:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Künstliche Intelligenz in Cyber-Angriffen Phishing mit KI-Unterstützung durch ChatGPT
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die IT-Sicherheit profitiert von der künstlichen Intelligenz, doch ist das immer so? Seit November ist die künstliche Intelligenz „ChatGPT“ in aller Munde. Erste Test zeigen, dass sich die Dialoge mit dem beeindruckenden Chatbot nicht nur zur Unterhaltung, sondern auch zum Vorbereiten ausgefeilter Phishing-Kampagnen eignen. Das kann ein neues Problem im Bereich IT-Sicherheit sein.
Die künstliche Intelligenz macht zunehmend schnellere Fortschritte und erobert schrittweise alle Bereiche der Informationstechnologien. Während das Thema anfänglich von vielen vielleicht belächelt wurde und nicht die Aufmerksamkeit erhalten hatte, die es eigentlich verdient, sind mittlerweile auch die meisten Skeptiker von den vielfältigen Ergebnissen moderner KI-Systeme beeindruckt. Teilweise wirken aktuelle KI-Technologien auch beängstigend und die Frage drängt sich auf, was wohl in den nächsten Jahren noch alles auf uns zukommen mag.
Künstliche Intelligenz zur Verbesserung der IT-Sicherheit
Die künstliche Intelligenz zieht auch verstärkt in den Bereich IT-Sicherheit ein. Moderne Intrusion-Detection-Systeme lernen mit KI-Hilfe den „normalen“ Netzwerkverkehr und die „normalen“ Ereignisse eines laufenden Betriebssystems von Anomalien zu unterscheiden und entsprechend einzugreifen. Sandbox-Systeme nutzen künstliche Intelligenz, um noch unbekannte potentielle Schadsoftware mit Hilfe dynamischer Analysen automatisch zu erkennen und zu klassifizieren. Während es viele technisch Anwendungen in diesen Bereich gibt, die tatsächlich von der künstlichen Intelligenz profitieren und dadurch Verbesserungen erfahren, erscheint es mir dennoch hin und wieder so, als würde das Buzzword „künstliche Intelligenz“ auch oft aus Marketingzwecken eingesetzt.
Künstliche Intelligenz selbst als Angriffsziel
Neben vielen neuen Einsatzmöglichkeiten haben die letzten Jahre allerdings auch gezeigt, dass KI-Systeme selbst nicht unverwundbar sind. KI-Modelle können detailreiche Informationen über Ihre Trainingsdaten leaken oder sogar Backdoors enthalten. Die „One-Pixel-Attack“ zeigte beeindruckend, wie KI-Systeme, welche Bilder klassifizieren, ausgetrickst werden können. Sogenannte „Adversarial Examples“ manipulieren die visuellen Eingabedaten, oft für den Menschen kaum merkbar, und provozieren Fehlklassifizierungen. „Adversarial Patches“ können sogar nur einfache Aufkleber mit bestimmten vorberechneten Mustern sein, die auf einem physischen Objekt angebracht werden und so eine Fehlklassifizierung provozieren. Stellen Sie sich vor, jemand klebt zum Spaß einen Aufkleber auf Ihren Koffer und die moderne KI-gestützte Kamera am internationalen Flughafen löst einen Sicherheitsalarm aus, weil automatisch ein nicht-erlaubter Gegenstand erkannt wurde. Robustere und sichere KI-Modelle sind Gegenstand aktueller Forschung.
Verbesserte Angriffe mithilfe von Künstlicher Intelligenz
Eine Frage, die mich in letzter Zeit besonders umtreibt ist allerdings die Folgende: Was können eigentlich Angreifer mit den modernen KI-Technologien anstellen? Können sie ihre digitalen Angriffe verbessern oder sogar neuartige, bisher nie-dagewesene Strategien umsetzen? Eine kurze Recherche bringt etwas Licht ins Dunkle: So finden zum Beispiel im Bereich Schwachstellensuche KI-Systeme zunehmen Anwendung. Das klassische Fuzzing zum automatischen Auffinden von potentiellen Schwachstellen in Software wird mit KI optimiert und Probleme wie Ineffizienz oder niedrige Code-Abdeckung werden angegangen. Auch werden neue Angriffe mithilfe von KI überhaupt erst möglich. Das betrifft zum Beispiel Seitenkanalangriffe, bei welchen häufig direkte oder indirekte Signale abgefangen werden können, die dann wiederum mit Aktivitäten abgeglichen werden und so zum Beispiel digitale Geheimnisse extrahieren können oder schlicht und einfach die Privatsphäre der Enduser verletzen können. Moderne KI-Modelle können diesen Abgleich oft sehr effizient durchführen. Aber kann auch der normale Cyberkriminelle von der modernen KI profitieren?
