Einen cyberkriminellen Troll kann man nur bis zu einem bestimmten Grad verschleiern

Das Besondere an der jährlichen Konferenz in Orlando, der KB4-CON, ist, dass sie zum Nachdenken anregt. Jahr für Jahr gelingt es dem Veranstaltungsteam, ein ausgewogenes Verhältnis zwischen Produktaktualisierungen und Vorträgen zu schaffen.

Die Konferenz ist die beste Zeit für alle bei KnowBe4, um zu glänzen, und nichts ist in diesen Tagen glänzender als das Versprechen einer KI-gestützten Zukunft. Eine der häufig diskutierten Fragen war neben der Frage, wie KnowBe4 KI zum Guten einsetzt, wie Angreifer sie zum Schlechten nutzen.

KI steht Cyberkriminellen genauso zur Verfügung wie Unternehmen zur Abwehr eben solcher Kriminalität. Die wichtigste Frage lautet: Wie werden Cyberkriminelle KI nutzen, um ihre Ziele zu verfolgen?

Phishing- und andere Social-Engineering-Angriffe sind die häufigsten Ursachen für Datenschutzverletzungen

Der Verizon Data Breach Investigations Report 2023 zeigt, dass 74 % aller Datenschutzverletzungen auf menschliches Versagen zurückzuführen sind, 49 % auf Zugangsdaten und 24 % auf Ransomware. Menschliches Versagen, Missbrauch von Privilegien, Verwendung gestohlener Zugangsdaten und Social Engineering sind allesamt Facetten des menschlichen Elements. Angreifer nutzen jedoch nur in etwa 10 % aller Fälle Software-Schwachstellen aus, was bedeutet, dass Unternehmen weiterhin gute Arbeit beim Patchen ihrer Systeme leisten und gleichzeitig nicht außer Acht lassen dürfen, dass die Schulung der Benutzer die wichtigste Maßnahme ist.

Phishing macht 44 % aller Vorfälle aus

95 % aller Cyberangriffe sind finanzieller Natur. Um schnell gutes Geld zu verdienen, nehmen Cyberkriminelle entweder mehr Opfer ins Visier (Phishing) oder zielen auf Opfer ab, die durch Vorwände (oft andere Social-Engineering-Methoden) zu lukrativeren Erpressungsplänen führen. Phishing macht dem Bericht zufolge nur 44 % aller Social-Engineering-Vorfälle aus.

Bei den restlichen 56 % handelt es sich um Angriffe unter Vorwand, wie Spear-Phishing oder über soziale Medien und andere Formen der Kompromittierung von Geschäfts-E-Mails (BEC). BEC-Vorfälle haben sich laut dem Bericht 2023 fast verdoppelt und gehören zu den folgenreicheren Angriffen. Da es sich im Wesentlichen um Angriffe unter einem Vorwand handelt, können sie der Vorläufer für Spear-Phishing, die Kompromittierung von Anbieter-E-Mails und andere Taktiken sein, mit denen schwerwiegende Sicherheitsverletzungen erreicht werden.

Social-Engineering-Angriffe führen zu Datenverletzungen und Ransomware-Angriffen

Unabhängig von der Methode ist der Einstiegspunkt in 98 % der Fälle eine E-Mail. Die Kernfrage ist, wie Angreifer aus ihrem ersten Zugang Geld machen. Nach dem ersten Einstieg gibt es mehrere Wege: (1) Zugang zum Posteingang des Opfers, (2) Versuch, das Opfer von einer vorteilhaften Aktion zu überzeugen, z. B. dem Austausch von Bankdaten, und (3) eine Kombination dieser Schritte zur Vorbereitung von Speer-Phishing-Angriffen oder anderen Formen von BEC.

Was nicht übersehen werden darf, ist, dass die Angreifer häufig Zwischen- oder Nebenhandlungen durchführen. Laut dem Verizon-Bericht geht es dabei um die Beeinträchtigung der Integrität und Vertraulichkeit von Servern. Vertraulichkeitsangriffe sind Datenverletzungen. Integritätsangriffe implizieren weitreichende Berechtigungen. So können Angreifer Ransomware-Angriffe starten.

Daher überrascht es nicht, dass laut dem IBM Cost of a Data Breach Report 2023 die Angriffsvektoren Phishing und gestohlene oder verlorene Anmeldedaten die häufigsten Zugangspunkte für Datenschutzverletzungen sind. BEC gehört ebenfalls zu den kostspieligeren Angriffsvektoren, ist aber im Moment weniger verbreitet.

