„Hi Fr. muller, sie haben gewonen. Jetzt klicken Here.“ Die Zeit, als Phishing-Mails so oder so ähnlich aussahen, ist vorbei. Der größte Treiber für professionelle Phishing-Mails sind textgenerierende KI-Tools wie ChatGPT oder für diesen Einsatz explizit trainierte Tools wie FraudGPT, die automatisiert gigantische Mengen an hochpersonalisierten Nachrichten generieren – und das in unterschiedlichsten Sprachen und Tonalitäten. Doch wie genau nutzen Cyberkriminelle die Technologie und wie kann sich die Verteidigerseite schützen?
Mit Phishing wollen sich Angreifer Zugang zu fremden Systemen oder Netzwerken verschaffen, um dann Organisationen auszuspionieren, zu durchdringen, Daten abzugreifen und häufig Ransomware einzuspielen. Phishing-Mails bilden den Anfang in der Angriffskette, es werden arglose Personen dazu verleitet, sensible Informationen mit Cyberkriminellen zu teilen.
Wie Cyberkriminelle ihre Opfer finden
Ein attraktives Opfer für Hacker ist zahlungskräftig und „nicht zu gut geschützt“. Das trifft häufig auf mittelständische Unternehmen zu, die wirtschaftlich erfolgreich sind, gleichzeitig jedoch nur über begrenzte Cybersecurity-Ressourcen und -Expertise verfügen. Man könnte hier von einem „attraktiven Midmarket“ sprechen. Wie Hacker diese Opfer finden? Im Darkweb werden illegale E-Mail-Listen zu günstigen Preisen angeboten. Solche Listen sind das Resultat von Leaks oder früheren Hacks und enthalten Millionen von Adressen.
E-Mail-Domains wie @web oder @gmx, die auf private Nutzer hindeuten, werden aussortiert, wenn über eine Social-Netzwerk-Analyse nicht direkt eine zugehörige Business-Identität gefunden wird. Übrig bleiben Unternehmensdomains, die direkt auf ein Unternehmen verweisen. Ob diese wirtschaftlich attraktive Opfer darstellen, lässt sich durch einen Abgleich mit Informationen auf Webseiten wie North Data oder anderen feststellen, die frei zugänglich Umsatzzahlen von Unternehmen veröffentlichen.
Phishing nutzt die Schwachstelle Mensch aus. Da ist es praktisch, dass E-Mail-Adressen häufig nach dem gleichen Schema aufgebaut sind: Vorname.Nachname@Unternehmen.Top-Level-Domain. Mithilfe von Software lassen sich über soziale Jobnetzwerke wie Linkedin die dazugehörigen Personen identifizieren, mitsamt ihrer Position im anvisierten Unternehmen. Besonders attraktiv, weil potenziell lukrativ, sind Führungskräfte, Mitarbeitende der Finanzabteilung oder IT-Personal mit besonderen Befugnissen und Zugang zu sensiblen Daten und Systemen. Neben beruflichen Fakten werden teils auch private Interessen auf Profilen des Job-Netzwerks oder verknüpften Social-Media-Accounts veröffentlicht. Zusätzliches Futter für generative KI, die im nächsten Schritt auf Basis der gesammelten Informationen eine hochpersonalisierte Ködernachricht verfasst.
Generative KI spricht fast alle Sprachen
Hier ein Beispiel-Prompt: „Schreibe eine Marketing-E-Mail für ein Dokument zu den Themen IT-Administration und Motorradfahren.“
Die dazu von ChatGPT generierte Nachricht:
„Entdecke die Synergie von IT-Administration und Motorradfahren!
