ChatGPT : Werden Laien zu Profi-Cyberkriminellen?

In erster Linie trägt der einfache Zugang zur KI-Tools wie ChatGPT dazu bei, bereits vorhandene Angriffsmethoden und Online-Betrugsmaschen zu perfektionieren. Langfristig wird Künstliche Intelligenz (KI) uns komplett neue Methoden und Angriffsvektoren aufzeigen. Dies lässt sich an den Beispielen Spoofing, Phishing und Business-E-Mail-Compromise erklären:

Dabei verschleiert ein Angreifer seine Identität so weit, dass ein betroffenes Opfer die echte Identität nicht verifizieren kann. In der Umsetzung wird dies anhand von gefälschten E-Mails, Anrufer-IDs oder nachgeahmten Websites vollzogen. Das Gefährliche an Spoofing ist, dass das Opfer meint, es dabei mit einer bekannten Person oder einem bekannten Unternehmen zu tun zu haben; eine Praxis, in der das Vertrauen ausgenutzt wird, um sensible Informationen zu stehlen oder unerwünschte Aktionen auszuführen.

Neue Perfektionierung alter Methoden

Ein im Arbeitsalltag typischer Fall ist, dass der vermeintliche Unternehmenschef an die Finanzabteilung eine E-Mail, Messenger-Nachricht oder SMS schickt, um kurzfristig eine große Überweisung in Auftrag zu geben. Etwaige aufflackernde Zweifel seitens Mitarbeiter an der Transaktion werden durch klare Ansagen im Wortlaut der Führungsperson zerstreut. ChatGPT 4.0 ermöglicht es Cyberkriminellen dabei, ihre Betrugspraktiken so zu professionalisieren, dass Sprachbarrieren in Schriftform für Cyberkriminelle keine große Herausforderung darstellen.

Oder anders formuliert: IT-Angreifer aus dem Ausland können anhand dieser neuen Technologien problemlos und fehlerfrei deutschsprachigen Zielen Nachrichten schicken, ohne dass fehlende Kenntnisse des Cyberkriminellen auffallen. Inhalte werden so „echter“. Die Unterscheidung zwischen legitimen und illegitimen Traffic deutlich komplexer.

DNA von Cyberattacken – Relevanz von Sprache für IT-Sicherheit

Das Hauptproblem bei Spoofing aus Sicht der Kriminellen lautet nämlich: Sie kommen meist aus einem anderen Sprachumfeld als ihre Opfer, wenden sich aber mit einer – naturgemäß sprachlichen – Botschaft an uns. Viele dieser Benachrichtigungen sind derart fehlerhaft verfasst, dass sie keine große Glaubwürdigkeit besitzen. Unternehmen, Plattformen und Netzbetreiber konnten diesen Angriffstyp lange Zeit als wichtige Akteure innerhalb der Telekommunikation rechtzeitig antizipieren, erkennen und abwehren.

Doch selbst IT-Angreifer, die mehr Zeit investieren, stolpern erstaunlich oft über Fehler bei Rechtschreibung und Grammatik. Dank KI-basierten Sprachmodellen, wie sie bei ChatGPT eingesetzt werden, gehört dies nun leider der Vergangenheit an. Texte werden dort astrein vorformuliert, zumindest so, dass sie auch vom Chef einer Bank oder Service-Mitarbeitern von Dienstleistern wie Paypal kommen könnten. Den aufwändigsten Teil der Arbeit der Cyberkriminellen – den sie bislang über andere Wege bewältigen oder an Dritte auslagern mussten – erledigt nun die KI.

Auf dieser Basis können zudem wesentlich bessere Massen-Benachrichtigungen getätigt, gefälschte E-Mails oder Massen-Spams versendet sowie Fake-Websites gebaut und sprachlich versiert ausformuliert werden – genauso gut wie eine individuelle Konversation mit einem Opfer. Fremdsprachen stellen daher keine Hürde mehr da.

