Was ist KI-gestütztes Phishing und wie erhöhen LLMs das Phishing-Risiko?
- Die zentralen Thesen:
-
Was ist KI-gestütztes Phishing?
Es handelt sich um eine Cyberangriffsmethode, bei der generative KI-Tools verwendet werden, um hyperrealistische und personalisierte Phishing-E-Mails zu erstellen. -
Wie verbessert KI die Phishing-Effektivität?
Durch die Erstellung grammatikalisch korrekter, kontextualisierter und überzeugender Nachrichten im großen Maßstab. -
Warum sind KI-generierte Angriffe schwerer zu erkennen?
Sie umgehen traditionelle Mustererkennungstechniken, indem sie Struktur, Ton und Wortschatz variieren. -
Welche potenziellen Risiken bestehen für Organisationen?
Erhöhte Klickraten, kompromittierte Anmeldeinformationen und laterale Bewegungen aufgrund einer einzigen Sicherheitsverletzung. -
Welche Erkennungsstrategien sind gegen KI-Phishing wirksam?
Verhaltensbasierte Analysen, kanalübergreifende Korrelation und Überwachung der Benutzeraktivität. -
Wie hilft Stellar Cyber bei der Erkennung von KI-gestütztem Phishing?
Durch die Korrelation von Phishing-Indikatoren über E-Mail-, Endpunkt- und Netzwerkebenen hinweg innerhalb seiner Open XDR Plattform.
Wie KI und maschinelles Lernen die Cybersicherheit von Unternehmen verbessern
Alle Punkte einer komplexen Bedrohungslandschaft verbinden
Erleben Sie KI-gestützte Sicherheit in Aktion!
Entdecken Sie Stellar Cybers hochmoderne KI zur sofortigen Erkennung und Reaktion auf Bedrohungen. Planen Sie noch heute Ihre Demo!
Voraussetzungen für KI-Phishing: Klickraten werden von zwei Faktoren bestimmt
Phishing-Angriffe haben – wie viele andere Angriffe im Bereich der Cybersicherheit – einen kreisförmigen Lebenszyklus. Eine bestimmte Art von Phishing-Angriff wird besonders beliebt und erfolgreich, das Sicherheitspersonal wird auf sie aufmerksam und die Mitarbeiter werden in ihren Besonderheiten geschult. Und dennoch gibt es keine zufriedenstellende Lösung – anders als bei einem Software-Patch werden die Mitarbeiter oft trotz jahrelanger Erfahrung und Phishing-Schulung trotzdem erwischt.
Wenn man tiefer gräbt, ist die gängigste Methode zur Bewertung der Phishing-Vorbereitung eines Unternehmens die Gesamtklickrate. Diese liefert eine einfache Momentaufnahme darüber, wer auf die intern erstellte gefälschte Phishing-E-Mail hereingefallen ist. Diese Kennzahl ist jedoch hartnäckig variabel. Und wenn CISOs nach Beweisen suchen, dass ihr zeit- und ressourcenintensives Phishing-Training funktioniert, könnten die Bewertungsleiter sogar versucht sein, die Komplexität dieser gefälschten Phishing-Angriffe zu reduzieren, um eine niedrigere Klickrate zu erzielen – was indirekt die allgemeine Sicherheitslage des Unternehmens beeinträchtigt.
Im Jahr 2020 gelang es den Forscherinnen Michelle Steves, Kristen Greene und Mary Theofanos schließlich, diese unendlich variablen Tests in einer einzigen Phishing-Skala (PDF) zu kategorisieren. Dabei stellten sie fest, dass die „Schwierigkeit“ einer Phishing-E-Mail mit nur zwei Schlüsselqualitäten skaliert wird:
- Die in der Nachricht enthaltenen Hinweise (auch als „Hooks“ bezeichnet) sind Merkmale der Formatierung oder des Stils einer Nachricht, die ihre Tarnung als böswillig entlarven könnten.
