Personen erfassen.

    Dieses kurze Beispiel zeigt, warum eine fortschrittliche E-Mail-Sicherheitslösung von entscheidender Bedeutung ist - eine, die mehrere Indikatoren verwendet, um Nachrichten dynamisch zu bewerten, da der Kontext wichtig ist. Wenn Sie mehr darüber erfahren möchten, wie xorlab Ihnen helfen kann, Nachrichten im Gesamtkontext Ihrer Organisation zu bewerten, dann kontaktieren Sie uns für eine personalisierte Demo.