Die Auswirkungen von KI auf Social Engineering
Künstliche Intelligenz (KI) erregt aufgrund der rasanten Fortschritte bei den jüngsten KI-Technologien und der Besorgnis über die Folgen dieser Fortschritte weiterhin Aufmerksamkeit. Im Bereich der Cybersicherheit ist der Einfluss von KI auf Social Engineering besonders bemerkenswert. Es ist bereits schwierig zu erkennen, ob die E-Mails, SMS und Anrufe, die Menschen bei der Arbeit erhalten, echt sind, und die Verbesserungen der KI werden die Sache nicht einfacher machen. Dieser Artikel untersucht die Auswirkungen von KI auf Social-Engineering-Taktiken und was dies für die Abwehr von Angriffen bedeuten könnte, die auf psychologischer Manipulation beruhen.
Überzeugendere Botschaften
Der Erfolg von Social Engineering hängt letztlich von der Fähigkeit ab, Menschen zu überzeugen. Viele Taktiken tragen dazu bei, die Chancen zu erhöhen, Menschen auszutricksen, wie z. B. das Erzeugen von Dringlichkeit oder das Ausnutzen kognitiver Verzerrungen. Eine der wirksamsten Überzeugungsmethoden besteht jedoch darin, den Gesprächsstil und den Tonfall zu übernehmen, den der Empfänger vom Absender gewohnt ist.
Dank der beeindruckenden Fortschritte bei der Verarbeitung natürlicher Sprache (NLP) können KI-Systeme heute riesige Datenmengen analysieren, um persönliche Vorlieben, Verhaltensmuster, Tonfall, Umgangssprache und demografische Daten zu verstehen.
Mithilfe von NLP können Bedrohungsakteure äußerst personalisierte und glaubwürdige Botschaften verfassen, die bei den Zielpersonen von Social-Engineering-Angriffen wahrscheinlich besser funktionieren würden. Mit der Weiterentwicklung von KI-Technologien werden diese auch immer besser darin, Inhalte zu erstellen, die Spam-Filter umgehen können. Durch das Verständnis und die Nachahmung menschlicher Schreibmuster kann die KI Nachrichten erstellen, die mit größerer Wahrscheinlichkeit den beabsichtigten Empfänger erreichen und mit geringerer Wahrscheinlichkeit als verdächtig eingestuft werden.
Vergessen wir nicht, dass Social Engineering nicht auf kleine Betrügereien beschränkt ist. Ausgeklügelte Angriffe wie Business Email Compromise (BEC) haben Unternehmen in den letzten zehn Jahren Verluste in Höhe von 50 Milliarden Dollar beschert. Der Erfolg von BEC hängt davon ab, ob es gelingt, sich als vertrauenswürdige Führungskraft in einem Unternehmen auszugeben. Fortschritte in der künstlichen Intelligenz erhöhen die Wahrscheinlichkeit eines solchen Erfolgs.
Glücklicherweise gibt es aber auch eine Kehrseite: Die gleichen Verbesserungen in der KI können auch die Fähigkeit zur Erkennung von Social Engineering verbessern. NLP- und maschinelle Lernalgorithmen können durch die Analyse großer Textmengen Merkmale extrahieren, die für Social-Engineering-Betrug typisch sind.
Verbesserte Schreibqualität
Die bei weitem auffälligste Verbesserung in der jüngeren Geschichte der KI sind generative Algorithmen wie die, die ChatGPT antreiben. In einem atemberaubenden und rekordverdächtigen Zeitraum von zwei Monaten hat ChatGPT mehr als 100 Millionen Nutzer erreicht – der schnellste Meilenstein, der jemals von einer App erreicht wurde.
Während viele Menschen bereits mit ChatGPT experimentiert haben und wissen, wie es Wörter auf der Grundlage von Eingabeaufforderungen ausspuckt, ist die ruchlose Verwendung von generativer KI für Social Engineering etwas unter dem Radar verschwunden. Es ist unglaublich einfach, eine App wie ChatGPT dazu zu bringen, eine dringende E-Mail zu erstellen, die auf wenig mehr als einer Ein-Satz-Abfrage basiert, wie z. B. „Bitte schreiben Sie eine E-Mail an die Finanzabteilung mit der Bitte um eine dringende Überweisung von Geldern im Zusammenhang mit einer verspäteten Rechnung an einen Unternehmenslieferanten.“ Das Ergebnis dieser Art von Anfrage ist eine E-Mail in fehlerfreiem Englisch, die gleichzeitig ein glaubwürdiges Gefühl der Dringlichkeit vermittelt. Diese Demokratisierung der verbesserten Schreibqualität könnte sich als Segen für Betrüger aus der ganzen Welt erweisen, die bisher durch mangelnde Sprachkenntnisse behindert wurden. Generative KI könnte sowohl den Umfang als auch den Erfolg von Texten und E-Mail-Betrügereien erhöhen, die schwerer als Fälschungen zu erkennen sind, weil sie nicht die üblichen Rechtschreib- und Grammatikfehler enthalten, die bei früheren Betrügereien auftraten.