Cyberkriminelle setzen auf altbewährte Phishing-E-Mails

Das KnowBe4-Forschungsteam für Phishing-Bedrohungen berichtet regelmäßig über Phishing-Trends. Ihre Beobachtungen folgen meist einem bekannten Muster, das auch anderswo zu beobachten ist. Zum Beispiel verbietet Microsoft die Verwendung von Makros. Kurz darauf beginnen die Angreifer, andere Dateiformate zu verwenden, um ihre Nutzlast zu verpacken. Ein anderes Beispiel ist, wenn E-Mail-Filter gut darin werden, bösartige Links zu erkennen.

Die Betrüger verwenden stattdessen QR-Codes, die von den Filtern oft nicht erkannt werden. Phishing-E-Mails folgen auch saisonalen Trends, wie z. B. der Steuersaison. Betrüger greifen auch neue Technologien auf, vor allem dann, wenn viele Menschen damit noch nicht vertraut sind, z. B. die Verwendung der Multifaktor-Authentifizierung in vielen Unternehmen.

Diese Beobachtungen zeigen, dass Cyberkriminelle keine ausgeklügelten Methoden oder neuartige Technologien verwenden müssen. Die niedrig hängenden Früchte, die leicht zu treffenden Personen, sind oft ihr bevorzugter Ansatz. Der zweite Grund für diesen Ansatz ist die willkommene Selektionsverzerrung, die damit einhergeht. Eine selbst gewählte Gruppe potenzieller Opfer fällt auf die Phishing-E-Mail herein.

Wenn diese E-Mail nicht besonders raffiniert war, können die Angreifer davon ausgehen, dass ihre potenziellen Opfer sich nicht gut mit den roten Fahnen des Phishings auskennen oder wissen, wie sie sich gegen Social Engineering wehren können. Selbst wenn dieser Weg nicht direkt zu Entscheidungsträgern führt, kann ein erster Zugang zu einer Organisation hergestellt werden. Daraufhin können Angriffe unter Vorwand folgen.

Generative KI ist noch nicht weit verbreitet, aber das wird sich ändern

Generative KI ist hervorragend in der Lage, große Mengen an Informationen zu verarbeiten und kohärente Texte zu erstellen. Sie eignet sich zwar hervorragend zum Schreiben personalisierter Marketingtexte, aber Betrüger brauchen oder wollen oft keine grammatikalisch perfekten, langatmigen und umfassenden E-Mails.

Selbst bei Angriffen unter einem Vorwand, z. B. bei der Kompromittierung von Geschäfts-E-Mails, ist der Einsatz von generativer KI begrenzt. Die Kompromittierung von Geschäfts-E-Mails erfordert eine personalisierte Interaktion, mit der versucht wird, ein Opfer zur Preisgabe von Anmeldedaten oder zum Austausch von Bankkontoinformationen zu bewegen. Die umgangssprachliche und wortkarge Kommunikation im Chat-Stil ist jedoch keine Stärke der generativen KI.

Das bedeutet, dass herkömmliche Betrugs-E-Mails, die den oben genannten Trends folgen, kaum von generativer KI profitieren können. Angreifer haben oft Zugang zu großen Bibliotheken mit geeigneten Vorlagen aus früheren Einbrüchen, und es gibt mehr legitim aussehende E-Mail-Inhalte im Internet. Mit diesen Vorlagen ist es relativ einfach, eine Phishing-E-Mail zu fälschen, die einen QR-Code-Betrug auslöst, um MFA-Anmeldedaten zu stehlen. Wenn Angreifer MFA-Betrügereien mit künstlicher Intelligenz generieren würden, würde die E-Mail wahrscheinlich sehr klobig und seltsam klingen.

Um diese Punkte zu verdeutlichen, folgen nun ein paar Beispiele. Bei KnowBe4 wurden Phishing E-Mails schon analysiert, lange bevor generative KI populär wurde.

Einen cyberkriminellen Troll kann man nur bis zu einem bestimmten Grad verschönern

Hält sie das davon ab, es zu versuchen? Ganz und gar nicht. Angreifer beginnen, generative KI für die Gestaltung von E-Mails zu nutzen, wie ein Beispiel aus der Abteilung für Bedrohungsforschung zeigt.

Abbildung 1 - Eine personalisierte Phishing-E-Mail, die wahrscheinlich von einem LLM erstellt wurde

Was für eine Geschichte, könnte man sagen. Es gibt eine Social Engineering-Bedrohung für alle Mitarbeiter. Glücklicherweise hat sich das Unternehmen für Norton LifeLock entschieden, um seine Mitarbeiter zu schützen. Aufgrund seiner Benutzerfreundlichkeit kann sich jeder mit den Anmeldedaten seines E-Mail-Kontos anmelden. Das zentrale Versprechen? Nach der Aktivierung durch die Angabe der Anmeldedaten überwacht das Tool die Konten der Mitarbeiter ständig und bietet so mehr Sicherheit.

