7 Guidelines So erkennen Sie KI-basiertes Phishing

Foto: Garan Julia – shutterstock.com

Mit dem Aufkommen effektiver NLP-Tools wie ChatGPT wird es unvermeidlich, sich damit auseinanderzusetzen, wie sich KI-gestützte Phishing-Attacken erkennen und verhindern lassen. Denn die Fähigkeiten von Generative-AI-Tools eignen sich hervorragend für diese Art des Cyberangriffs, geht es dabei doch vor allem darum, Menschen mit wirksamer Ansprache oder anderen Inhalten zu täuschen.

Glücklicherweise gibt es mehrere gute Möglichkeiten, sich dieser wachsenden Bedrohung zu erwehren. Die folgenden sieben Guidelines helfen Ihnen diesbezüglich weiter.

1. Bedrohungen verstehen

IT-Sicherheitsentscheider und -Führungskräfte sollten verstehen, welche Rolle Machine Learning (ML) im Cybercrime-Geschehen spielt, wenn Sie von den Angreifern nicht überlistet werden wollen. Geht es darum, Content zu generieren, bieten ML-Tools kriminellen Hackern Möglichkeiten, verschiedene Angriffsvektoren wie Phishing oder Chatbot Scams “aufzurüsten”. Schließlich legen ChatGPT und Co. quasi jedem mit einer Internetverbindung die Fähigkeit in die Hände, überzeugende, grammatikalisch korrekte Texte zu verfassen.

“Schlechte Grammatik und Rechtschreibfehler gehören in Sachen Phishing der Vergangenheit an. Betrügerische E-Mails wurden allerdings schon vor ChatGPT immer ausgefeilter”, analysiert Conal Gallagher, CIO und CISO bei Flexera, und fügt hinzu: “Wir müssen uns fragen: ‘Wird die E-Mail erwartet? Ist die Absenderadresse echt? Soll die Nachricht dazu verleiten, auf einen Link zu klicken? An dieser Stelle spielen Awareness-Schulungen eine wichtige Rolle.

Der IT-Sicherheitsentscheider verweist auf eine Studie des Cybersecurity-Anbieters WithSecure (PDF), die demonstriert, wie ChatGPT effektive Phishing-Emails generiert. Diese (und andere) Untersuchungen bestätigen, dass die Sicherheitsvorkehrungen, die einen illegalen Einsatz von KI-Tools verhindern sollen, nicht zuverlässig funktionieren – für diese Zwecke müssen eigene Tools entwickelt werden.

Weil auch Cyberkriminelle sich stetig weiterentwickeln, ist jetzt ein guter Zeitpunkt, um darüber nachzudenken, in welcher Weise sich die Security-Richtlinien stärken lassen. Dabei sollten Sie auch im Hinterkopf behalten, dass Phishing-Inhalte nicht nur inhaltlich überzeugender gestaltet, sondern auch zielgerichteter ausgespielt werden.

2. Mindset und Kultur ausrichten

“Neunzig Prozent aller erfolgreichen Cyberangriffe ließen sich leicht verhindern, wenn die Endbenutzer über einige wichtige Kenntnisse verfügen”, erklärt Scott Augenbaum, pensionierter Special Agent der FBI Cyber Division. “Ihre erste Verteidigungslinie besteht darin, zu Ihrer eigenen, menschlichen Firewall zu werden. Soll heißen: Das menschliche Mindset ist das Herzstück der Cybersicherheit. Daher ist die Kultivierung dieser Mentalität in einem Unternehmen von entscheidender Bedeutung.”

“Die Kultur frisst die Strategie zum Frühstück und ist immer top-down”, meint KnowB4-CEO Stu Sjouwerman. Das alltägliche Denken und Verhalten der Mitarbeiter sei das grundlegende Immunsystem des Unternehmens, so der Manager, weshalb eine konsequente Schulung des Sicherheitsbewusstseins entscheidend ist. “Dabei ist die Botschaft wichtig, dass von den Mitarbeitern angesichts neuer Technologien ein höheres Maß an Wachsamkeit verlangt wird.”

3. Awareness schärfen

E-Mail und andere Elemente der Software-Infrastruktur bieten integrierte, grundlegende Sicherheits-Features. Die garantieren weitgehend, dass keine Gefahr droht, solange der Nutzer nicht selbst aktiv wird. Deshalb müssen sich die Nutzer im Klaren darüber sein, was sie wann tun – und welche Folgen das potenziell haben kann.