Ein Schaden von 107 Millionen US-Dollar – offiziell

Für das Jahr 2022 hat das FBI einen maßgeblichen Anstieg von Spoofing-Angriffen verzeichnet, bei denen Betrüger sich als Regierungsbehörden, Finanzinstitute oder andere vertrauenswürdige Organisationen und Personen ausgeben.

Diese Art von Angriffen können auch dazu verwendet werden, um schädliche Software auf den Computer des Opfers zu installieren, oder um Zugang zu einem Netzwerk zu erhalten. Daher kommt Spoofing als Teil des „Social Engineerings“-Phänomens selten allein, sondern oft im Zusammenhang mit Phishing, Malware-Verbreitung, Betrug und Identitätsdiebstahl.

Der „Internet Crime Report 2022“ des FBI verzeichnete während des Vorjahres ganze 20.649 Spoofing-Fälle die einen Verlust von insgesamt 107 Millionen US-Dollar verursachten (Tagesspiegel Background berichtete). Doch wie so oft, wenn es um Schäden geht: Die Dunkelziffer und damit auch die Summe der Schäden dürfte um ein Vielfaches höher sein – und künftig weiter zunehmen. Denn kriminelle Hacker nutzen jede neue technische Errungenschaft für ihre Zwecke und ChatGPT hebt auch ihr Vorgehen auf eine neue Stufe. Cyberangriffe werden so professioneller, effizienter und demnach anspruchsvoller abzuwehren.

ChatGPT erfindet von sich aus noch keine neuen Bedrohungen, doch von jetzt an wird es für IT-Angreifer auch deutlich einfacher, Schadcodes so zu kombinieren oder auszubauen, dass Bedrohungen von bestehenden Sicherheitssystemen nicht mehr als solche erkannt werden.

Wie man sich vor Spoofing schützen kann

Das erfordert ein sofortiges Umdenken in Bezug auf Online-Sicherheit, zumal sich das Zeitfenster zwischen der Attacke und deren Erkennen beziehungsweise Neutralisieren wieder in Richtung der Angreifer verschiebt. Um sich vor KI-generiertem Spoofing zu schützen, gibt es glücklicherweise mehrere Methoden. In blinden Aktionismus oder gar Angst zu verfallen, wäre vorab der schlechteste Ratgeber.

• Kontrollieren Sie die E-Mail und E-Mail-Adresse des Absenders genau.
• Verifizieren Sie den Inhalt der Nachricht: Wenn Sie eine verdächtige E-Mail oder Nachricht erhalten, überprüfen Sie den Inhalt sorgfältig auf Fehler oder verdächtige Links. Seien Sie misstrauisch vor allem bei Botschaften, die zu einem eher unerwarteten Zeitpunkt kommen und überraschende und bedeutende Inhalte haben, etwa die rasche, hohe Überweisung wegen eines Notfalls.
• Verifizieren Sie den Absender: Rufen Sie, gerade wenn es um hohe Transaktionen auf Anweisung des „Chefs“ geht, zurück – auch wenn dies ausdrücklich vom Absender in der Betrugs-E-Mail untersagt wird.
• Nutzen Sie app-basierte Zwei-Faktor-Authentifizierung: Diese Schutzmaßnahme verhindert, dass ein Angreifer direkt auf Ihr Konto im Rahmen des Spoofings zugreifen kann, selbst wenn Ihr Passwort bereits bekannt ist.
• Sicherheitslösungen präventiv, nicht reaktiv implementieren. Denn ist der digitale Schaden schon da, können die Folgen existentielle Bedrohungen mit sich ziehen.

Regelmäßige Software- und Sicherheitsupdates sollten ohnehin selbstverständlich sein. Das Wichtigste jedoch ist die Sensibilisierung für die Gefahren des Social Engineerings, bei dem Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autoritäten ausgenutzt werden, um Personen geschickt zu manipulieren. Hilfreich sind hier auch klare Vorgaben im Unternehmen; etwa wie selbst in Notfällen mit Transaktionen umgegangen wird.

Markus Cserna ist Gründer und CTO von Cyan Digital Security, einem Anbieter von Cybersicherheitslösungen.