Maschinen, die mit Speeren werfen: Wie Künstliche Intelligenz Phishing skalierbar macht

Jeden Tag werden weltweit zahllose Menschen Opfer von Phishing-Angriffen. Bei jedem dieser Angriffe konnten die Kriminellen Menschen durch geschickt angelegte und ausgeschmückte Szenarien davon überzeugen, einen Link zu klicken oder ein angehängtes Dokument zu öffnen. Die Kreativität der Angreifer ist dabei groß, denn um die größte Schwachstelle im Bereich IT-Sicherheit – den Benutzer – auszunutzen, reicht es nicht mehr als nigerianischer Prinz um eine Überweisung zu bitten.

Längst haben es die Kriminellen verstanden, für ihre Angriffe glaubwürdige Szenarien zu erfinden, indem sie an aktuelle Ereignisse, Firmeninterna oder vorangegangene Kommunikationsverläufe anknüpfen. Die Folgen dieser Attacken sind dann häufig finanzielle Verluste, Datenabfluss, Stillstand im Unternehmen oder in der Behörde sowie eine Beschädigung der Reputation.

Phishing erkennen wird schwieriger

Es gibt bestimmte Merkmale von Phishing-E-Mails, mit Hilfe derer es möglich sein kann, Cyber-Angriffe als solche zu erkennen. Die technischen Möglichkeiten der Kriminellen entwickeln sich allerdings schnell weiter, so dass vor allem sprachliche Merkmale in nicht allzu ferner Zukunft nicht mehr als Indikatoren für Phishing gelten können.

Die rasanten Entwicklungen im Bereich Künstliche Intelligenz stellen die IT-Sicherheit vor große Herausforderungen: Wie jede neue Technologie kann auch die Künstliche Intelligenz und das sogenannte Machine Learning von Kriminellen missbraucht werden. Was das für den Kampf gegen Phishing, Ransomware und Spam bedeutet und wie Sie sich bereits jetzt dagegen schützen können, erklären wir in diesem Blogartikel.

Electric Enkeltrick

Wenn Betrüger sich an der Haustür oder am Telefon das Vertrauen von Opfern erschleichen, um Daten, Unterschriften oder Geld zu ergaunern, so ist dies nichts anderes als Phishing mit anderen Mitteln. Mit der Verbreitung des Internets konnte sich der Kreis der potenziellen Opfer allerdings ausbreiten, und bereits seit den 1990er Jahren wurden Instant-Messenger-Dienste und E-Mails genutzt, um Phishing zu betreiben.

Der Begriff Spear Fishing beschreibt dabei den Versuch, die Opfer mit gezielten Angriffen zu bestimmten Handlungen zu bewegen oder dazu zu bringen, Informationen herauszugeben. Die Herausforderung für die Kriminellen ist hierbei stets, Glaubwürdigkeit herzustellen. Dass ihnen das immer besser gelingt, beweist die Tatsache, dass die Anzahl der erfolgreichen Angriffe stets zunimmt. Noch düsterer sind die Aussichten, wenn man die Möglichkeiten betrachtet, die die Künstliche Intelligenz diesen Kriminellen bietet.

Forscher bei der Government Technology Agency (GTA) in Singapur konnten im Rahmen einer Studie beispielsweise zeigen, dass es mit Hilfe von AI-as-a-service-Applikationen bereits heute möglich ist, nicht nur die Qualität von Phishing-E-Mails deutlich zu verbessern, sondern auch die Generierung von Phishing-E-Mails skalierbar zu machen. Die Wirksamkeit der künstlich erzeugten Phishing-E-Mails übertraf dabei sogar die der manuell erstellten.

Kann man Glaubwürdigkeit künstlich erzeugen?

Die Forscher legen in Ihrer Studie dar, dass es dreierlei Zutaten bedarf, um eine glaubwürdige Phishing-E-Mail zu verfassen:

  • Autorität: Das Opfer muss glauben, dass der Angreifer berechtigt ist.
  • Dringlichkeit: Das Opfer muss das Gefühl haben, dass umgehend gehandelt werden muss.
  • Kontext: Die Phishing-E-Mail muss in das jeweilige Umfeld und die Situation eingepasst sein.

Um diese Zutaten herzustellen, erzeugten die Forscher eine Phishing Process Pipeline, die die manuellen Schritte bei der Erzeugung von Phishing-Inhalten durch einen automatisierten, KI-basierten Workflow ersetzte.

Schritt 1: KI-basiertes Analysieren potenzieller Opfer nach dem OSINT-Prinzip

Der erste Schritt ist das Finden und Analysieren der späteren Phishing-Ziele. Die Analyse ermöglicht es den Angreifern, die zu verfassende Phishing-E-Mail in einen glaubwürdigen Kontext einzubetten und so das Opfer zum Klicken zu bewegen.

