Phishing per GPT & LLMs: Altes Problem in immer verbesserten Formaten

Seit Mitte der Neunziger wurden Cyber- und insbesondere Phishing-Angriffe stetig verfeinert. Der Roll-out von ChatGPT (GPT-API) oder lokal gehosteten LLM verpasst der Angriffsart einen weiteren Entwicklungsschritt. An BaFin-regulierten Unternehmen wird die Konjunktur des KI-Phishings nicht vorbeigehen. Wie haben sich spezifische Angriffsarten in der jüngsten Vergangenheit entwickelt? Was kennzeichnet die gegenwärtige Bedrohungslage? 

von Markus Cserna, Cyan Digital Security

Aus heutiger Sicht lässt sich über Form und Inhalt obsoleter Hacker-Mails mit windigen Versprechen für schnelles Geld fast lachen. Sowohl in privaten als auch unternehmerischen Kreisen steigt die Awareness dafür, wie aggressiv die Jagd nach sensiblen Daten durch Cyberkriminelle vorangetrieben wird.

Historisch betrachtet war die Zahl der realen Betrugsfälle schon Mitte der Neunzigerjahre, zum Boom des Internets, hoch. Heute steigt sie weiter an, trotz wachsender Awareness für das Thema. Der deutsche Digitalverband Bitkom beziffert die Schäden allein 2023 auf 206 Milliarden Euro – das sind rund doppelt so viele wie 2019.

Den größten Schaden richten gemäß den Ermittlungen des Bundeskriminalamts (BKA) zufolge Erpressungen mit sogenannter Ransomware an. Firmen stehen als lukrative Ziele an erster Stelle der Hacker. Dabei werden ganze Datenbanken und IT-Systeme mit schädlichem Code lahmgelegt und die Firmen anschließend erpresst. Doch wie gelangt der Code eigentlich in die Unternehmen?

Das Haupteinfallstor ist und bleibt das E-Mail-Postfach. Die persönlichen Inboxen von Angestellten bieten die besten Zutrittsmöglichkeiten. Mitunter ist es Unwissen, oft nur Unachtsamkeit im hektischen Büroalltag – und schon erfolgt der Klick auf eine Phishing-Schadmail mit infiziertem Anhang oder Link, auf den nicht hätte geklickt werden dürfen. Prompt verbreitet sich danach der Schadcode im Unternehmen.”

Beste Firewall der Welt garantiert keine vollständige Resilienz

Im Jahr 2022 wurden nach Angaben von Experten und Recherchehäusern 3,4 Milliarden Phishing-E-Mails versendet. Pro Tag, wohlgemerkt. Ein großer Teil davon wird von den Anti-Viren-Programmen und Firewalls von Unternehmen, aber auch bei gut geschützten privaten Rechnern oder Laptops abgefangen.

Doch 3,4 Milliarden Mails pro Tag sind schlichtweg zu viel. Immer noch durchbrechen unzählige Mails die Schutzmauern. Wenn sie dann anschließend auf Mailnutzer stoßen, die aus Zeitmangel eine Mail nur überfliegen und wenig reflektiert alles anklicken, ist der Schaden perfekt. 

Mitte der 90er-Jahre machten in Deutschland die ersten Angriffe auf die Konten von Kunden des Webdienstes AOL Schule. Anhand von – aus heutiger Sicht eher durchschaubaren – Fake-Mails gelang es bereits damals, im großen Stil an die sensiblen Daten zu gelangen. Das mag in den frühen Jahren des Internets noch mit Sorglosigkeit und Leichtgläubigkeit zu erklären gewesen sein. Viele Kunden waren begeistert von ihren ersten Schritten im World Wide Web.

Gleichzeitig bildeten sich erste Hackerstrukturen in der digitalen Welt heraus, die Unternehmen und Verbraucher bis heute ins Visier nehmen. Betrüger wurden lange Zeit unterschätzt. Wer möchte schon ständig das Schlimmste annehmen?

