Gefahr durch Spear-Phishing auf Basis von Künstlicher Intelligenz

Die Pandemie hat zu einem deutlichen Anstieg von Cyberkriminalität und Phishing geführt. Vor allem durch den Einsatz Künstlicher Intelligenz werden die Hackerangriffe ausgefeilter. Und immer öfter richten sie sich oftmals direkt gegen Mitarbeitende. Cyber-Kriminelle nutzen die neue Arbeitswelt mit Homeoffice und Remote Work gezielt für verdeckte Angriffe[1].

Ist das Problem nun so groß, dass die verantwortlichen Unternehmen besorgt sein müssen? Laut den Informationen des ENISA (European Network and Information Security Agency) Threat Landscape 2021, ist genau das der Fall: „RDP and phishing remain the most common attack vectors.“[2]

Die Lage verschärft sich durch Technologien wie Spear- bzw. Voice-Phishing sowie KI-Sprachmethoden wie Natural Language Processing (NLP). Mit geringem Aufwand lassen sich damit raffinierte Social Engineering-Angriffe für eine Vielzahl potenzieller Opfer konzipieren.

Nur ein einziger Klick auf eine schädliche E-Mail kann ein gesamtes Unternehmen lahmlegen, einen hohen finanziellen Schaden verursachen und den Verlust der Integrität nach sich ziehen. Der typische Ablauf ist wie folgt:

1. E-Mail mit Dateianhang an eine Zielperson schicken
2. Die Zielperson zum Klick auf den Link animieren
3. Weitere Informationen von der Person einfordern – insbesondere in Bezug auf Anmeldedaten.

Angesichts der Risiken ist es wichtig, dass Unternehmen neben technischen Vorkehrungen alle Mitarbeiter explizit in das gesamte Sicherheitskonzept einbeziehen.

So funktioniert Spear-Phishing

Spear-Phishing ist ein Cyberangriff, bei der oft hochrangige Mitarbeiter eines Unternehmens als Zielperson ausgesucht werden. In der Regel wird das Opfer über einen längeren Zeitraum ausspioniert, um individuelle Gewohnheiten und Präferenzen in Erfahrung zu bringen. Auf Basis dieser Daten werden personenbezogene E-Mail-Angriffe mit individueller Ansprache entwickelt. Cyberkriminelle geben sich zum Beispiel als Online-Händler, Vertreter eines Finanzinstituts, als Familienmitglieder, Bekannter oder Kollegen aus, um Vertrauen zu gewinnen.

Die E-Mails sind so konzipiert, dass die Absenderadresse und die Inhalte auf den ersten Blick authentisch echt wirken. Der Angreifer versucht auf diese Art an sensible persönliche Informationen wie Zugangsdaten für Online-Konten oder Geschäftsgeheimnisse zu gelangen. Dabei erlaubt der Einsatz von KI die Erstellung beliebig skalierbarer E-Mails, die frei verfügbare Daten von Social Media-Profilen oder öffentlichen Quellen nutzen.

Spezielle Spear-Phishing-App sensibilisiert

Um Organisationen vor KI-basierten Spear-Phishing-Angriffen zu schützen, ist eine Simulation entsprechender Angriffsszenarien sehr sinnvoll. Dadurch lassen sich Erkenntnisse über das Verhalten im Umgang mit solchen Cybergefahren gewinnen.

Genau hierfür hat Reply eine Spear-Phishing-App als Proof of Concept (PoC) entwickelt. Damit können mögliche Vorgehensweise von Hackern untersucht und entsprechende Maßnahmen abgeleitet werden. Die App erstellt eine über KI generierte E-Mail, die Informationen, Kontakte oder Interessen einer Zielperson über Social Media-Kanäle wie LinkedIn, Facebook oder Twitter einholt. Daraus generiert sie einen Text, der möglichst echt aussieht. Neue Sprachmodelle wie eine GPT3-Engine (Generative Pre-trained Transformer 3) sind mit nur wenig Eingaben in der Lage, Inhalte zu generieren, die Originalen gleichen.

