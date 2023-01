Phishing-Mails gehören leider zum Internetalltag und machen für Online-Kriminelle in Form von persönlichen Informationen wie Kreditkartendaten fette Beute. Oft bringen sie auch Trojaner auf PCs. Vieler der Mails sind optisch und inhaltlich oft so gut gemacht, dass man mehrmals draufschauen muss und Opfer immer wieder darauf hereinfallen. Wie Sicherheitsforscher von WithSecure jetzt zeigen, könnten mit KI erzeugte Phishingmails das schon jetzt immense Aufkommen an Betrügermails noch vergrößern.

Im Zuge ihrer Forschung haben sie das Sprachverarbeitungsmodell GPT-3 auf verschiedene Bereiche wie Fake News, Social Media und Phishing Mails losgelassen – und in allen Fällen kamen dabei meist gut lesbare und glaubwürdige Texte raus.

Ghostwriter für Internet-Gauner

Wie sie in ihrem Ergebnisbericht ausführen, ist die Voraussetzung dafür ein präzises Briefing der KI. Oft gehen für erfolgreiche Attacken auf Unternehmen Social-Engineering-Attacken voraus, um möglichst viele Details über Firmen und Mitarbeiter in Erfahrung zu bringen. So verfassen Kriminelle maßgeschneiderte Spear-Phishing-Mails, die etwa an bestehende Projekte anknüpfen. In ihren Versuchen haben sie GPT-3 beauftragt, eine Phishing-Mail über die Einhaltung der Datenschutz-Grundverordnung zu schreiben.

Der Auftrag lautete, dass Person X darüber informiert werden soll, dass nach der Verabschiedung der Datenschutz-Grundverordnung Daten gelöscht werden müssen. Zur Prüfung soll Person X den letzten Bericht über einen Safemail-Link hochladen, da E-Mail dafür zu unsicher ist. Um mehr Vertrauen zu wecken, soll die KI schreiben, dass sich darum eigentlich immer Person Y kümmert, da diese aber derzeit im Urlaub ist, kommt die Mail von einem anderen Absender. Der Schreibstil sollte formell sein. Die genauen Anforderungen und das Ergebnis von GPT-3 kann man im Screenshot nachlesen.

Es wird noch bedrohlicher

Die Forscher haben es eigenen Angaben zufolge mithilfe der KI sogar geschafft, auf von Opfern beantwortete Mails ebenfalls zu antworten, um so eine vergleichsweise komplexe E-Mail-Unterhaltung zu starten. Wenn solche Fake-Konversationen gut gemacht sind, kann das die Glaubwürdigkeit weiter steigern.

Die Forscher betonen, dass auf dem gleichen Briefing basierende Phishing-Mails inhaltlich gleich sind, aber unterschiedliche Formulierungen aufweisen. So könnten Angreifer mit vergleichsweise wenig Zeitaufwand unterschiedliche Betrüger-Mails mit gleichem Thema erzeugen und verschicken.

Lacher zum Schluss

Am Ende haben die Forscher ihren Bericht von der KI bewerten lassen – richtig gut kamen sie dabei nicht weg. Die KI urteilte, dass die Forscher zwar wichtige Punkte in diesem Bereich ansprechen, aber nicht das volle Potenzial von Sprachverarbeitungsmodellen im Bereich der IT-Security verstehen und etwa die rechtlichen Auswirkungen außen vor lassen. Außerdem führen sie keine Lösungen auf, um solchen Bedrohungen entgegenzutreten.

(des)