Ausgewertet wurde dabei nach dem sogenannten OSINT-Prinzip. OSINT steht für Open Source Intelligence und beschreibt das Sammeln von Informationen aus frei verfügbaren Quellen, in diesem Fall beispielsweise LinkedIn-Profile, Twitter-Profile und Blogartikel.

Für die Analyse wurde Humantic AI eingesetzt, einer von zahlreichen kommerziellen API-Diensten, die bereits heute in den Bereichen Sales und Human Resources eingesetzt werden, um Einblicke in die Persönlichkeit und das Verhalten von Kunden oder Stellenbewerbern zu gewinnen.

Schritt 2: Definieren von Zielen und Ansprache auf Basis der Analyseergebnisse

Der API-Output von Humantic AI wurde dann in Form von Klartext in eine kurze Beschreibung der Ziele und der gewünschten Ansprache der potenziellen Opfer umgewandelt.

Hier ein Beispiel:
John Doe is located in Singapore. John Doe works as a cybersecurity specialist in a local technology firm. Write an email from Jane Doe from the human resource department convincing John Doe to fill up the attached form. Explain in small logical groupings. Emphasis on the facts, benefits and measurable outcomes.

Schritt 3: KI-basiertes Generieren von Phishing-E-Mails

Die erstellten Klartextanweisungen speisten die Forscher in einen weiteren Dienst ein, den Generative Pre-trained Transformer 3 (GPT-3) von OpenAI. Dieser konnte bereits dadurch Bekanntheit erlangen, dass er einen vollständigen Artikel für The Guardian verfassen durfte.

Das Ergebnis war eine generierte E-Mail, die „stimmig und ziemlich überzeugend“ war, so eine beteiligte Forscherin. „Es wurde sogar aus der Tatsache, dass sich die Zielperson in Singapur befand, ein singapurisches Gesetz abgeleitet: das Gesetz zum Schutz persönlicher Daten.“ Dennoch gab es Nachbesserungsbedarf: GPT-3 generierte unter anderem ein ungültiges Datum sowie einen nicht funktionierenden Link.

Schritt 4: Auslieferung der Phishing-E-Mails und Auswertung

Im Rahmen der Studie wurden über drei Monate hinweg zwei Varianten der Untersuchung an 200 Teilnehmern durchgeführt. Die Varianten hatten unterschiedliche Zielvorgaben:

  • Die Ziele davon zu überzeugen, Phishing-Links zu klicken oder
  • die Ziele davon zu überzeugen, ein angehängtes, “verseuchtes” Dokument zu öffnen.
ai-phishing-mail-de

Phishing-as-a-service

Einige kleine Fehler, die nach Durchlaufen der Pipeline manuell korrigiert werden mussten, dürfen nicht darüber hinwegtäuschen, dass dies nur der erste Schritt einer größeren Entwicklung sein kann:

„It takes millions of dollars to train a really good [AI] model […].“ so Eugene Lim, Spezialist für Cybersicherheit bei der GTA. „But once you put it on AI-as-a-service it costs a couple of cents and it’s really easy to use – just text in, text out. […] Suddenly every single email on a mass scale can be personalized for each recipient.“

Einfach buchbare KI-APIs mit Text-rein-Text-raus-Funktionalität machen den Einsatz von Künstlicher Intelligenz für jeden Kriminellen erschwinglich und nutzbar – und zu einer großen Herausforderung im Bereich IT-Sicherheit.

Mehr Klicks für Chips

Wie groß diese Bedrohung werden könnte, zeigte dann auch die Auswertung der versendeten E-Mails: Es klickten deutlich mehr Menschen auf Links und Dokumente, die in den KI-generierten E-Mails enthalten waren als auf jene, die in von Menschen geschriebenen enthalten waren. Der Abstand war deutlich.

Die Forscher weisen in der Studie allerdings auf die geringe Stichprobengröße hin sowie darauf, dass sowohl die von der AI-as-a-service-Pipeline als auch die von Menschen erstellten E-Mails von Büromitarbeitern und nicht von externen Angreifern erstellt beziehungsweise überarbeitet wurden. Dies machte es vermutlich einfacher, die richtige Ansprache in den E-Mails zu finden.

Die Prüfung der Absenderreputation bietet Schutz vor KI-Phishing

Wenn sich KI-generierter Text nicht mehr von menschlichem Text unterscheiden lässt, lohnt es sich, bei der Suche nach Schutz auf einen bewährten Verteidigungsmechanismus zu blicken: die Auswertung der Absenderreputation bei der E-Mail selbst. Diese bietet eine wirkungsvolle Möglichkeit, Phishing-Angriffe zu verhindern und ist einfach und ohne teure Werkzeuge umsetzbar.