- Der Kontext des Benutzers.
Generell führten weniger Hinweise zu höheren Klickraten, ebenso wie die Übereinstimmung der E-Mail mit dem Kontext des Benutzers. Um etwas Licht in die Skala zu bringen, trifft das folgende Beispiel formelhafte 30 Punkte persönlicher Übereinstimmung von 32 möglichen Punkten:
Als Organisation legt NIST großen Wert auf Sicherheit, und nirgendwo trifft dies mehr zu als bei den Laborleitern und IT-Teams. Um dies auszunutzen, wurde eine Test-E-Mail von einer gefälschten Gmail-Adresse aus erstellt, die angeblich von einem der Direktoren von NIST stammte. Die Betreffzeile lautete „BITTE LESEN SIE DIES“; der Text begrüßte den Empfänger mit Vornamen und lautete: „Ich empfehle Ihnen dringend, dies zu lesen.“ Die nächste Zeile war eine URL mit dem Text „Sicherheitsanforderungen“. Sie endete mit einer einfachen Unterschrift des (angeblichen) Direktors.
Diese E-Mail – und andere, die sich auf hyper-ausgerichtete Sicherheitsanforderungen konzentrierten – hatten durchschnittliche Klickraten von 49.3 %. Selbst bei erschreckend kurzen, einzeiligen Angriffen sind es die Hinweise und die persönliche Ausrichtung der Nachricht, die ihre Wirksamkeit bestimmen.
Wie AI-Phishing beide Hebel verstärkt
Hinweise machen den Großteil der Phishing-Schulungen für Mitarbeiter aus, da sie dem Empfänger die Möglichkeit bieten, einen Blick hinter die Kulissen eines Angriffs zu werfen, bevor dieser stattfindet. Dabei geht es vor allem um Rechtschreib- und Grammatikfehler: Dieser Schwerpunkt ist so weit verbreitet, dass viele glauben, dass Rechtschreibfehler absichtlich in Phishing-E-Mails eingefügt werden, um die Anfälligen herauszupicken.
Dieser Ansatz ist zwar eine nette Idee, macht die überwiegende Mehrheit der Menschen jedoch noch anfälliger für Phishing-Angriffe. Angreifer müssen jetzt nur noch die Grammatik und Formatierung der Nachricht hieb- und stichfest machen, um bei einem schnellen flüchtigen Lesen gerade genug Plausibilität zu erreichen. LLMs sind hierfür das perfekte Werkzeug, da sie kostenlos Sprachkompetenz auf Muttersprachlerniveau bieten.
Und indem die offensichtlichsten Merkmale einer Phishing-E-Mail eliminiert werden, können Angreifer die Oberhand gewinnen. Die Studie von Steves et al. bestätigt, dass es – wichtiger als die Hinweise – ist, wie gut ein Angriff auf die Prämisse des Empfängers abgestimmt ist. In diesem Bereich sind LLMs einzigartig.
LLMs sind unglaublich effizient bei Datenschutzverletzungen
Persönliche Übereinstimmung wird erreicht, indem man sein Ziel kennt. Deshalb schlagen Rechnungs-Phishing-Angriffe in fast allen Abteilungen fehl, außer in der Finanzabteilung. Es ist jedoch unwahrscheinlich, dass Angreifer ihre Opfer monatelang in freier Wildbahn beobachten. Ihr unermüdliches Gewinnmotiv erfordert, dass die Angriffe effizient sind.
Glücklicherweise können LLMs umfangreiche Datensammlungs- und Inferenzkampagnen nahezu kostenlos durchführen. 2024 Studie von Robin Staab et al (PDF) war das erste, das untersuchte, wie gut vorab trainierte LLMs persönliche Details aus Texten ableiten können. Eine Auswahl von 520 pseudonymisierten Reddit-Profilen wurde nach ihren Nachrichten durchsucht und durch eine Auswahl von Modellen geleitet, um zu sehen, welches Alter, welchen Standort, welches Einkommen, welche Ausbildung und welchen Beruf jeder Kommentator wahrscheinlich hatte.
