Sonntag, Juni 30, 2024

Wie ChatGPT von Cyberkriminellen eingesetzt werden könnte



ChatGPT als Einfallstor für Hacker und Scammer? Stanislav Protassov, Executive Board member und Mitbegründer des Cybersicherheitsexperten Acronis, kommentiert diese neue Herausforderung für die Sicherheit in Interviewform.

Wie wahrscheinlich ist es, dass ChatGPT von Hackern und Betrügern ausgenutzt wird? Beispielsweise, um Täuschungen glaubwürdiger zu machen? Werden die Angreifer dadurch mehr Informationen von ihren Opfern extrahieren können?

Im Wesentlichen kann ChatGPT dabei helfen, Phishing-Texte und einfache Schadprogramme schneller und besser automatisiert zu erstellen. Wirklich ausgefeilte neue Malware wird man damit dagegen vorerst nicht erstellen können. Und auch die Bedrohungslandschaft wird nicht wesentlich verändern, abgesehen von der erhöhten Häufigkeit. KI-Lösungen wie ChatGPT werden manchmal auch als „stochastische Papageien“ bezeichnet, weil sie als Sprachmodelle mit enormen Textmengen trainiert wurden und sie gut darin sind, schnell viele Texte zu generieren. Allerdings spielen Textinhalte bei Phishing-Angriffen eher selten allein die entscheidende Rolle.

Häufig sind weitere visuelle bzw. grafische Eigenschaften wichtig, die ChatGPT nicht generieren kann. Beispielweise, um E-Mail-Alarmmeldungen wie vermeintliche Banküberweisungen aussehen zu lassen. Während die Betrüger mit ChatGPT auch leichter Texte in anderen Sprachen generieren können, ist es nicht ausgemacht, dass diese damit auch besser bzw. überzeugender werden. Per KI erzeugte Texte können für die Opfer aber evtl. dadurch gefährlich werden, dass damit die Sprachmodelle der Anti-Phishing-Lösungen unterwandert werden, die darauf trainiert sind, bösartige Absichten in den E-Mail-Texten zu erkennen. Vermutlich werden die Anti-Phishing-Algorithmen dann zwar darauf geschult werden, von ChatGPT generierte E-Mails zu erkennen. Aber dies wird dann wohl auch eine weitere Runde im ewigen Wettkampf zwischen Angriffs- und Verteidigungsmethoden einläuten.

Es gibt aber noch weitere Möglichkeiten, wie ChatGPT von Cyberkriminellen eingesetzt werden könnte:

- Zur Analyse von Quellcodes, um Schwachstellen (z.B. SQL-Injektionen, Pufferüberläufe) zu finden. Das ist grundsätzlich nichts Neues. Durch ChatGPT können unerfahrene Angreifer aber schneller ans Ziel kommen.

- Zum Schreiben von Exploits. Allerdings haben kürzliche Tests gezeigt, dass dies derzeit nicht wirklich gut funktioniert.

- Zur Code-Automatisierung. Damit könnten insbesondere Anfänger ihr Vorgehen schneller automatisieren (beispielweise durch Befehle wie „Schreibe mir ein Skript, um mich mit einem Passwort-Dump bei Twitter anzumelden“).

- Zum Schreiben von Malware. Dies wird jedoch teilweise durch ChatGPT-Richtlinien blockiert. Aber einfachere Makros sind trotzdem möglich. Das bringt an sich keine neue Gefährdung, weil diese auch über Google auffindbar sind. Aber auch hier bedeutet es, dass die breite Masse leichter darauf zugreifen kann.

- Chatbots für Social Engineering-Angriffe. Dies könnte ein neuer Faktor für entsprechende Angriffe (wie Vorschussbetrügereien von nigerianischen Banden [„419-Scams“], Kompromittierung von Geschäfts-E-Mails [„BEC-Angriffe“], Liebesschwindeleien [„Romance Scams“] oder betrügerische Job-Portal-Anbahnungen [„LinkedIn Target Grooming“]) werden, die mehrere Interaktionsrunden mit den Opfern erfordern. Diese könnten nun leichter automatisiert und skaliert werden, weil sich diese Interaktionen für die Opfer wie echte Gespräche anfühlen, während die Kriminellen kaum noch (weniger als in 1 % der Fälle) persönlich eingebunden sind.

