Donnerstag, Juni 01, 2023

Wie ChatGPT von Cyberkriminellen eingesetzt werden könnte



ChatGPT als Einfallstor für Hacker und Scammer? Stanislav Protassov, Executive Board member und Mitbegründer des Cybersicherheitsexperten Acronis, kommentiert diese neue Herausforderung für die Sicherheit in Interviewform.

Wie wahrscheinlich ist es, dass ChatGPT von Hackern und Betrügern ausgenutzt wird? Beispielsweise, um Täuschungen glaubwürdiger zu machen? Werden die Angreifer dadurch mehr Informationen von ihren Opfern extrahieren können?

Im Wesentlichen kann ChatGPT dabei helfen, Phishing-Texte und einfache Schadprogramme schneller und besser automatisiert zu erstellen. Wirklich ausgefeilte neue Malware wird man damit dagegen vorerst nicht erstellen können. Und auch die Bedrohungslandschaft wird nicht wesentlich verändern, abgesehen von der erhöhten Häufigkeit. KI-Lösungen wie ChatGPT werden manchmal auch als „stochastische Papageien“ bezeichnet, weil sie als Sprachmodelle mit enormen Textmengen trainiert wurden und sie gut darin sind, schnell viele Texte zu generieren. Allerdings spielen Textinhalte bei Phishing-Angriffen eher selten allein die entscheidende Rolle.

Häufig sind weitere visuelle bzw. grafische Eigenschaften wichtig, die ChatGPT nicht generieren kann. Beispielweise, um E-Mail-Alarmmeldungen wie vermeintliche Banküberweisungen aussehen zu lassen. Während die Betrüger mit ChatGPT auch leichter Texte in anderen Sprachen generieren können, ist es nicht ausgemacht, dass diese damit auch besser bzw. überzeugender werden. Per KI erzeugte Texte können für die Opfer aber evtl. dadurch gefährlich werden, dass damit die Sprachmodelle der Anti-Phishing-Lösungen unterwandert werden, die darauf trainiert sind, bösartige Absichten in den E-Mail-Texten zu erkennen. Vermutlich werden die Anti-Phishing-Algorithmen dann zwar darauf geschult werden, von ChatGPT generierte E-Mails zu erkennen. Aber dies wird dann wohl auch eine weitere Runde im ewigen Wettkampf zwischen Angriffs- und Verteidigungsmethoden einläuten.

Es gibt aber noch weitere Möglichkeiten, wie ChatGPT von Cyberkriminellen eingesetzt werden könnte:

- Zur Analyse von Quellcodes, um Schwachstellen (z.B. SQL-Injektionen, Pufferüberläufe) zu finden. Das ist grundsätzlich nichts Neues. Durch ChatGPT können unerfahrene Angreifer aber schneller ans Ziel kommen.

- Zum Schreiben von Exploits. Allerdings haben kürzliche Tests gezeigt, dass dies derzeit nicht wirklich gut funktioniert.

- Zur Code-Automatisierung. Damit könnten insbesondere Anfänger ihr Vorgehen schneller automatisieren (beispielweise durch Befehle wie „Schreibe mir ein Skript, um mich mit einem Passwort-Dump bei Twitter anzumelden“).

- Zum Schreiben von Malware. Dies wird jedoch teilweise durch ChatGPT-Richtlinien blockiert. Aber einfachere Makros sind trotzdem möglich. Das bringt an sich keine neue Gefährdung, weil diese auch über Google auffindbar sind. Aber auch hier bedeutet es, dass die breite Masse leichter darauf zugreifen kann.

- Chatbots für Social Engineering-Angriffe. Dies könnte ein neuer Faktor für entsprechende Angriffe (wie Vorschussbetrügereien von nigerianischen Banden [„419-Scams“], Kompromittierung von Geschäfts-E-Mails [„BEC-Angriffe“], Liebesschwindeleien [„Romance Scams“] oder betrügerische Job-Portal-Anbahnungen [„LinkedIn Target Grooming“]) werden, die mehrere Interaktionsrunden mit den Opfern erfordern. Diese könnten nun leichter automatisiert und skaliert werden, weil sich diese Interaktionen für die Opfer wie echte Gespräche anfühlen, während die Kriminellen kaum noch (weniger als in 1 % der Fälle) persönlich eingebunden sind.

