Wir sind alle das Ziel: Generative KI und die Automatisierung von Spear-Phishing

Vor nicht allzu langer Zeit konnten wir Phishing-E-Mails an ihrer schlechten Rechtschreibung, Grammatikfehlern und nicht-englischen Syntax erkennen. Wir konnten weit verbreitete, allgemeine Tricks erkennen, wie etwa den Betrug mit dem nigerianischen Prinzen. Die meisten von uns sind noch nie Opfer von ausgeklügeltem, gezieltem Spear-Phishing geworden, da den Kriminellen der Aufwand für die Recherche unseres Hintergrunds und das Verfassen personalisierter Nachrichten zu hoch war. Mit generativer KI ändert sich das schnell. Als Sicherheitsexperten müssen wir uns auf die Konsequenzen vorbereiten.

Generative KI ermöglicht die End-to-End-Automatisierung von Spear-Phishing, senkt die Kosten und erweitert seine Nutzung. Denken Sie an die Arbeit, die ein Angreifer betreiben muss, um eine wirksame Spear- Phishing- Nachricht für einen Business-E-Mail-Kompromittierung (BEC) zu erstellen. Der Angreifer sucht sich ein Ziel aus, durchsucht dessen soziale Medien, findet dessen engste Verbindungen heraus und findet die Interessen des Ziels heraus. Mit diesen Informationen verfasst der Angreifer eine personalisierte E-Mail in einem Ton, der keinen Verdacht erregen soll. Die Arbeit erfordert ein aufmerksames Verfolgen von Hinweisen und psychologische Intuition.

Könnte diese Arbeit automatisiert werden? Angreifer automatisieren sicherlich das Scraping von Social-Media-Inhalten und nutzen Credential Stuffing, um Konten zum Sammeln von Informationen zu übernehmen . Durch Automatisierung können Angreifer ein Wissensdiagramm über das Leben eines Ziels erstellen.

Mithilfe dieses Wissensgraphen können Angreifer höchstpersönliche Informationen in einen ChatGPT-ähnlichen Dienst – ohne ethische Schutzmaßnahmen – einspeisen, um gezielte und wirksame Spear-Phishing-Nachrichten zu erstellen. Der Angreifer könnte ganze Nachrichtensequenzen erstellen, die sich über mehrere Kanäle von E-Mail bis zu sozialen Medien erstrecken und die Nachrichten von mehreren gefälschten Konten stammen, von denen jedes über eine sorgfältig ausgearbeitete Persona verfügt, die auf der Grundlage der Vertrauensneigung des Ziels generiert wurde.

Es gibt Anzeichen dafür, dass diese Bedrohung unmittelbar bevorsteht. Berichte über neue Angriffstools, die im Darknet zum Verkauf stehen, darunter WormGPT und FraudGPT , deuten darauf hin, dass Kriminelle begonnen haben, generative KI für schändliche Zwecke, darunter Phishing, einzusetzen. Zwar ist der Einsatz dieser Technologie noch nicht in großem Maßstab und in durchgängiger Automatisierung erfolgt, aber die Teile fügen sich zusammen und die wirtschaftliche Dynamik der Internetkriminalität macht die Entwicklung nahezu unvermeidlich.

Innerhalb der Ökonomie der Cyberkriminalität gibt es eine Spezialisierung, die Innovationen vorantreibt. Nach Schätzungen des Weltwirtschaftsforums (WEF) stellt die Cyberkriminalität heute den drittgrößten Wirtschaftsfaktor der Welt dar und liegt damit hinter den USA und China. Die Kosten dürften im Jahr 2023 acht Billionen und im Jahr 2025 bereits 10,5 Billionen Dollar erreichen. Wie in jeder großen Volkswirtschaft gibt es auch in der Cybercrime-Wirtschaft Anbieter mit Spezialisierungen: Es gibt Anbieter, die gestohlene Zugangsdaten verkaufen, Anbieter, die Zugriff auf kompromittierte Konten gewähren, und Anbieter, die IP-Adress-Proxying für zig Millionen private IP-Adressen anbieten.

