Wie KI zum Helfer bei Phishing-Attacken wird

Darum wird Phishing durch KI noch gefährlicher

Die Zeit schlecht gemachter Phishing-Mails geht angesichts der Fähigkeiten von Künstlicher Intelligenz (KI) zu Ende. Früher ließen sich viele Mails, die auf den Diebstahl von Passwörtern abzielten, leicht erkennen:

• an Rechtschreibfehlern,
• an fehlerhaftem Deutsch und
• daran, dass man sich bei Online-Banken einloggen sollte, deren Kunden man gar nicht war.

Die Angriffe waren nicht zielgenau genug. Die Internetkriminellen waren früher aber nicht etwa dumm oder wenig motiviert. Der Aufwand für fehlerfreie, gut gemachte und zielgenaue Phishing-Mails war einfach zu groß. Es waren Hintergrund-Recherchen nötig, die Zeit kosteten.

Doch mit KI lässt sich auch der Aufwand bei kriminellen Aktivitäten senken. KI kann leider auch dabei helfen, Phishing-Mails zu optimieren. Entsprechend werden die Phishing-Attacken besser, erfolgreicher und zu einem noch höherem Datenrisiko. Es ist wenig Aufwand, statt massenhaft fehlerhafte Phishing-Mails zu platzieren, nun zielgerichtet und genau für das Opfer passend eine Attacke zu starten. Spear-Phishing wird mit KI so zum Normalfall.

Deshalb müssen Datenschutzbeauftragte aktiv werden

Aus Sicht des Datenschutzes und von Datenschutzbeauftragten (DSB) sind Phishing-Attacken ein mehrfaches Risiko:

• Gelingt der Passwort-Diebstahl, hat der Angreifende in der Regel alle Zutaten, um die digitale Identität des Opfers vorzutäuschen. Denn ohne zweiten Sicherheitsfaktor reichen Benutzername und Passwort aus, um Nutzerzugänge zu übernehmen, also digitale Identitäten und damit personenbezogene Daten stehlen.
• Mithilfe der gestohlenen Passwörter können die Diebe die Berechtigungen des Opfers missbrauchen, in dessen Namen weitere Attacken starten und entsprechend zusätzliche, auch personenbezogene Daten stehlen, ausspähen, manipulieren und vernichten.

Weisen Sie als DSB in Ihrer Beratung und Datenschutzschulung auf die wachsende Gefahr durch KI-basierte Phishing-Mails hin. Besprechen Sie mit der IT-Sicherheit, wie sich der Phishing-Schutz anpassen lässt.

Das sind die Risiken durch KI bei Phishing-Attacken

IT-Sicherheitsbehörden wie BSI (Bundesamt für Sicherheit in der Informationstechnik) und ENISA (EU-Agentur für Cybersicherheit) warnen schon längere Zeit vor dem Missbrauchspotenzial bei KI.

Aktuell zeigt ChatGPT, wie dies immer mehr Realität wird:

• „Eines der größten Risiken besteht darin, dass Angreifer diese Plattformen nutzen, um die Qualität ihrer Phishing-Köder erheblich zu verbessern. Damit sind Phishing-Angriffe selbst für aufmerksame Nutzer immer schwieriger zu identifizieren“, so Chet Wisniewski, Cybersecurity-Experte bei Sophos. „Letztendlich liefern die immer besseren KI-Chatbots ein kostenloses Upgrade für alle Arten von Social-Engineering-Angriffen. Programme wie ChatGPT können dazu genutzt werden, kriminell orientierte, sehr realistische, interaktive Gespräche via E-Mail zu führen oder Chat-Angriffe über Facebook Messenger, WhatsApp oder andere Chat-Apps zu starten.“
• „Was Spear-Phishing betrifft, so ist es ziemlich teuer, wenn ein lebender Cyberkrimineller eine E-Mail an ein einzelnes Opfer schreibt. Daher wird es nur bei gezielten Angriffen verwendet“, bestätigt der Kaspersky-Experte Stan Kaminsky. „ChatGPT wird die Machtverhältnisse drastisch verändern, weil es Angreifern ermöglicht, überzeugende und personalisierte E-Mails im industriellen Maßstab zu generieren.“

So gelingt ein besserer Schutz vor Phishing

Da sich die Werkzeuge aufseiten der Angreifenden dramatisch verbessern, muss sich die Abwehr ebenfalls besser aufstellen, den Phishing-Schutz also optimieren. Beraten Sie als DSB die Verantwortlichen, damit sie die Schutzfunktionen gegen Phishing-Attacken ausbauen.

• Neue Anti-Phishing-Filter nutzen zunehmend Textanalysen, die nach Anzeichen suchen, ob ein Chatbot oder ein Mensch den Text geschrieben hat.
• Security-Expertinnen und -Experten erwarten, dass bald KI-basierte Dienste dabei helfen werden, KI-generierte Texte zu enttarnen und gleichzeitig auf Anzeichen für Phishing zu achten.
• Dabei ist wahrscheinlich, dass es auch Phishing-Texte geben wird, die eine KI und ein menschlicher Angreifer gemeinsam erstellen.

Erneut zeigt sich, wie wichtig es für Datenschutz und Datensicherheit wird, KI transparent und nachvollziehbar zu machen. Denn KI kann auf beiden Seiten aktiv sein.

Oliver Schonschek