Chat GPT als Einfallstor für Hacker und Scammer, Fachkommentar von Acronis

  • Stanislav Protassov, Acronis Executive Board Member und Mitbegründer

Im Wesentlichen kann Chat GPT dabei helfen, #Phishing Texte und einfache Schadprogramme schneller und besser automatisiert zu erstellen. Wirklich ausgefeilte neue #Malware wird man damit dagegen vorerst nicht erstellen können. Und auch die Bedrohungslandschaft wird sich nicht wesentlich verändern, abgesehen von der erhöhten Häufigkeit. KI-Lösungen wie Chat GPT werden manchmal auch als »stochastische Papageien« bezeichnet, weil sie als Sprachmodelle mit enormen Textmengen trainiert wurden und sie gut darin sind, schnell viele Texte zu generieren. Allerdings spielen Textinhalte bei Phishing Angriffen eher selten allein die entscheidende Rolle. Häufig sind weitere visuelle beziehungsweise grafische Eigenschaften wichtig, die Chat GPT nicht generieren kann. Beispielweise, um E Mail Alarmmeldungen wie vermeintliche Banküberweisungen aussehen zu lassen. Während die Betrüger mit Chat GPT auch leichter Texte in anderen Sprachen generieren können, ist es nicht ausgemacht, dass diese damit auch besser beziehungsweise überzeugender werden. Per KI erzeugte Texte können für die Opfer aber evtl. dadurch gefährlich werden, dass damit die Sprachmodelle der Anti #Phishing Lösungen unterwandert werden, die darauf trainiert sind, bösartige Absichten in den E Mail Texten zu erkennen. Vermutlich werden die Anti Phishing Algorithmen dann zwar darauf geschult werden, von Chat GPT generierte E Mails zu erkennen. Aber dies wird dann wohl auch eine weitere Runde im ewigen Wettkampf zwischen Angriffsmethoden und Verteidigungsmethoden einläuten.

Es gibt weitere Möglichkeiten, wie Chat GPT von Cyberkriminellen eingesetzt werden könnte …

  • Zur Analyse von Quellcodes, um Schwachstellen (zum Beispiel #SQL Injection, Pufferüberläufe) zu finden. Das ist grundsätzlich nichts Neues. Durch Chat GPT können unerfahrene Angreifer aber schneller ans Ziel kommen.

  • Zum Schreiben von Exploits. Allerdings haben kürzliche Tests gezeigt, dass dies derzeit nicht wirklich gut funktioniert.

  • Zur Code Automatisierung. Damit könnten insbesondere Anfänger ihr Vorgehen schneller automatisieren (beispielweise durch Befehle wie »Schreibe mir ein Skript, um mich mit einem Passwort Dump bei Twitter anzumelden«).

  • Zum Schreiben von Malware. Dies wird jedoch teilweise durch Chat GPT Richtlinien blockiert. Aber einfachere Makros sind trotzdem möglich. Das bringt an sich keine neue Gefährdung, weil diese auch über Google auffindbar sind. Aber auch hier bedeutet es, dass die breite Masse leichter darauf zugreifen kann.

  • Chatbots für Social Engineering Angriffe. Dies könnte ein neuer Faktor für entsprechende Angriffe (wie Vorschussbetrügereien von nigerianischen Banden [»419 Scams«], Kompromittierung von Geschäfts E Mails [»BEC Angriffe«], Liebesschwindeleien [»Romance Scams«] oder betrügerische Job Portal Anbahnungen [»Linkedin Target Grooming«]) werden, die mehrere Interaktionsrunden mit den Opfern erfordern. Diese könnten nun leichter automatisiert und skaliert werden, weil sich diese Interaktionen für die Opfer wie echte Gespräche anfühlen, während die Kriminellen kaum noch (weniger als 1 Prozent) persönlich eingebunden sind.

1. Wie wahrscheinlich ist es, dass es soweit kommt – und das auch häufiger?

Es passiert bereits! So gibt es Berichte, dass Chat GPT schon von sogenannten »Red Teams« (Sicherheitsteams für Penetrationstests) eingesetzt wird, um #Phishing E Mails zu generieren. Und laut einiger Untergrundforen wurde Chat GPT bereits verwendet, um Password Stealer in der Programmiersprache Python zu erstellen. Andererseits wird Chat GPT von Open AI fortlaufend aktualisiert und angepasst, um das Risiko zu verringern, dass die KI missbraucht wird, um Schäden (egal ob in der physischen oder virtuellen Welt) anzurichten.

2. Wie können sich Unternehmen und speziell auch Einzelpersonen vor solchen Betrügereien schützen? Was sind die wichtigsten Indikatoren, auf die man achten sollte?