Wie wahrscheinlich ist es, dass es soweit kommt – und das auch häufiger?

Es passiert bereits: So gibt es Berichte, dass ChatGPT schon von sogenannten „Red Teams“ (Sicherheitsteams für Penetrationstests) eingesetzt wird, um Phishing-E-Mails zu generieren. Und laut einiger Untergrundforen wurde ChatGPT bereits verwendet, um Password Stealer in der Programmiersprache Python zu erstellen. Andererseits wird ChatGPT von OpenAI fortlaufend aktualisiert und angepasst, um das Risiko zu verringern, dass die KI missbraucht wird, um Schäden (egal ob in der physischen oder virtuellen Welt) anzurichten. 

Wie können sich Unternehmen und speziell auch Einzelpersonen vor solchen Betrügereien schützen? Was sind die wichtigsten Indikatoren, auf die man achten sollte?

Da ChatGPT mit bereits vorhandenen Texten trainiert wurde, werden neu generierte Texte nicht „besser“ sein. Daher gelten für die Erkennung potenziell schädlicher E-Mails weiterhin die üblichen Täuschungsindikatoren – wie etwa verdächtige Dringlichkeitsbehauptungen. Genauso wie bestimmte Schlüsselbegriffe („dringend“, „Überweisung“, „sofort handeln“, „Passwort eingeben“ etc.), die Phishing-E-Mails als besonders eilig und wichtig ausgeben. Mit ChatGPT wird es auch nicht auf neue, magische Weise möglich, den Anschein zu erwecken, dass eine E-Mail von Ihrer Bank kommt. Die Betrüger werden weiterhin auf ihre altbewährten Methoden (wie leicht verwechselbare E-Mail-Adressen und Domain-Namen) zurückgreifen müssen. Achten Sie daher auch auf Fälschungsindikatoren in den E-Mail-Headern oder URLs sowie auf Informationen von Anti-Spam- bzw. E-Mail-Authentifizierungsverfahren wie SPF, DKIM oder DMARC. Denn diese geben Auskunft darüber, von wo und über welchen Server eine E-Mail kam und für welche Domain dieser Server konfiguriert wurde. Dadurch können selbst Phishing-E-Mails mit perfekt gemachten Texten leicht entlarvt werden, wenn diese von einem entsprechenden E-Mail-Konto (wie Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.) gesendet wurden.

Können Sie Szenarien bzw. Beispiele dafür nennen, wie KIs vom Typ ChatGPT eingesetzt werden, um normale Menschen zu hintergehen oder diese sogar zu hacken? Und wie sollte man sich bei diesen Szenarien am besten verhalten?

ChatGPT kann nicht zum „Hacken von Menschen“ verwendet werden, sondern ist nur ein Sprachmodell zum Generieren von Texten. Manchmal kann man damit scheinbar vernünftige Unterhaltungen führen. Aber es gibt dann ein einfaches Mittel, um zu erkennen, dass man nicht mit einem Menschen redet: geben Sie unsinnige Aufforderungen ein! ChatGPT wird hier anders reagieren als ein Menschen und versuchen, den Prozess trotzdem zu verarbeiten und darauf – meist unsinnig – antworten. ChatGPT macht es für mehr Menschen ohne technische Kenntnisse leichter, in die Cyberkriminalität einzusteigen. Aber moderne Bedrohungen wie APT-Angriffe (Advanced Persistent Threat) werden schon seit Jahren automatisiert, so dass sich hier nichts Wesentliches verändert. Bisher haben wir also insbesondere folgende Szenarien gesehen: Das Schreiben von automatisierten und/oder überzeugenden Texten für Phishing-E-Mails und BEC-Betrugsmaschen. Derzeit fehlt dem System für seine Ausgaben aber eine aktuelle Internetanbindung. Die Angreifer werden diese aber zur E-Mail-Personalisierung benötigen, um zum Beispiel Daten von LinkedIn einbinden zu können.