Darüber hinaus gibt es Phishing-as-a-Service- Anbieter, die komplette Toolkits von E-Mail-Vorlagen bis hin zu Echtzeit-Phishing-Proxy-Sites anbieten. (Lesen Sie Jay Kelleys Artikel darüber, wie Phishing-Sites gültiges TLS verwenden, um echte Sites zu fälschen.) Während die Anbieter um die Geschäfte der Kriminellen konkurrieren, werden die höchsten Preise an jene Unternehmen gehen, die den kostengünstigsten End-to-End-Service anbieten – eine Dynamik, die die Automatisierung des Spear-Phishings wahrscheinlich vorantreiben wird. Wir können uns Organisationen vorstellen, die sich auf verschiedene Arten der Datenerfassung rund um Ziele, Datenaggregation und LLMs spezialisiert haben, die sich auf bestimmte Branchen konzentrieren oder sich auf bestimmte Arten von Betrug spezialisiert haben.

Angesichts der Wahrscheinlichkeit einer Zunahme von Spear-Phishing-Angriffen auf neue Ziele müssen Unternehmen ihre bestehenden Anti-Phishing-Maßnahmen verstärken.

Schulung zur Sensibilisierung für Phishing auf höchstem Niveau: Es ist schon lange wichtig, Mitarbeiter regelmäßig über die Gefahren von Phishing aufzuklären, ihnen beizubringen, wie sie verdächtige E-Mails erkennen und welche Schritte sie im Falle eines potenziellen Phishing-Versuchs unternehmen sollten. Viele Organisationen schulen ihre Mitarbeiter jedoch darin, Phishing-E-Mails anhand von Rechtschreib- und Grammatikfehlern zu erkennen. Stattdessen müssen die Mitarbeiter intensiver geschult werden, damit sie auf Anfragen achten, die von einer nicht vertrauenswürdigen oder nicht überprüften Quelle stammen. Wenn Sie simulierte Phishing-Kampagnen durchführen, um die Fähigkeit der Mitarbeiter zum Erkennen von Phishing-E-Mails zu testen, verwenden Sie Phishing-Nachrichten, die gut geschrieben und professionell sind, sich an bestimmte Mitarbeiter richten und aus Quellen stammen, die legitim erscheinen.

Schützen Sie sich vor Echtzeit-Phishing-Proxys: Angreifer verwenden häufig Phishing, um die Multi-Faktor-Authentifizierung (MFA) über Echtzeit-Phishing-Proxys zu umgehen. Die Kriminellen nutzen Phishing, um Benutzer dazu zu verleiten, ihre Anmeldeinformationen und ihr Einmalkennwort auf einer von ihnen kontrollierten Site einzugeben. Anschließend leiten sie die Site an die echte Anwendung weiter, um Zugriff zu erhalten. (Weitere Informationen zur Umgehung und Abwehr von MFA finden Sie im Whitepaper: Löst MFA die Gefahr einer Kontoübernahme? )

Schützen Sie sich stärker vor der Übernahme von Konten: Kriminelle erlangen durch Credential Stuffing mit Bots in großem Umfang die Kontrolle über Konten, was zu einer massiven Übernahme von Konten führt. Neben dem Finanzbetrug sammeln Kriminelle durch Scraping auch zusätzliche persönliche Daten, die sie für weitere Phishing-Angriffe verwenden können. Für eine wirksame Abwehr von Bots sind eine umfassende Signalerfassung und maschinelles Lernen erforderlich.

Bekämpfen Sie KI mit KI: Da Kriminelle generative KI für Betrugszwecke ausnutzen, sollten Unternehmen KI zu ihrer Verteidigung nutzen. F5 arbeitet mit Organisationen zusammen, um die Vorteile einer umfassenden Signalerfassung und KI zur Betrugsbekämpfung zu nutzen. F5 Distributed Cloud Account Protection überwacht Transaktionen während der gesamten Benutzerreise in Echtzeit, um böswillige Aktivitäten zu erkennen und genaue Betrugserkennungsraten zu liefern. Wenn Sie Betrug innerhalb von Anwendungen erkennen können, verringert dies den Schaden durch Phishing. (Die Überprüfung des Datenverkehrs mit KI erfordert eine effiziente Entschlüsselung des Datenverkehrs, was Sie mit der TLS-Orchestrierung effizient erreichen können.)