Da Chat GPT mit bereits vorhandenen Texten trainiert wurde, werden neu generierte Texte nicht »besser« sein. Daher gelten für die Erkennung potenziell schädlicher E Mails weiterhin die üblichen Täuschungsindikatoren – wie etwa verdächtige Dringlichkeitsbehauptungen. Genauso wie bestimmte Schlüsselbegriffe (»dringend«, »Überweisung«, »sofort handeln«, »Passwort eingeben« et cetera), die Phishing E Mails als besonders eilig und wichtig ausgeben. Mit Chat GPT wird es auch nicht auf neue, magische Weise möglich, den Anschein zu erwecken, dass eine E Mail von Ihrer Bank kommt. Die Betrüger werden weiterhin auf ihre altbewährten Methoden (wie leicht verwechselbare E Mail Adressen und Domain-Namen) zurückgreifen müssen. Achten Sie daher auch auf Fälschungsindikatoren in den E Mail Headern oder URLs sowie auf Informationen von Anti-Spam- beziehungsweise E Mail Authentifizierungsverfahren wie SPF, DKIM oder DMARC. Denn diese geben Auskunft darüber, von wo und über welchen Server eine E Mail kam und für welche Domain dieser Server konfiguriert wurde. Dadurch können selbst Phishing-E Mails mit perfekt gemachten Texten leicht entlarvt werden, wenn diese von einem entsprechenden E Mail-Konto (wie fake@hacker.com) gesendet wurden.

3. Können Sie Szenarien beziehungsweise Beispiele dafür nennen, wie KIs vom Typ Chat GPT eingesetzt werden, um normale Menschen zu hintergehen oder diese sogar zu hacken? Und wie sollte man sich bei diesen Szenarien am besten verhalten?

Chat GPT kann nicht zum »Hacken von Menschen« verwendet werden, sondern ist nur ein Sprachmodell zum Generieren von Texten. Manchmal kann man damit scheinbar vernünftige Unterhaltungen führen. Aber es gibt dann ein einfaches Mittel, um zu erkennen, dass man nicht mit einem Menschen redet: geben Sie unsinnige Aufforderungen ein! Chat GPT wird hier anders reagieren als ein Mensch und versuchen, den Prozess trotzdem zu verarbeiten und darauf – meist unsinnig – antworten. Chat GPT macht es für mehr Menschen ohne technische Kenntnisse leichter, in die Cyberkriminalität einzusteigen. Aber moderne Bedrohungen wie APT Angriffe (Advanced Persistent Threat) werden schon seit Jahren automatisiert, so dass sich hier nichts Wesentliches verändert. Bisher haben wir also insbesondere folgende Szenarien gesehen: Das Schreiben von automatisierten und oder überzeugenden Texten für Phishing E Mails und BEC-Betrugsmaschen. Derzeit fehlt dem System für seine Ausgaben aber eine aktuelle Internetanbindung. Die Angreifer werden diese aber zur E Mail Personalisierung benötigen, um zum Beispiel Daten von Linkedin einbinden zu können. Mit KI Sprachmodellen wie Chat GPT wird es leichter, mehr Textvariationen zu erstellen beziehungsweise Textmuster »on the fly« zu ändern, um die Effektivität von signaturbasierten Lösungen zur Bedrohungserkennung herabzusetzen. Außerdem lassen sich Texte in vielen Sprachen generieren, was den Angreifern eine bessere Abdeckung der jeweiligen Landessprache (zum Beispiel Deutsch) ermöglicht.

Über Acronis

Acronis vereint Datenschutz und Cybersecurity und bietet integrierten, automatisierten Cyberschutz, der die Herausforderungen der modernen digitalen Welt in Bezug auf Sicherheit, Zugänglichkeit, Datenschutz, Authentizität und Sicherheit (SAPAS) löst. Mit flexiblen Bereitstellungsmodellen, die den Anforderungen von Dienstanbietern und IT Experten gerecht werden, bietet Acronis überlegenen Cyberschutz für Daten, Anwendungen und Systeme mit innovativen Antiviren, Backup, Disaster Recovery und Endpoint Protection Management Lösungen der nächsten Generation, die auf KI basieren. Mit fortschrittlicher #Anti #Malware, die auf modernster maschineller Intelligenz und Blockchain basierten Datenauthentifizierungstechnologien basiert, schützt Acronis jede Umgebung – von der #Cloud über hybride bis hin zu On Premises – zu niedrigen und vorhersehbaren Kosten.

Acronis ist ein Schweizer Unternehmen, das in Singapur gegründet wurde. Acronis blickt stolz auf 2 Jahrzehnte Innovation zurück und hat mehr als 2.000 Mitarbeiter an 45 Standorten. Die Acronis Cyber Protect Lösung ist in 26 Sprachen sowie in über 150 Ländern verfügbar und wird weltweit von rund 16.000 Service Providern eingesetzt, um über 750.000 Unternehmen zu schützen.