Um einen Einblick zu bekommen, wie das funktioniert, sehen Sie sich einen Kommentar zum Pendeln an: „Ich … stecke fest und warte auf eine Wende am Haken“
GPT-4 konnte das kleine Signal eines „Hook Turn“ erkennen – ein Verkehrsmanöver, das insbesondere in Melbourne verwendet wird. Andere Kommentare in völlig anderen Threads und Kontexten beinhalteten die Erwähnung des Preises einer „34D“ und eine persönliche Anekdote darüber, wie sie nach der Highschool immer Twin Peaks geschaut haben. Insgesamt konnte GPT richtig schlussfolgern, dass es sich bei der Benutzerin um eine in Melbourne lebende Frau im Alter zwischen 45 und 50 Jahren handelte.
Indem sie den Prozess für alle 520 Benutzerprofile wiederholten, stellten die Forscher fest, dass GPT-4 das Geschlecht und den Geburtsort eines Verfassers zu 97 % bzw. 92 % korrekt erschließen kann. Im Schatten der Analyse von Phishing am Arbeitsplatz in der vorherigen Studie wird die Fähigkeit von LL.M., aus Social-Media-Posts tiefgreifende persönliche Eigenschaften abzuleiten, besonders besorgniserregend, wenn man bedenkt, wie viele Informationen auf anderen, weniger anonymen Websites – wie LinkedIn – vorhanden sind.
Dieser Inferenzprozess läuft insgesamt 240 Mal schneller ab, als der menschliche Datensatz zu denselben Schlussfolgerungen führen könnte, und das zu einem Bruchteil der Kosten. Spekulationen beiseite, es ist diese letzte Komponente, die KI-gestütztes Phishing so immens leistungsfähig macht: die Kosten.
LLMs steigern die Wirtschaftlichkeit des Phishings
Der Gewinn von Phishing-Kampagnen, die von Menschen durchgeführt werden, wird nicht durch die Anzahl der Personen begrenzt, die darauf klicken, sondern durch die arbeitsintensive Aufgabe, neue oder angepasste Kampagnen zu erstellen. Da Phishing-Angreifer überwiegend auf finanziellen Gewinn aus sind, hat der Spagat zwischen Anpassung und Drücken der Sendetaste den Umfang einiger Operationen in Grenzen gehalten.
LLMs sind heute in der Lage, Massen von Phishing-Nachrichten in nur wenigen Minuten zu produzieren – und für jedes Opfer Möglichkeiten zur individuellen Anpassung abzuleiten. Die Toolkits der Angreifer waren noch nie so gut ausgestattet.
Halten Sie mit Stellar Cyber Schritt
Die Schulung von Mitarbeitern braucht Zeit – und die Geschwindigkeit, mit der sich Phishing weiterentwickelt, droht Tausende von Unternehmen zu gefährden. Um dieser erhöhten Bedrohungslage gerecht zu werden, bietet Stellar Cyber integrierte Netzwerk- und Endpunktabwehr, die Angreifer fernhält, selbst wenn sie sich an einem Mitarbeiter vorbeischleichen.
Die Endpunktüberwachung ermöglicht Echtzeit-Einblicke in potenzielle Malware-Einsätze, während der Netzwerkschutz es Ihnen ermöglicht, einen Angreifer zu erkennen und daran zu hindern, sich dort einzunisten. Verhaltensanalyse von Benutzern und Entitäten (UEBA) ermöglicht es Ihnen, jede Aktion im Kontext des Normalen zu bewerten und so Anzeichen einer möglichen Kontokompromittierung frühzeitig zu erkennen. Schützen Sie Ihr Team und halten Sie Angreifer fern mit Stellar Cybers offene XDR.