Deepfake-Scams
Deep-Learning-Algorithmen können inzwischen äußerst realistische gefälschte Audio- und Videoinhalte erstellen. So hat beispielsweise eine Reihe von Videos, die sich als der Hollywood-Schauspieler Tom Cruise ausgaben, viele Menschen im Internet getäuscht – und das ist fast zwei Jahre her. Beim Social Engineering helfen akkurate Deepfakes Kriminelle dabei, sich als vertrauenswürdige Personen oder Organisationen auszugeben, um ihre Opfer dazu zu verleiten, vertrauliche Informationen preiszugeben oder Handlungen auszuführen, die ihre eigene Sicherheit oder die ihrer Organisation gefährden.
Deepfakes im Social Engineering sind besonders effektiv, wenn sie als Teil von Voice-Phishing-Angriffen (Vishing) eingesetzt werden. Ein gutes Deepfake der Stimme einer Person ist unglaublich schwer zu erkennen, viel schwerer als ein Deepfake-Video.
Das öffentlichkeitswirksame Profil vieler CEOs von Unternehmen macht sie zu erstklassigen Kandidaten für Deepfake-Betrügereien. Mit einer Vielzahl von Webinaren, Videos und anderen Inhalten, die in Deepfake-Tools eingespeist werden können, können Bedrohungsakteure überzeugende Stimm- oder Videoklone von hochrangigen Führungskräften erstellen und sie für Social Engineering-Angriffe einsetzen.
Automatisierte Kampagnen
Verbesserungen in der KI-Technologie haben das Potenzial, es Bedrohungsakteuren zu ermöglichen, ihre Social-Engineering-Angriffe zu skalieren und zu automatisieren. Die Automatisierung ist sehr wirkungsvoll, da sie es Cyberkriminellen ermöglicht, viel mehr Nutzer ins Visier zu nehmen und die Erfolgschancen durch schiere Zahlen zu erhöhen.
Fortgeschrittene KI-Algorithmen können riesige Datensätze durchforsten, um Muster und Informationen über potenzielle Ziele zu extrahieren. Zu den nützlichen Informationen gehören persönliche Details, Interessen, Aktivitäten und Zugehörigkeiten, die allesamt dazu beitragen, Social-Engineering-Angriffe zu personalisieren und effektiver zu gestalten.
KI eignet sich auch hervorragend zur Automatisierung alltäglicher und zeitaufwändiger Aufgaben, die die Skalierbarkeit von Social-Engineering-Angriffen traditionell einschränkten. Für Bedrohungsakteure besteht eine solche Aufgabe im massenhaften Versand von Phishing-E-Mails oder anderen betrügerischen Nachrichten. KI-gesteuerte Bots können in kurzer Zeit Millionen von E-Mails verschicken und so die Skalierbarkeit eines Angriffs erhöhen.
Eines der bedenklichsten Merkmale der KI im Hinblick auf ihre Auswirkungen auf Social Engineering ist, dass KI-Systeme die Fähigkeit haben, aus ihrer Umgebung zu lernen und ihr Verhalten entsprechend anzupassen. Bedrohungsakteure könnten diese selbstlernende Fähigkeit nutzen, um ihre Methoden auf der Grundlage dessen, was in ihren Social-Engineering-Kampagnen funktioniert (oder nicht funktioniert), kontinuierlich weiterzuentwickeln. Mit der Zeit wird nicht nur die Skalierbarkeit verbessert, sondern auch die Erfolgswahrscheinlichkeit von Angriffen durch die Selbstverbesserung von KI-Algorithmen erhöht.
Kann-man-KI-basierte-Social-Engineering-Angriffe-überhaupt-stoppen?
Nur weil KI-Verbesserungen den Angreifern zusätzliche Tools und Techniken für die Durchführung von Social-Engineering-Angriffen an die Hand geben, bedeutet das nicht unbedingt, dass es unmöglich ist, sich gegen Social Engineering zu schützen. Es gelten nach wie vor Best-Practice-Ratschläge, wie z. B. die Sicherstellung einer effektiven Benutzerschulung und eine mehrschichtige Cybersicherheitsstrategie.
Bei DIESEC unterstützen wir Unternehmen mit Leidenschaft bei der Abwehr von Social Engineering. Unser Team von Sicherheitsexperten führt Social Engineering-Tests unter realen Bedingungen in Ihrem Unternehmen durch, um die Bereitschaft Ihrer Benutzer zu testen. Anschließend helfen wir Ihnen bei der Ausarbeitung einer wirksamen Social-Engineering-Kampagne, die sicherstellt, dass die Benutzer gut gerüstet sind, um die Anzeichen und Techniken zu erkennen, die von Bedrohungsakteuren häufig eingesetzt werden, um Menschen zu bestimmten Handlungen oder zur Preisgabe vertraulicher Informationen zu verleiten.