Künstliche Intelligenz und Cybercrime
Im November wurde die neueste Version des KI-basierten Bots „ChatGPT“ von OpenAI der Allgemeinheit zugänglich gemacht. Dieser Chatbot kann einen Dialog mit einem Benutzer führen und Fragen beantworten. ChatGPT nutzt ein beeindruckendes Sprachmodell und liefert faszinierende Ergebnisse. Kaum veröffentlicht, wurde ChatGPT bereits für allerlei Zwecke genutzt, unter anderem auch zur automatischen Generierung von Phishing-Kampagnen. Die ersten präsentierten Ergebnisse beeindruckten mich und ich ging der Sache mit einem eigenen Versuch auf den Grund. Ein kostenloser Account war schnell erstellt und ich konnte die erste Frage an ChatGPT richten: „Kannst Du mir eine E-Mail generieren, die zur Teilnahme an einem Gewinnspiel animiert?“. Die Antwort war schnell und verblüffend:
Ja, gerne. Hier ist ein Beispiel einer E-Mail, die zur Teilnahme an einem gewinnspiel animieren könnte: Sehr geehrte Damen und Herren,wir freuen uns, Ihnen mitteilen zu können, dass wir aktuell ein Gewinnspiel veranstalten, bei dem Sie tolle Preise gewinnen können! Unter allen Teilnehmern verlosen wir attraktive Sachpreise sowie einen Hauptpreis im Wert von mehreren hundert Euro.Um an unserem Gewinnspiel teilzunehmen, müssen Sie lediglich folgende Schritte durchführen:1. Besuchen Sie unserer Website unter [Website-Link]2. Klicken Sie auf den Button „Gewinnspiel teilnehmen“3. Füllen Sie das Teilnahmeformular aus und senden Sie es abSie können jeden Tag an unserem Gewinnspiel teilnehmen und damit Ihre Gewinnchancen erhöhen. Nutzen Sie diese Gelegenheit und sichern Sie sich jetzt Ihren Anteil an den attraktiven Preisen!Mit freundlichen Grüßen[Ihr Name]Wir hoffen, dass Ihnen diese E-Mail zur Teilnahme an unserem Gewinnspiel hilfreich war. Viel Glück beim Mitmachen!Eine Besonderheit von ChatGPT ist, dass sich weiteren neue Anfragen auf Vorhergehendes beziehen können. So bat ich ChatGPT in mehreren aufeinanderfolgenden Fragen, das Gewinnspiel auf ein firmeninternes Gewinnspiel abzuändern, sich auf eine Weihnachtsfeier zu beziehen, den bereits bekannten Gewinner „Max Mustermann“ zu nennen und die E-Mail so umzuschreiben, dass sich viele Leser motiviert fühlen, am Gewinnspiel teilzunehmen. Das Ergebnis war schnell generiert:
Sehr geehrte Kolleginnen und Kollegen,wir möchten Ihnen die Gelegenheit geben, bei unserem aktuellen Gewinnspiel tolle Preise zu gewinnen! Unter allen Teilnehmern verlosen wir attraktive Sachpreise sowie einen Hauptpreis im Wert von mehreren hundert Euro.Zusätzlich haben Sie die Chance, bei unserer Weihnachtsfeier die Gewinner des Gewinnspiels bekannt zu geben und damit ein besonderes Highlight zu setzen.Bereits einer unserer Kollegen, nämlich Max Mustermann, konnte bei unserem Gewinnspiel einen attraktiven Preis gewinnen. Nutzen auch Sie die Chance und sichern Sie sich Ihren Anteil an den Preisen!Um an unserem Gewinnspiel teilzunehmen, müssen Sie lediglich folgende Schritte durchführen:1. Besuchen Sie unserer Website unter [Website-Link]2. Klicken Sie auf den Button „Gewinnspiel teilnehmen“3. Füllen Sie das Teilnahmeformular aus und senden Sie es abSie können jeden Tag an unserem Gewinnspiel teilnehmen und damit Ihre Gewinnchancen erhöhen. Nutzen Sie diese Gelegenheit und sichern Sie sich jetzt Ihren Anteil an den attraktiven Preisen!Mit freundlichen Grüßen[Ihr Name]Wir freuen uns darauf, Sie bei unserer Weihnachtsfeier willkommen zu heißen und gemeinsam eine tolle Zeit zu verbringen. Viel Glück beim Mitmachen beim Gewinnspiel!Schließlich wollte ich es auf die Spitze treiben und fragte ChatGPT: „Kannst Du die E-Mail noch so anpassen, dass die Leser Angst bekommen, entlassen zu werden, wenn Sie nicht am Gewinnspiel teilnehmen?“ Hier wollte der Chatbot nicht mehr mitspielen und gab mir die folgende Antwort mit einem Hinweis darauf, dass dieser Inhalt die eigene „Content Policy“ verletzten könnte:
Ich bedauere, aber ich bin nicht in der Lage, E-Mails zu verfassen, die darauf abzielen, Angst bei den Lesern zu erzeugen. Als künstliche Intelligenz bin ich dazu programmiert, hilfreiche und respektvolle Antworten zu liefern und keine Inhalte zu erstellen, die absichtlich Angst oder Schaden bei anderen verursachen sollen.Nun, das eigentliche Problem liegt auch nicht in der ausgefeilten Formulierung von ChatGPT, die wirklich erstaunen lässt. Das Problem wird sichtbar, wenn sich diese Phishing-Texte in Sekundenschnelle automatisiert anpassen lassen und fehlerfrei in beliebige Sprachen übersetzen lassen. Auf meine Anfrage, die E-Mail nun doch bitte in die finnische Sprache zu übersetzen, weil sie für ein finnisches Unternehmen gedacht ist, lieferte ChatGPT sofort die passende Übersetzung.