Und es kommt noch besser. Wer bereits ein privates Konto besitzt, kann eine Rückerstattung beantragen. Abschließend wird noch darauf hingewiesen, dass der Angriff so schwerwiegend war, dass er landesweit in den Nachrichten zu sehen war, was aber nicht bedeutet, dass regelmäßig authentifizierte Nachrichten folgen werden.

Hört sich nicht richtig an? Ja, hier gibt es ein paar Warnsignale. Erstens würde der Arbeitgeber den Mitarbeiter niemals auffordern, seine E-Mail-Anmeldedaten für einen anderen Dienst zu verwenden. Zweitens würde ein Dienst, der allen Mitarbeitern zur Verfügung steht, wahrscheinlich keine separate Aktivierung erfordern. Drittens fordert die E-Mail dazu auf, etwas zu tun, was man zuvor noch nicht getan hat. Viertens: Die Vorstellung, dass ein Social-Engineering-Angriff aufgrund von Fehlinformationen landesweit für Schlagzeilen sorgt, erscheint unwahrscheinlich. Die meisten Angreifer sind auf Gewinn aus, und die Verbreitung von Desinformationen ist keine effektive Methode, um Geld zu erpressen.

Länger und geschliffener, aber nicht neu

Wie das vorangegangene Beispiel zeigt, können ablenkende und überflüssige Informationen ein Verräter sein. Manchmal ist mehr Information auch zu viel Information. Das richtige Gleichgewicht zu finden, ist der Schlüssel zur Erhöhung der Authentizität und Glaubwürdigkeit von Phishing-E-Mails. Im Folgenden sind zwei Beispiele für Mitteilungen zur Personalpolitik aufgeführt, die teilweise den Anschein erwecken, von einem LLM erstellt worden zu sein. Welches Beispiel scheint glaubwürdiger?

Abbildung 2 - Beispiele von LLM-generierten, nicht-personalisierten E-Mails

Die linke E-Mail ist dem KnowBe4-Team nach überzeugender. Sie ist einigermaßen gut geschrieben, mit klaren und prägnanten Sätzen, die eine plausible Kommunikation darstellen. Allerdings ist die E-Mail nicht frei von Warnhinweisen. Es werden starke Worte gewählt, wonach man „unterschreiben muss“ und dies „sofort“ tun soll. Es wird ein Gefühl der Dringlichkeit vermittelt, gefolgt von der Drohung, dass Personen, die der Aufforderung nicht nachkommen, einzeln kontaktiert werden.

Die E-Mail auf der rechten Seite ist ebenfalls gut formuliert, aber der Text wirkt übermäßig langatmig. Was abschreckt, ist die Menge an Details in der E-Mail. Wenn es einen Link zu einer Richtlinie gibt, warum sollten dann detaillierte Informationen zum Inhalt in die E-Mail aufgenommen werden? Dieses Beispiel verdeutlicht, dass die Festlegung und Einhaltung eines Kommunikationsstils im Unternehmen eine wichtige Komponente der Sicherheitskultur ist. Erwartungen an die Standardkommunikation im Unternehmen können helfen, betrügerische E-Mails zu erkennen.

Dies spiegelt viele mutmaßlich von LLM generierte Phishing-E-Mails wider, von denen Kunden berichten. Es fallen mehr langwierige E-Mails auf, aber die Betrügereien und Taktiken sind nicht neu oder einzigartig in der Zeit nach ChatGPT. Sie ähneln vielmehr den Betrügereien, die in den letzten Jahren aufgedeckt wurden.

Es ist anzunehmen, dass die LLM-gestützten Versionen dieser Betrügereien nicht furchterregender sind als die bestehenden E-Mails. Wer in der kürzeren Version einer E-Mail Warnhinweise erkennt, wird von einer längeren Version wahrscheinlich nicht überzeugt. Deshalb erweist es sich als wirksam, die Menschen darin zu schulen, kritisch zu denken und auf E-Mail-Anfragen zu achten, die auf andere Weise ungewöhnlich oder seltsam erscheinen.