Aus LinkedIn werden Informationen wie Name, Stadt, Ausbildung, Erfahrungen und Kontakte verwendet. GPT3 ist das größte neuronale Netz, das mithilfe von Daten aus dem Internet trainiert wurde. Auf dieser Basis lässt sich über Open AI eine Phishing-Mail erstellen. Die App nutzt die AWS Cloud, um Schnittstellen aufzubauen und Mails zu generieren. Der täuschend echte Text erzeugt über die persönlichen Informationen sowohl Neugier als auch einen bestimmten Druck zum Reagieren. Die Malware versteckt sich im Anhang oder in einem Link.

Abbildung: Durchführung einer gezielten Spear-Phishing-Attacke mit Hilfe von KI. Quelle: Reply

Über die App können Unternehmen eine E-Mail-Adresse mit Namen eingeben und sich ein Beispiel einer Spear-Phishing-Mail zeigen lassen. Über KI ist es möglich, in kürzester Zeit große Mengen überzeugend gestalteter, individualisierter Phishing-Mails zu generieren. Im Vergleich zu einer herkömmlichen Phishing-Attacke steigt die Wahrscheinlichkeit eines Treffers überproportional.

Bewusstsein schaffen und Maßnahmen treffen

Nachhaltiges Awareness-Training bildet die Grundlage für eine erfolgreiche Hackerabwehr. Nur mit einem geschulten Auge lassen sich Spear-Phishing-Mails frühzeitig erkennen und Angriffe abwehren. Neben der Sensibilisierung der Belegschaft müssen Unternehmen oder Organisationen herausfinden, welche Tools Unternehmen zur Verfügung stehen und passende IT-Sicherheitsmaßnahmen für verschiedene Cybersecurity-Attacken treffen können.

Die gewonnenen Erkenntnisse helfen Unternehmen dabei, sich mittels verschiedener Initiativen wie Trainings, Penetrationstests (Pentest) oder Red-Teaming-Exercises abzusichern. Pentests richten sich auf die Applikation, einzelne Rechner oder Netzwerke. Red-Teaming basiert auf Szenarien und wird mit einem breiten Ansatz ausgeführt. Dabei wird ermittelt, ob bei einer Firma mögliche Schwachstellen in den Prozessen oder Systemsicherheit vorliegen. Der Angriff kann als ein „Social Engineering“-Angriff ausgeführt werden, eine Phishing-Kampagne, aber auch physischer Zugang und Zugriff auf Information und Systeme sein. Darüber hinaus kann man prüfen, ob Vorfälle erkannt werden und wie gut die Reaktion auf solche ist.

Abschließend können Unternehmen konkrete Gegenmaßnahmen in die Wege leiten. Neben der Sensibilisierung der Mitarbeiter sind das auch und vor allem prozessorientierte Maßnahmen, um Angriffe, zu verhindern oder einzudämmen. Dazu gehören das Management von Schwachstellen, der Einsatz von Patches sowie Anti-Malware/Phishing Software, aber auch die Simulation von Angriffen, der Einsatz von Anomalie-Erkennung, Sandboxing-Systeme sowie eine sichere Konfiguration aller Unternehmenssysteme. Hier kann zum Beispiel der gehostete E-Mail-Sicherheitsdienst von Microsoft – Exchange Online Protection (EOP) – Verwendung finden. Er nutzt alle bisherigen Erkenntnisse, um neue Antiphishing-Richtlinien in Portalen wie dem Microsoft Defender Portal zu konfigurieren. Solche Portale kombinieren Schutz, Erkennung, Untersuchung und Reaktion auf E-Mail-, Identitäts-, Geräte- und App-Bedrohungen an einem zentralen Ort.

Zusammenfassend lässt sich festhalten, dass sich Phishing nicht trivial bekämpfen lässt. Unserer Einschätzung nach werden wir derartige Angriffe noch für viele Jahre sehen. Dabei werden technische Gegenmaßnahmen nie einen vollkommenen Schutz bieten. Eine Ergänzung mit erhöhter Security Awareness und Angriffssimulationen ist daher sinnvoll wie effektiv.

Autor: Ibrahim Koese, Associate Partner Spike Reply und Teil der Practice “Cybersecurity” bei Reply

Reply bietet Beratung, Systemintegration und digitale Dienstleistungen für Unternehmen in den Bereichen Telekommunikation und Medien, Industrie und Dienstleistung, Banken und Versicherungen sowie in der öffentlichen Verwaltung. www.reply.com

[1] https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

[2] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021/@@download/fullReport