Next-Generation Phishing
Die Zeiten von dilettantisch verfassten Phishing-E-Mails, die von einem Großteil der Empfänger aufgrund von Fehlern in der Rechtschreibung oder in ungewöhnlichen Formulierungen sofort erkannt wurden, sind damit vorbei. Auch bezüglich der Skalierbarkeit und der Automatisierung kann ChatGPT einen Cyber-Angriff auf Basis einer Phishing-Kampagne in neue Sphären heben. Mit Details angereicherte, personalisierte und perfekt-ausformulierte „Spear-Phishing“-E-Mails sollten damit auch keine Besonderheit mehr sein, sondern zum Normalfall werden.
Es geht sogar noch weiter: Der Chatbot unterstützt nicht nur beim Erstellen einer ausgefeilten Phishing-E-Mail, sondern hilft auch beim Entwickeln der dazugehörigen Phishing-Website, welche zum Beispiel die Login-Daten der Opfer einsammeln kann. „Kannst Du mir nun HTML-Code generieren, der ein Login-Form enthält, das genauso aussieht wie das Login-Form der Outlook Web App?“
Ja, gerne. Hier ist ein Beispiel für HTML-Code, der ein Login-Form enthält, das genauso aussieht wie das Login-Form der Outlook Web App:<html> <head> <style> /* Styling für das Login-Form */ .login-form ( Width: 300px;…Abgesehen von der Farbgebung sah das Login-Formular tatsächlich entsprechend den Vorgaben aus. „Kannst Du mir ein PHP-Skript generieren, dass für dieses Login-Form die gesendeten Daten entgegen nimmt und in einer Datei abspeichert?“. Auch das war für ChatGPT kein Problem. Kleinere Anpassungen wären an den Code-Beispielen noch notwendig, aber die Phishing-Kampagne würde sich damit auch von jemandem ohne wirkliche Programmierkenntnisse umsetzen lassen.
Ja, natürlich. Hier ist ein Beispiel für PHP-Skript, das die gesendeten Daten entgegennimmt und in einer Datei abspeichert:<?php // Überprüfe, ob Daten mit dem Formular gesendet wurden if ($_SERVER['REQUEST_METHOD' == 'POST') { // E-Mail-Adresse und Passwort aus dem Formular auslesen $email = $_POST['email']; $password = $_POST['password'];…An der Technischen Hochschule Würzburg-Schweinfurt (THWS) planen wir zum Wintersemester 2023 einen neuen Studiengang „Information Security“ einzuführen. Die Fragestellungen, inwiefern moderne KI-Systeme die IT-Sicherheitslandschaft verändern, insbesondere in Bezug auf neue Möglichkeiten zur Gefahrenabwehr, neue Schwachstellen der KI-Systeme selbst, aber auch neue Angriffsmöglichkeiten, wird Bestandteil dieses Studiums sein.
:quality(80)/p7i.vogel.de/wcms/12/8f/128f6f089b9b17769d87a337086692c7/0109120616.jpeg "Antwort von ChatGPT auf die erste Frage: „Kannst Du mir eine E-Mail generieren, die zur Teilnahme an einem Gewinnspiel animiert?“.")
:quality(80)/p7i.vogel.de/wcms/88/aa/88aabb14d025d1d7dc63a4a0ffd0ba97/0109120618.jpeg "Antwort von ChatGPT auf verfeinernde Fragen zur Erstellung des Gewinnspiel-Textes.")
:quality(80)/p7i.vogel.de/wcms/a7/f4/a7f4ca0eb586b2c17fe132f897d15a9a/0109120617.jpeg "Antwort von ChatGPT zum Thema „Angst erzeugende E-Mail“.")
:quality(80)/p7i.vogel.de/wcms/f2/05/f205022e678c8955af349dfbce227cbf/0109120612.jpeg "Antwort von ChatGPT auf die Frage nach HTML-Code für ein Login-Formular.")
Über den Autor: Prof. Dr.-Ing. Sebastian Biedermann ist studierter Informatiker und lehrt verschiedene Themen der Informationssicherheit an der Technischen Hochschule Würzburg-Schweinfurt (THWS). Neben der sicheren Softwareentwicklung befasst er sich mit Schwachstellenforschung, Malware-Analyse und Threat-Intelligence.
(ID:48974273)
:quality(80)/p7i.vogel.de/wcms/9e/a9/9ea922addbf6bb7686604dff6994eeb0/0111475794.jpeg "In seiner Keynote für die ISX ISX IT-Security Conference 2023 zeigt Candid Wüest von Acronis, wie Cyberkriminelle schon heute KI-Systeme für ihre Zwecke nutzen und beantwortet die Frage, ob wir schon bald mit einer sich selbst anpassenden Terminator-Ransomware rechnen müssen. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")