Realitätscheck: Welche Auswirkungen hat GenAI tatsächlich auf Phishing?

Phishing-Angriffe und E-Mail-Betrügereien nutzen KI-generierte Inhalte, die mit Anti-AI-Inhaltslösungen getestet wurden. Einen Beleg dafür liefert der Bericht des Cybersecurity-Anbieters Abnormal Security, AI Unleashed: 5 Real-World Email Attacks Likely Generated by AI in 2023. Die Ergebnisse zeigen, dass die Wahrscheinlichkeit, dass E-Mails heute von AI geschrieben werden, sehr hoch ist.

Die Analysten machen das an einem Farbschema deutlich und liefern zahlreiche Beispiele. Die Kodierung dort zeigt an, wie vorhersehbar das nächste Wort aufgrund seines Kontexts auf der linken Seite ist. Die farbigen Wörter bedeuten, dass sie zu den 10, 100 oder 1000 am häufigsten vorhergesagten Wörtern gehören, die von der KI stammen. Die Einfärbung ist ziemlich vernichtend, denn es ist unwahrscheinlich, dass ein Mensch so vorhersehbar ist, dass er mit LLM-basierten KI-Tools mithalten kann. Der Bericht weist auch auf das Fehlen von Tipp- und Grammatikfehlern hin, was bedeutet, dass diese E-Mails überzeugender und schwieriger als von einem Social Engineer geschrieben zu identifizieren sind.

Generell sind Phishing-Trends immer saisonabhängig. Zu Jahresbeginn sind es die Betreffzeilen mit dem Thema Steuererklärung, danach sind es die Sommerferien und an einem anderen die Feiertage. Der Einsatz von KI ist hier noch nicht zwingend erkennbar. Allerdings gibt es spektakuläre Fälle, in denen KI für Social Engineering eingesetzt wird. Aktuelle Beispiele sind der 25 Mio. US-Dollar CFO-Fraud bei einem Unternehmen in Hong Kong mit Hilfe von Deepfakes. Spear-Phishing oder Voicefakes wurden ebenfalls eingesetzt. Dies bleiben jedoch Ausnahmen, wenn die Angreifer sehr gezielt vorgehen.

Bei Massen-Phishing-E-Mails gestaltet sich die Situation anders. Die Analysen von KnowBe4 zeigen, dass sich diese Phishing-Versuche durch längere E-Mails mit mehreren Absätzen unterscheiden. Beliebte funktionierende Betreffzeilen sind hier zumeist Aktualisierungen von Richtlinien oder Ankündigungen. LLMs können bei dieser Art von Phishing E-Mails helfen. Cyberkriminelle können aber auf diese Art von E-Mails aus kompromittierten Postfächern zugreifen. Die Fähigkeit automatisiert lange E-Mails zu schreiben, ist also nicht so neu und nützlich für sie. Darüber hinaus sind LLMs weniger nützlich für kürzere E-Mails, die spontane, informelle Unterhaltungen imitieren, die normalerweise mit schnellen, kurzen Fragen und Bitten beginnen, im Gegensatz zu mehrgliedrigen Abhandlungen. Letztlich verfügen Kriminelle bereits über eine große Sammlung dieser E-Mails. Denn sie haben diese Art des Social Engineerings in den letzten Jahren perfektioniert. Eine Verwendung eines LLM für diese Art von Interaktionen wirkt zu förmlich und steif. Mini-Essays sind für diese Art von Kommunikation einfach zu viel des Guten.

Zusammenfassend lässt sich feststellen, dass LLMs für Cyberkriminelle von gewissem Nutzen sind, aber er scheint vorerst begrenzt zu sein. Die Grundlagen des Anti-Social-Engineering-Trainings gelten weiterhin. Dennoch gibt es keinen Grund, warum ein KI-Tool nicht darauf trainiert werden kann, legitime E-Mail-Inhalte von bekannten Marken zu prüfen, um nahezu perfekte Phishing E-Mails zu erstellen. Unternehmen müssen ihre Mitarbeiter darauf vorbereiten. Der beste Weg dorthin, ist mit modernen Formen des Security Awareness-Trainings, die mit einer Mischung aus simuliertem Phishing und interaktiven Trainingsinhalten, die jederzeit über eine zentrale Plattform abrufbar sind.

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4