Hallo [Name], ich hoffe, es geht dir gut! Ich möchte dir eine aufregende Möglichkeit vorstellen, deine beiden Leidenschaften zu verbinden! Unsere neueste Veröffentlichung, ‚RideIT: die Symbiose von Technologie und Freiheit‘, ist genau das, wonach du gesucht hast. In diesem exklusiven Dokument zeigen wir, wie IT-Administratoren wie du die Welt der Technologie mit dem Gefühl der Freiheit auf zwei Rädern verbinden können […] Auf der Datenautobahn unterwegs […] Sicherheit im Überholspurmodus […] Klicke [hier] zum Download.“
Ja, die Kombination aus IT-Administration und Motorradfahren ist exotisch. Das Beispiel zeigt jedoch hervorragend, dass Hacker mithilfe von KI maßgeschneiderte Köder für jede Zielgruppe oder Zielperson entwickeln können – ganz egal, wie speziell die Interessen auch sind. Die KI „spricht“ nicht nur fehlerfrei Deutsch, Englisch und mittlerweile fast alle Sprachen wichtiger Zielmärkte, sondern auch meist die individuelle Muttersprache der Empfänger.
Die Technologie spielt geschickt mit den richtigen Buzzwords, Slangs und Fachsprachen und bildet Interessen ab, um die Empfänger so zu einem unüberlegten Klick auf einen maliziösen Link zu verleiten – der dann auf eine Seite der Kriminellen führt. Diese gibt beispielsweise vor, eine Microsoft-Applikation zu sein, die aus Sicherheitsgründen erneut um eine Authentifizierung bittet. Die Daten werden dann an die Bedrohungsakteure weiterleitet, die sich zum Beispiel Zugang zu Postfächern verschaffen, weitere Daten abgreifen oder Geschäftspartnern vorspiegeln, sie seien der Inhaber des Postfachs, um dann Bankverbindungen zu ändern und Überweisungen an ihre eigenen Konten zu veranlassen – Stichwort „Business E-Mail Compromise“.
Das Verfassen von Anschreiben mit einem derart hohen Personalisierungsgrad ist manuell extrem zeitintensiv. Generative KI-Tools wie ChatGPT brauchen dafür nur wenige Sekunden und sind teilweise kostenlos oder preisgünstig online verfügbar. Cyberkriminelle können so massenhaft personalisierte, sehr authentisch aussehende Nachrichten verfassen und ihre Prozesse von der Opferidentifikation bis zum Anschreiben oder Antworten vollautomatisieren.
Wie kann man Phishing erkennen?
Die ernüchternde Antwort lautet: mittlerweile nur sehr schwer. Awareness-Trainings sind weiterhin wichtig, um Mitarbeitende für Cyberrisiken ganz allgemein zu sensibilisieren. Mit KI haben Kriminelle nun ein Tool, das es selbst Sicherheitsprofis schwer macht, Phishing auf diesem Qualitätsniveau im Tagegeschäft zu erkennen. Niemand kann jede URL in jeder E-Mail auf mögliche Abweichungen überprüfen. Die Wahrheit ist: Man muss mittlerweile akzeptieren, dass Phishing früher oder später passieren wird.
Das bedeutet jedoch nicht, dass man sich überhaupt nicht schützen kann. Weil Wachsamkeit nur bedingt hilft, müssen die nachgelagerten Sicherheitsmaßen verstärkt werden. Machine-Learning-basierte Threat Detection und Response-Lösungen, die bei Auffälligkeiten – zum Beispiel im Login-Verhalten – sofort Alarm schlagen und ein erfahrenes Team, das umgehend mit Gegenmaßnahmen kontert, um eine Ausbreitung des Angriffs zu verhindern, sind wichtig wie nie. Unternehmen müssen sich auf solche Szenarien vorbereiten. Wenn interne Expertise und personelle Ressourcen knapp sind, können Sicherheitspartner unterstützen. Denn eines ist klar: Hacker werden KI auch weiterhin nutzen und die Security-Community mit maliziösen Innovationen auf Trab halten.
Sebastian Schmerl ist Director Security Services EMEA beim US-amerikanischen Cybersicherheitsunternehmen Arctic Wolf. Er hat über 15 Jahre Erfahrung im Bereich Cybersecurity und war dabei im Auftrag von Unternehmen wie Daimler, Volkswagen, Bosch, Datev und Bayer tätig.