Mit KI-Sprachmodellen wie ChatGPT wird es leichter, mehr Textvariationen zu erstellen beziehungsweise Textmuster „on the fly“ zu ändern, um die Effektivität von signaturbasierten Lösungen zur Bedrohungserkennung herabzusetzen. Außerdem lassen sich Texte in vielen Sprachen generieren, was den Angreifern eine bessere Abdeckung der jeweiligen Landessprache ermöglicht.

Details

Meistgelesene BLOGS

Mario Buchinger
03. April 2023
Das Alte bewahren - und wie man dadurch die eigene Wettbewerbsfähigkeit aufs Spiel setzt
Aktuell wird viel darüber diskutiert, warum Europa und hier insbesondere Länder wie Deutschland und Österreich an Wettbewerbsfähigkeit und Attraktivität einbüßen. Reflexartig werden dafür grüne Partei...
Read More
Redaktion
15. Februar 2023
28. qualityaustria Forum – Erfolgsfaktoren der Zukunft: Der Mensch macht den Unterschied
Beim 28. qualityaustria Forum, das am 22. März 2023 als Hybrid-Event (online und vor Ort im Salzburg Congress) unter dem Motto „Erfolgsfaktoren der Zukunft: Der Mensch macht den Unterschied" stattfind...
Read More
Redaktion
17. Februar 2023
Sinnlichkeit ist unvergänglich
Wir leben in einer Zeit der schnell wachsenden Technologien. Das macht unseren Alltag einfacher, komfortabler, schnelllebiger und leider auch gefühlsärmer. Viele Menschen sehnen sich deshalb nach mehr...
Read More
Alfons A. Flatscher
06. Februar 2023
Es kann nur einen geben…
Die Spirale der Eskalation dreht sich immer schneller. Es geht um mehr als nur die Ukraine, es geht um die Hegemonie. NATO gegen Russland – bis zum bitteren Ende.Edward Kennedy, der 2009 verstorbene S...
Read More
Mario Buchinger
09. März 2023
UX - Irrtümer, die man vermeiden sollte
UX, also die Erfahrungen von Anwender*innen bei der Entwicklung von Produkten einzubinden, ist gut und richtig. Der Trend ist nicht neu und trotzdem tun sich viele noch immer damit schwer. Ein Grund s...
Read More
Angela Heissenberger
18. April 2023
Simple Rechnung
Ein wichtiger Teil der Energiewende betrifft den Umstieg von fossiler zu erneuerbarer Energie. Fast noch wichtiger ist aber die thermische Sanierung der Gebäude, denn eine Wärmepumpe arbeitet effizien...
Read More
Tobias Tretzmüller
16. März 2023
Die praktische Bedeutung von Open-Source-Software
In einer neuen Serie zu Open-Source-Software und Recht legen wir in Teil 1 den Blick auf die praktische Bedeutung von Open Source Software.Software wird heute in wesentlichen Teilen auf Grundlage von ...
Read More
Mario Buchinger
11. April 2023
Künstliche Intelligenz: Keine Lösung für alle Probleme
Künstliche Intelligenz (KI) gilt als ein Megatrend, der fast alle Probleme lösen soll. Nicht wenige sehen darin einen Sprung in unserer Entwicklung. Einige glauben sogar, dass uns diese Technologie na...
Read More

MEDIADATEN

Report (+) PLUS 2023  Telekom & IT Report 2023
Bau & Immobilien Report 2023  Energie Report 2023
 Report Online 2023
  Datenschutzerklärung   Allgemeine Geschäftsbedingungen

Log in or Sign up

Social Icon Social Icon Social Icon Social Icon Social Icon