Social Engineering – eine neue, hocheffektive Angriffswelle steht bevor

Nimmt man die Angriffsmethoden, die derzeit unter Cyberkriminellen am populärsten sind, einmal genauer unter die Lupe, zeigt sich rasch, dass Social Engineering und Phishing hier nach wie vor die Pole Position einnehmen – weltweit. Statt auf technologische Sicherheitslücken und Hintertüren setzt die Mehrheit der Angreifer nach wie vor auf die Schwächen und das Unwissen ihrer menschlichen Opfer.

70 bis 90 Prozent aller böswilligen Sicherheitsverletzungen lassen sich auf Social-Engineering- und Phishing-Angriffe zurückzuführen – mit wachsender Tendenz. Denn: auch in der Welt der Cyberkriminellen beginnt künstliche Intelligenz (KI) sich zunehmend bemerkbar zu machen.

In den kommenden 12 Monaten, davon ist auszugehen, werden Unternehmen die Auswirkungen der zunehmenden Nutzung von KI durch Social Engineering-Angreifer immer stärker zu spüren bekommen. Eine neue Generation von Social Engineering-Angriffskampagnen – weitaus effektiver als ihre klassischen, manuell erstellten Vorgänger der vergangenen Jahre – wird dann die Posteingänge der Unternehmen fluten.

Geplant, erstellt und umgesetzt mit Unterstützung von KI-Agenten. Vorbei die Zeiten in denen Social Engineering-Angreifer eher schwerfällig agierten, generische Inhalte eher schlechter Qualität ablieferten, geringe Trefferquoten durch den Massenversand von Emails und anderer Nachrichten auszugleichen suchten. Automatisiert können Kampagnen nun personalisiert und optimiert werden – 24 Stunden am Tag, sieben Tage die Woche, bei minimalen Kosten für den Angreifer.

In den kommenden Monaten wird sich jeder Cyberkriminelle mit dem Einsatz von KI-gestützten Tools und Deepfakes vertraut zu machen suchen. Gleichzeitig wird eine wachsende Zahl Cyberkrimineller, die im Darknet Hacking- und Phishing-Toolkits zum Kauf anbieten, beginnen, ihre Service-Tools um bösartige KI-Agenten zu erweitern.

Schon bald wird das Groß der betrügerischen E-Mails, SMS- und Sprachnachrichten dann von Social Engineering-KI-Agenten entworfen, erstellt und versandt werden. Die Skripte, die die KI-Tools hierzu verwenden, werden dabei personalisierter und glaubwürdiger – und damit auch erfolgreicher – sein als jemals zuvor.

Aktuelle Daten der KI-gesteuerten Phishing-Test-Agenten AIDA von KnowBe4 zeigen eine Erfolgsquote, die 200 bis 300 Prozentpunkte über denjenigen manuell erstellter Kampagnen liegt. Noch vor nicht allzu langer Zeit hatte die KI hier nur 7 Prozentpunkte besser abgeschnitten. Mit weiteren Verbesserungen KI-gestützter Social Engineering-Angriffe ist bei den rasanten Fortschritten der KI-Modellentwicklung fest zu rechnen.

Cybersicherheitsverantwortliche tun deshalb gut daran, von einer Verschärfung der Lage auszugehen – und frühzeitig gegenzusteuern.

Effektiv helfen kann ihnen ein modernes Human Risk Management. Dessen Phishing-Trainings, -Schulungen und -Testslassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Technologien kombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen aufzuspüren und zu neutralisieren. Mit solchen und ähnlichen Systemen wird es ihnen möglich sein, die Human Risks der Belegschaft ihres Unternehmens zurückzufahren und ihre Mitarbeiter zu ihrer besten Verteidigung im Kampf gegen Cyberbedrohungen – auch KI-gestützte – zu machen.

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Das könnte Sie ebenfalls interessieren