Inhalt
summary Zusammenfassung

Ein IBM-Forschungsteam untersucht, wie effektiv generative KI beim Social Engineering und beim Verfassen von Phishing-E-Mails ist.

Anzeige

Die Forscher verwendeten fünf ChatGPT-Prompts, um Phishing-E-Mails für bestimmte Branchen zu erstellen. Die Prompts konzentrierten sich auf die Hauptanliegen der Mitarbeiter in diesen Branchen und wählten gezielt Social-Engineering- und Marketing-Techniken aus, um die Wahrscheinlichkeit zu erhöhen, dass die Mitarbeiter auf einen Link in der E-Mail klicken.

KI-Phishing ist qualitativ auf Augenhöhe mit menschlichem Phishing, aber viel schneller

Die von KI und Menschen generierten Phishing-E-Mails wurden dann in einem A/B-Test an über 800 Mitarbeitende versandt. Die Ergebnisse zeigten, dass KI-generierte Phishing-E-Mails nur geringfügig hinter von Menschen verfassten Phishing-E-Mails zurückblieben.

Die Klickrate bei KI-Phishing liegt fast auf Augenhöhe mit der Klickrate bei menschlichen Phishing-Mails. | Bild: Stephanie Carruthers via securityintelligence.com

Dass die menschlichen E-Mails noch einen Vorsprung hatten, liegt laut IBM an einer stärkeren Individualisierung und Personalisierung auf die Firma, während ChatGPT einen allgemeineren Ansatz wählte. Dennoch waren die E-Mail-Attacken von ChatGPT den menschlichen Angriffen beinahe ebenbürtig, auch wenn sie häufiger als verdächtig gemeldet wurden.

Anzeige
Anzeige
KI-Phishing-Mails waren etwas verdächtiger als menschliche Mails, aber der Abstand ist gering. | Bild: Stephanie Carruthers via securityintelligence.com

Der Unterschied liegt im Zeitaufwand: IBMs Red Team braucht etwa 16 Stunden, um eine qualitativ hochwertige Phishing-E-Mail zu verfassen. ChatGPT schaffte dies in fünf Minuten.

"Angreifer können potenziell fast zwei Tage Arbeit sparen, indem sie generative KI-Modelle verwenden", schreibt Stephanie Carruthers, Chief People Hacker bei IBM X-Force Red.

ChatGPTs Phishing-Versuch. | Bild: Stephanie Carruthers via securityintelligence.com
Die menschliche Phishing-Mail. | Bild: Stephanie Carruthers via securityintelligence.com

Die Forschenden von IBM verweisen auf Tools wie WormGPT, für Cyberangriffe optimierte LLMs, die online zum Kauf angeboten werden. Sie gehen davon aus, dass KI-Angriffe noch ausgefeilter werden und die menschlichen Angriffe übertreffen könnten, auch wenn sie selbst noch keine KI-Angriffe verzeichnet haben.

Interessant ist in diesem Zusammenhang ein Zitat, das der OpenAI-CEO Sam Atlman kürzlich äußerte: Er gehe davon aus, dass KI "übermenschliche Überzeugungskraft" haben werde, noch bevor sie dem Menschen generell intellektuell überlegen sei.

Um sich auf die sich verändernde Bedrohungslandschaft vorzubereiten, sollten Unternehmen und Verbraucher laut dem IBM-Sicherheitsteam folgende Empfehlungen beachten

Anzeige
Anzeige
Community beitreten
Kommt in die DECODER-Community bei Discord,Reddit, Twitter und Co. - wir freuen uns auf euch!
Empfehlung
  • Im Zweifelsfall den Absender anrufen, um die Legitimität einer E-Mail oder eines Telefonbetrugs zu überprüfen.
  • Überwindung des Klischees der Grammatik und Sensibilisierung der Mitarbeiter für die Länge und Komplexität von E-Mail-Inhalten.
  • Überprüfung von Social-Engineering-Programmen, einschließlich der Einbeziehung von Techniken wie Vishing in Schulungen.
  • Verschärfung der Identitäts- und Zugriffsmanagementkontrollen, um den Zugriff und die Berechtigungen der Nutzer zu überprüfen.
  • Ständige Anpassung und Innovation, um böswilligen Akteuren immer einen Schritt voraus zu sein.
Unterstütze unsere unabhängige, frei zugängliche Berichterstattung. Jeder Betrag hilft und sichert unsere Zukunft. Jetzt unterstützen:
Banküberweisung
Zusammenfassung
  • Ein IBM-Forschungsteam hat die Wirksamkeit von generativer KI bei der Erstellung von Phishing-E-Mails und beim Social Engineering untersucht und festgestellt, dass KI-generierte Phishing-E-Mails fast genauso wirksam sind wie von Menschen erstellte.
  • KI-generierte Phishing-E-Mails wurden in nur fünf Minuten erstellt, während menschliche Experten dafür etwa 16 Stunden benötigten, was zeigt, dass Angreifer durch den Einsatz generativer KI-Modelle Zeit sparen können.
  • Um sich vor dieser Bedrohung zu schützen, empfiehlt das IBM-Sicherheitsteam, Absender zu überprüfen, das Bewusstsein der Mitarbeitenden für E-Mail-Inhalte zu schärfen, Social-Engineering-Programme zu überprüfen, Identitäts- und Zugriffsmanagementkontrollen zu verstärken und sich laufend anzupassen und zu erneuern.
Online-Journalist Matthias ist Gründer und Herausgeber von THE DECODER. Er ist davon überzeugt, dass Künstliche Intelligenz die Beziehung zwischen Mensch und Computer grundlegend verändern wird.
Community beitreten
Kommt in die DECODER-Community bei Discord,Reddit, Twitter und Co. - wir freuen uns auf euch!