Wie wahrscheinlich ist es, dass es soweit kommt – und das auch häufiger?

Es passiert bereits: So gibt es Berichte, dass ChatGPT schon von sogenannten „Red Teams“ (Sicherheitsteams für Penetrationstests) eingesetzt wird, um Phishing-E-Mails zu generieren. Und laut einiger Untergrundforen wurde ChatGPT bereits verwendet, um Password Stealer in der Programmiersprache Python zu erstellen. Andererseits wird ChatGPT von OpenAI fortlaufend aktualisiert und angepasst, um das Risiko zu verringern, dass die KI missbraucht wird, um Schäden (egal ob in der physischen oder virtuellen Welt) anzurichten. 

Wie können sich Unternehmen und speziell auch Einzelpersonen vor solchen Betrügereien schützen? Was sind die wichtigsten Indikatoren, auf die man achten sollte?

Da ChatGPT mit bereits vorhandenen Texten trainiert wurde, werden neu generierte Texte nicht „besser“ sein. Daher gelten für die Erkennung potenziell schädlicher E-Mails weiterhin die üblichen Täuschungsindikatoren – wie etwa verdächtige Dringlichkeitsbehauptungen. Genauso wie bestimmte Schlüsselbegriffe („dringend“, „Überweisung“, „sofort handeln“, „Passwort eingeben“ etc.), die Phishing-E-Mails als besonders eilig und wichtig ausgeben. Mit ChatGPT wird es auch nicht auf neue, magische Weise möglich, den Anschein zu erwecken, dass eine E-Mail von Ihrer Bank kommt. Die Betrüger werden weiterhin auf ihre altbewährten Methoden (wie leicht verwechselbare E-Mail-Adressen und Domain-Namen) zurückgreifen müssen. Achten Sie daher auch auf Fälschungsindikatoren in den E-Mail-Headern oder URLs sowie auf Informationen von Anti-Spam- bzw. E-Mail-Authentifizierungsverfahren wie SPF, DKIM oder DMARC. Denn diese geben Auskunft darüber, von wo und über welchen Server eine E-Mail kam und für welche Domain dieser Server konfiguriert wurde. Dadurch können selbst Phishing-E-Mails mit perfekt gemachten Texten leicht entlarvt werden, wenn diese von einem entsprechenden E-Mail-Konto (wie Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.) gesendet wurden.

Können Sie Szenarien bzw. Beispiele dafür nennen, wie KIs vom Typ ChatGPT eingesetzt werden, um normale Menschen zu hintergehen oder diese sogar zu hacken? Und wie sollte man sich bei diesen Szenarien am besten verhalten?

ChatGPT kann nicht zum „Hacken von Menschen“ verwendet werden, sondern ist nur ein Sprachmodell zum Generieren von Texten. Manchmal kann man damit scheinbar vernünftige Unterhaltungen führen. Aber es gibt dann ein einfaches Mittel, um zu erkennen, dass man nicht mit einem Menschen redet: geben Sie unsinnige Aufforderungen ein! ChatGPT wird hier anders reagieren als ein Menschen und versuchen, den Prozess trotzdem zu verarbeiten und darauf – meist unsinnig – antworten. ChatGPT macht es für mehr Menschen ohne technische Kenntnisse leichter, in die Cyberkriminalität einzusteigen. Aber moderne Bedrohungen wie APT-Angriffe (Advanced Persistent Threat) werden schon seit Jahren automatisiert, so dass sich hier nichts Wesentliches verändert. Bisher haben wir also insbesondere folgende Szenarien gesehen: Das Schreiben von automatisierten und/oder überzeugenden Texten für Phishing-E-Mails und BEC-Betrugsmaschen. Derzeit fehlt dem System für seine Ausgaben aber eine aktuelle Internetanbindung. Die Angreifer werden diese aber zur E-Mail-Personalisierung benötigen, um zum Beispiel Daten von LinkedIn einbinden zu können.