  • Sender Policy Framework (SPF)

    Mit Hilfe von SPF gibt der Inhaber einer Domain im Domain Name System (DNS) alle IP-Adressen der Mail Transfer Agents (MTAs) – also der Server – an, die im Namen der eigenen Domain E-Mails versenden dürfen. Dazu erstellt er in der entsprechenden DNS-Zone einen sogenannten SPF-Eintrag (SPF Record). SPF ist eine einfache und wirksame Methode, um den Missbrauch von Absenderdomains zu verhindern.

  • DomainKeys Identified Mail (DKIM)

    Während mit Hilfe von SPF sichergestellt werden kann, ob ein Server zum Senden von E-Mails autorisiert ist, kann mit Hilfe von DKIM überprüft werden, ob eine E-Mail tatsächlich vom Eigentümer der angegebenen Domain versendet wurde und ob die E-Mail während des Transports verändert wurde. DKIM ermöglicht es also, sowohl die Authentizität als auch die Integrität einer E-Mail zu überprüfen. Grundlage von DKIM ist die Anwendung eines Schlüsselpaars, das aus einem privaten und einem öffentlichen Schlüssel besteht, ähnlich wie bei der asymmetrischen Verschlüsselung.

  • Domain-based Message Authentication, Reporting and Conformance (DMARC)

    DMARC baut auf SPF und DKIM auf, denn diese beiden Technologien ermöglichen es Ihnen zwar, die Authentizität und Integrität von E-Mails sicherstellen. Allerdings geben weder SPF noch DKIM dem empfangenden Server klare Anweisungen, was mit E-Mails passieren soll, die die entsprechenden Prüfungen nicht erfolgreich bestanden haben. DMARC beantwortet die folgenden Fragen:

    • Wie soll der empfangende Server die Authentifizierung vornehmen?
    • Was soll im Falle einer fehlgeschlagenen Überprüfung passieren?
    • Wen soll der empfangende Server über die durchgeführten Authentifizierungsmaßnahmen und das Ergebnis informieren?

In unserer Artikelserie zur Absenderreputation erfahren Sie, wie die einzelnen Verfahren funktionieren und wie diese Ihnen dabei helfen, Sie und Ihr Unternehmen optimal vor Phishing mit gefälschten Absendern und anderen Cyberangriffen zu schützen und Ihre E-Mail-Sicherheit zu optimieren.

Besser Anhänge und URLs betrachten

Auch der Umgang mit E-Mail-Anhängen ist im Umfeld von Künstlicher Intelligenz ein entscheidender Faktor in der Bekämpfung von Malware. NoSpamProxy ermöglicht es, Anhänge im Word-, Excel- oder PDF-Format regelbasiert und automatisiert in unkritische PDF-Dateien umzuwandeln. Dabei wird potenziell vorhandener Schadcode eliminiert und dem Empfänger so ein garantiert ungefährlicher Anhang zugestellt. Zahllose weitere Dateiformate wie beispielsweise ausführbare Dateien können gezielt erkannt werden, so dass der Anhang blockiert oder die komplette E-Mail abgewiesen werden kann. 

Der URL Safeguard erlaubt das Umschreiben von URLs in eingehenden E-Mails, damit zum Zeitpunkt des Anklickens durch den Nutzer erneut geprüft wird, ob für diese URL negative Einschätzungen vorliegen. Das erhöht die Sicherheit, da manche Angreifer das Ziel von URLs einige Stunden nach dem Versand verändern. Dabei kann der URL Safeguard individuell konfiguriert und beispielsweise nur für unbekannte Kommunikationspartner aktiviert werden. 

Schutz durch Analyse von Metadaten

Der Metadaten-Service in NoSpamProxy sammelt und analysiert Metadaten zu E-Mails und Anhängen. Seine große Stärke liegt darin, die Daten der zahlreichen verteilten NoSpamProxy-Instanzen zentral zu bündeln und darauf aufbauend verdächtige Trends früh zu erkennen.

Gerade weil der Metadaten-Service nicht die komplette E-Mail, sondern nur die Metadaten betrachtet, ist er im Kampf gegen KI-basiertes Phishing wirksam: Der KI-generierte Text mag noch so gut sein – Phishing-Links und die zu Grunde liegenden Muster sowie gefährliche Anhänge erkennt er zielsicher.

Schützen Sie sich vor Phishing-Angriffen – NoSpamProxy jetzt kostenfrei testen

Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre Testversion an!