Der auf künstlicher Intelligenz basierende Chatbot ChatGPT macht weltweit Schlagzeilen – dabei steht auch die IT-Sicherheit im Fokus der Diskussionen. Denn trotz aller Sicherheitsbemühungen des Herstellers bringt die breitere Verfügbarkeit des Tools neue Herausforderungen mit sich, etwa wenn es um Phishing-Köder oder dialogorientierte Betrugsmaschen wie Romance Scams oder geschäftlich ausgerichtete Kompromittierungsangriffe via E-Mail geht.
Phishing-Köder mit KI verbessern
„Eines der größten Risiken besteht darin, dass Angreifer diese Plattformen nutzen, um die Qualität ihrer Phishing-Köder erheblich zu verbessern. Damit sind Phishing-Angriffe selbst für aufmerksame Nutzer immer schwieriger zu identifizieren“, so Chet Wisniewski vom Cybersecurity-Spezialisten Sophos. „Letztendlich liefern die immer besseren KI-Chatbots ein kostenloses Upgrade für alle Arten von Social-Engineering-Angriffen.“ Programme wie ChatGPT könnten dazu genutzt werden, kriminell orientierte, sehr realistische, interaktive Gespräche via E-Mail zu führen oder Chat-Angriffe über Facebook Messenger, WhatsApp oder andere Chat-Apps zu starten, sagt Wisniewski. Die größte Gefahr bestehe heute für die englischsprachige Zielgruppe. Es sei aber wahrscheinlich nur eine Frage der Zeit, bis neue Versionen verfügbar sind, um glaubwürdige Texte in allen häufig gesprochenen Sprachen der Welt zu erstellen. „Wir haben ein Stadium erreicht, in dem Menschen immer öfter nicht in der Lage sind, maschinengenerierte Prosa von der von Menschen geschriebenen zu unterscheiden – im Besonderen, wenn wir das Gegenüber nicht gut kennen.“ Wie ChatGPT dieses Element aushebeln kann, zeigt das folgende Beispiel: Der originale Ködertext eines BEC-Betrügers (Business E-Mail Compromise), der versucht, den Gehaltsscheck einer anderen Person auf das Konto des Angreifers umzuleiten, ist relativ einfach als ’nicht echt‘ zu erkennen. Im Vergleich dazu steht im Anschluss eine Variante, die durch die Eingabe der entsprechenden thematischen Eckpunkte von ChatGPT geschrieben wurde.
Standard Betrugs-E-Mail:
Hi ….,
I changed my banks because of my old account is no longer good to accept dd payment and I’ll like to change my paycheck direct deposit details, can the change be effective for the current pay date?
Thanks, ….
Von ChatGPT geschriebener Text:
Dear HR,
I am writing to request that you update my direct deposit information in the company’s payroll system. My current bank account information is no longer valid and I will be switching to a new bank.
Could you please let me know what information you need in order to update my direct deposit information? I am happy to provide any necessary details.
I would also like to request that this update be made in time for the next payroll period. Is there anything else I need to do to ensure a smooth transition?
Thank you for your attention in this matter. I appreciate your help in ensuring that my paychecks are deposited into the correct account.
Sincerely,
[Your name]
„Beide Beispiele klingen wie die E-Mail einer realen Person, haben gute Zeichensetzung, Rechtschreibung und Grammatik. Sind sie perfekt? Nein. Sind sie gut genug? Auf jeden Fall! Da Betrüger bereits Millionen mit ihren schlecht gefertigten Ködern verdienen, lässt sich die neue Dimension dieser KI-gepushten Kommunikation leicht vorstellen. Stellen sie sich vor, sie würden mit diesem Bot über WhatsApp oder Microsoft Teams chatten. Hätten sie die Maschine erkannt?“, sagt Wisniewski.
KI kann den Menschen täuschen
Nahezu alle Anwendungsarten im Bereich KI seien bereits an einem Punkt angelangt, an dem sie einen Menschen in fast 100 Prozent der Fälle täuschen können, so die Sophos-Experten. Die Qualität des ‚Gesprächs‘, das mit ChatGPT geführt werden könne, sei bemerkenswert. Und auch die Fähigkeit, gefälschte menschliche Gesichter zu erzeugen, die (für Menschen) von echten Fotos fast nicht zu unterscheiden sind, sei ebenfalls bereits Realität. Sophos