Mit KI-Sprachmodellen wie ChatGPT wird es leichter, mehr Textvariationen zu erstellen beziehungsweise Textmuster „on the fly“ zu ändern, um die Effektivität von signaturbasierten Lösungen zur Bedrohungserkennung herabzusetzen. Außerdem lassen sich Texte in vielen Sprachen generieren, was den Angreifern eine bessere Abdeckung der jeweiligen Landessprache ermöglicht.

Details

Meistgelesene BLOGS

Firmen | News
14. März 2024
Letzte Chance: Sind Sie Österreichs „CISO of the Year"? Anmeldungen noch bis 29. März 2024 möglich
Bereits zum dritten Mal verleiht die auf Informationssicherheit spezialisierte Zertifizierungsinstanz CIS - Certification & Information Security Services GmbH die begehrte Personenauszeichnung „CI...
Read More
Firmen | News
25. März 2024
Copilot für Microsoft 365: Die Zukunft der Arbeit durch nahtlose KI-Integration
Die Arbeitswelt befindet sich im Wandel und Künstliche Intelligenz (KI) spielt dabei eine entscheidende Rolle. Unternehmen weltweit erkennen zunehmend die Bedeutung von KI für ihre Produktivität und W...
Read More
Alfons A. Flatscher
21. März 2024
Kritisch & kreativ
 Mit KI-Technologien bleibt kein Stein auf dem anderen. Ganze Berufsstände, die sich bisher unangreifbar fühlten, geraten plötzlich in eine Krise. Legionen von Programmierern arbeiten gerade an d...
Read More
Firmen | News
15. März 2024
Dachziegel reinigen – das sollte man darüber wissen
Moos auf dem Dach sieht zwar eine Weile ganz hübsch aus, aber zu viel kann dann doch auch die Funktion des Daches beeinträchtigen. Flechten, Algen, Vogelkot und andere Schmutzablagerungen hingegen seh...
Read More
Andreas Pfeiler
27. März 2024
Die Wohnbaukrise hat den Stammtisch erreicht!
Die Bundesregierung hat ein lang überfälliges Wohnbauprogramm gestartet. Ausschlaggebend dafür war ein Vorschlag der Sozialpartner, der medial aber zu Unrecht auf einen Punkt reduziert und ebenso inte...
Read More
Redaktion
09. April 2024
Nachhaltigkeit ist (auch) Sache der Bauweise
Die Baubranche befindet sich gerade in einem riesigen Transformationsprozess. Dabei gilt es nicht nur, das Bauen CO2-ärmer und insgesamt nachhaltiger zu gestalten, sondern auch Wege zu finden, wie man...
Read More
Mario Buchinger
04. März 2024
Human Resources - warum Mitarbeitende keine Ressourcen sind
Der Faktor Mensch wird noch von vielen Manager*innen unterschätzt und oft nur auf Kostenaspekte reduziert. Diese Einschätzung ist fatal und fällt betreffenden Unternehmen zunehmend auf die Füße. Warum...
Read More
Firmen | News
27. Mai 2024
Wie Online-Vergleichsportale den Bankensektor in Österreich verändern
Die Zeiten, in denen man eine Bankfiliale besuchen musste, um sich über finanzielle Produkte zu informieren, sind längst vorbei. Heute, in einer Ära, in der praktisch jede Information nur einen Klick ...
Read More

MEDIADATEN

REPORT (+) 2024 
Bau & Immobilien REPORT 2024 
 REPORT Online
  Datenschutzerklärung   Allgemeine Geschäftsbedingungen

Log in or Sign up

Social Icon Social Icon Social Icon Social Icon Social Icon
Suche

Selected Filters

Open Filters
Geek ElasticSearch powered by JoomlaGeek.com