Doch die finanziellen Schäden sprechen für sich: Das Geschäft der Datenangriffe lief und läuft leider noch immer gut: Zwischen 2010 und 2015 entstand im Onlinebanking durch Phishing deutschlandweit nach Schätzungen ein finanzieller Schaden von rund 122,9 Millionen Euro.

Daten als Gold der Cyberhacker

Auch die BaFin-regulierten Unternehmen sind in der Pflicht, sich gegen modernisierte Phishing-Attacken zu schützen. Firmen, welche beispielsweise für Kundensupport oder Beratung auf die KI zurückgreifen, vergessen, dass die KI BaFin-Regularien nicht berücksichtigt. Sollte am Ende des Tages ein umfangreicher Hack IT-Strukturen lahmlegen, wäre der Schaden nicht auf die KI, sondern auf den konkreten Anwender zurückzuführen.

Hinzu kommt: Zur Anmeldung oder für das Zwischenspeichern von Daten werden teilweise sensible Informationen angefordert. Cyberkriminellen wird so eine Möglichkeit mehr geboten, um über den Chatbot an personenbezogene Daten zu gelangen. Betroffene können im worst-case Mitarbeiter von Unternehmen sein, die diesen Umstand nicht mit einkalkulieren und sich angreifbar machen. Auch das ist eine digitale Einflugschneise, über die heute zu wenig gesprochen wird.

Der entscheidende Unterschied zu vergangenen Jahrzehnten und dem Status quo der Cyberkriminalität: Waren es früher noch spontane E-Mails planloser Gelegenheitshacker, handelt es sich bei den Angreifern von heute um erfahrene Profis. Sie arbeiten vermehrt dezentral organisiert in Netzwerken zusammen – und das nicht selten im Auftrag von finanzstarken Sponsoren.

Auch wenn Finanzdienstleister konstant nachrüsten: Es bleibt ein Restrisiko, das sich auch durch die beste IT-Sicherheitsstrategie und die höchsten Firewalls nicht ganz ausschließen lässt: der Faktor Mensch.”

Das betrifft ganz konkret die Mitarbeiterinnen und Mitarbeiter etwa einer Bank, die sich nicht komplett und hermetisch gegen die Außenwelt und damit auch Phishing-Mails abschirmen lassen. Ebenfalls betrifft es die Kundinnen und Kunden von Banken, die es immer wieder für das Thema zu sensibilisieren und aufzuklären gilt.

Konjunktur der KI wird beim Phishing zum Problem

Verschärfend kommt hinzu, dass nicht nur die absolute Zahl der Angriffe wächst – die 3,4 Milliarden Phishing Mails pro Tag dürften leider noch nicht das Ende markieren. Auch die Qualität der Angriffe nimmt zu. Hier machen sich Cyberkriminelle auch die Künstliche Intelligenz zu eigen.

Aufgrund von Sprachbarrieren falsch übersetzte Mailtexte mit falscher Orthografie und fehlerhaften Formulierungen dürften in Zeiten von ChatGPT und Co. der Vergangenheit angehören. Damit wird es selbst für Profis immer schwerer, Wahrheit und Betrug auseinanderzuhalten.

Die herausfordernde Nachricht für die gesamte Finanzindustrie heißt: Gerade durch KI rollt eine neue Phishing-Welle auf die Unternehmen zu. Und dabei könnten die Angegriffenen die Angreifer sogar mit deren eigenen Mitteln den Weg versperren. Gegen KI-basierte und -optimierte Phishing-Attacken hilft am besten die KI selbst.

Neue Anti-Phishing-Filter basieren im steigenden Maße auf Textanalysen, die nach Indizien dafür suchen, ob ein Chatbot oder ein Mensch den Text geschrieben hat. Bereits heute unterstützen KI-basierte Dienste dabei, KI-generierte Texte zu enttarnen und Phishing damit im Keim ad-hoc zu erkennen. KI stellt damit Problem und Lösung zugleich dar.

Heißt in der Conclusio: Phishing-Attacken sind bis heute eines der beliebtesten Werkzeuge von Hackern. Sich gegen diese und andere Angriffsarten zu schützen, bleibt mit die erste Priorität in Unternehmen. aj