LLMs sind nicht gut darin, sich als CEOs auszugeben (bis jetzt)

Ein weiterer Bereich, in dem beobachtet wird, dass LLMs im Vergleich zu handschriftlich verfassten Botschaften zumindest im Moment nicht so gut abschneiden, ist der CEO-Betrug. Diese Art von Betrug beruht auf prägnanter und direkter Kommunikation, ein Stil, der typischerweise mit CEOs assoziiert wird. Angreifer, die versuchen, CEOs mit LLMs zu imitieren, haben dies noch nicht ganz gemeistert.

Abbildung 3 - Beispiele für E-Mails vom Typ CEO- Betrug

Sich als Geschäftsführer auszugeben, kann angesichts der umfangreichen Aufgaben und der maßgeblichen Position sehr effektiv sein. Betrüger müssen keine Autorität aufbauen, sie haben sie von Natur aus. Jede Kommunikation kann sehr aufschlussreich sein, wie das Beispiel auf der linken Seite zeigt. Die Kommunikation ist einfach, direkt und auf den Punkt gebracht. Die Sprache ist unkompliziert, zwanglos und konversationell.

Das Beispiel auf der rechten Seite ist langatmig und enthält seltsame, scheinbar unnötige Erklärungen. Ein CEO muss in der Regel nicht den Zweck einer Geschenkkarte erklären. Die Sprache ist auch zu förmlich, und die Verwendung des Verbs „korreliert“ ist ungewöhnlich. Der Nachricht fehlt es an der Finesse, die ein geschickter Betrüger verwenden würde.

Abbildung 4 - Phishing der alten Art aus den Jahren 2017-2018

Um dies zu verdeutlichen, hier ein Beispiel für eine klassische E-Mail. Sie stellt die Art von Interaktion dar, die vernünftigerweise stattfinden könnte. Ein Gespräch entwickelt sich auf natürliche Weise von einer einfachen Anfrage zu einer direkten, sympathischen und nachvollziehbaren Bitte. Dies ist eine durchdacht gestaltete E-Mail.

In Zukunft werden Angreifer LLMs nutzen, um eine Vielzahl von Interaktionen zu erzeugen. Es besteht kein Zweifel daran, dass die heutigen LLM-Modelle bei kürzeren, dialogorientierten Phishing-Angriffen nützlich sein können, insbesondere wenn diese Angriffe in einer Fremdsprache durchgeführt werden. Doch schon bevor LLMs weit verbreitet wurden, begannen die Angreifer, sich im Schreiben von Konversationen zu verbessern. Es war zu beobachten, dass die Antworten natürlicher und flüssiger waren und den früheren Standardtext ersetzten.

In Zukunft wird es mehr KI-generierte Phishing-E-Mails geben

Die Bedrohungsforschung von KnowBe4 sieht eine steigende Anzahl von wahrscheinlich KI-generierten E-Mails, und auch Abnormal Security hat dies im Jahr 2023 festgestellt. Es ist erwähnenswert, dass das Team für Bedrohungsforschung nur E-Mails untersucht, die von Kunden gemeldet wurden, was bedeutet, dass diese E-Mails den Sicherheitsstapel eines Unternehmens passieren, ohne von E-Mail-Filtern als Phishing kategorisiert zu werden. Sie gelangten in die Posteingänge der Mitarbeiter und wurden von Mitarbeitern, die mit der KnowBe4-Plattform geschult wurden, an das Infosec-Team gemeldet.

Die Frage, ob die jüngste Flut von Phishing-E-Mails auf den Einsatz von KI zurückzuführen ist, kann nicht beantwortet werden. Die obige Analyse deutet darauf hin, dass ein Teil der E-Mails, die in den Posteingängen der Menschen landen, von KI generiert werden. In Zukunft werden die Angreifer weiterhin KI einsetzen und sogar LLMs für ihre eigenen Zwecke entwickeln. LLM-generierte Phishing-E-Mails werden in den Posteingängen der Menschen landen. Wie genau sich die Qualität der verschiedenen Täuschungsmanöver entwickelt, bleibt abzuwarten. Wie festgestellt wurde, können nicht alle Verwendungen von LLM-generiertem Text eine überzeugendere Kommunikation bieten.

Unabhängig von der bevorzugten Kommunikationsmethode oder davon, ob eine E-Mail von einer KI generiert wurde, ist es immer am besten, eine E-Mail oder eine Anfrage, die ungewöhnlich und unerwartet erscheint, über einen zweiten Kanal zu verifizieren. Dies ist eine alte Lektion, die jetzt noch wichtiger wird. Es ist nicht mehr zeitgemäß auf Fehler wie fehlerhafte Grammatik, Rechtschreibfehler oder falsche E-Mail-Adressen zu achten. Man muss lernen, seinem Bauchgefühl zu vertrauen und Versuche der emotionalen Manipulation zu erkennen.