Sicherheitsexperten müssen sich selbst, ihre Mitarbeiter und alle anderen dahin bringen, dass die Alarmglocken schrillen, wenn Informationen eingegeben werden oder eine unbekannte Anwendung ausgeführt werden soll. Besondere Vorsicht ist angebracht, wenn eine Aufforderung zu Überweisungen oder sonstigen Zahlungen enthalten ist. Mit Hilfe von Deepfakes konnten Cyberkriminelle Mitarbeiter bereits erfolgreich davon überzeugen, “echte” Vorgesetzte zu sein, die legitime Anweisungen ausgeben. Solche wichtigen Kommunikationsinhalte sollten deshalb über einen zweiten, fälschungssicheren Kanal abgesichert werden.

4. (KI-)Phishing simulieren

Die einzige Möglichkeit, Aufschluss darüber zu bekommen, wie gut ein Unternehmen wirklich gegen Phishing abgesichert ist, besteht darin, entsprechende Simulationen – auch mit KI-generierten Inhalten – durchzuführen. Eine effektive Anti-Phishing-Kampagne auf die Beine zu stellen, ist ein Thema für sich – beginnt aber in jedem Fall damit, konkrete Ziele festzulegen. Ein Weg wäre etwa, die Häufigkeit gemeldeter Phishing-Emails zu analysieren und dann zu versuchen, diesen Indikator zu verbessern. Eine solche Anti-Phishing-Kampagne aufzubauen, verdeutlicht auch, wie nützlich KI-Tools sein können, um effektiver Inhalte zu erstellen. Das wird dazu beitragen, dass die Mitarbeiter das Problem ernstnehmen.

“Wenn Sie Ihre Mitarbeiter derzeit noch nicht mit simulierten Social-Engineering-Angriffen konfrontieren, sollten Sie das für die nahe Zukunft einplanen. So verbessern Sie Ihre Sicherheitslage und gestalten Ihr Sicherheitsprogramm widerstandsfähiger”, empfiehlt Trevor Duncan, Sicherheitsingenieur bei JumpCloud.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

5. KI-Erkennungs-Tools nutzen

Sowohl OpenAI als auch andere Unternehmen haben bereits Tools veröffentlicht, mit denen sich KI-generierte Texte identifizieren lassen. Diese dürften in Zukunft weiter verbessert, integriert und automatisiert werden, um auch maliziöse Inhalte zu erkennen. Zumindest beginnen diverse Anbieter von Email-Scanning-Werkzeugen damit, KI zu integrieren, um das Verständnis über Metadaten und Standort in einen Kontext setzen und Inhalte auf Legitimität überprüfen zu können. In diesem Fall ist es ein wichtiger Bestandteil der Cybersecurity-Zukunft, Feuer mit Feuer – beziehungsweise KI mit KI – zu bekämpfen.

Phishing-Detektion ist darüber hinaus ein wichtiger Bestandteil einer umfassenden Netzwerk- und Infrastrukturstrategie – und ist besonders effektiv, wenn KI-gestützte Infrastrukturaufklärung und -infiltration mit entsprechender Erkennung und Prävention einhergehen. Viele führende Sicherheitsunternehmen wie Okta und DarkTrace sind gerade dabei, solche Tools in ihre Angebote zu integrieren.

“Bots sind ein effektives Werkzeug für Angreifer. Sie nutzen KI und Machine Learning, um sich schnell an veränderte Sicherheitsbedingungen anzupassen und diese zu überwinden”, unterstreicht Jameeka Green Aaron, CISO von Auth0. “Wenn wir die Nase vorn haben wollen, sollten wir Automatisierung nutzen, also Bedrohungsdaten in Echtzeit aufnehmen und adaptive Authentifizierungsmethoden nutzen.”

6. Reporting ermöglichen

Die Security-Abteilung über Phishing-Versuche informiert zu halten, ist unerlässlich, um Angriffe dieser Art einzudämmen, beziehungsweise zu verhindern. Und weil KI-gestützte Phishing-Kampagnen eine wesentlich effizientere Massenproduktion ermöglichen, ist es umso wichtiger, sie so frühzeitig wie möglich zu identifizieren.

Darum sollte es nicht nur möglichst einfach sein, Vorfälle zu reporten. Es müssen dabei auch so viele Informationen wie möglich erfasst werden, um qualitativ hochwertigere und vor allem verwertbare Reportings erstellen zu können. Um alle Header und Metadaten einer potenziellen Phishing-Mail untersuchen zu können, sollten verdächtige Emails an eine Meldeadresse weitergeleitet werden können. Dazu empfiehlt es sich, ein Portal mit einem einfachen Webformular aufzusetzen.

Phishing-Reportings sind essenzieller Bestandteil einer robusten Sicherheitsinfrastruktur. Im Zusammenhang mit KI-generierten Phishing-Kampagnen ist eine wirksame Berichterstattung über Angriffsversuche besonders wichtig, weil die Angreifer immer besser darin werden, ihr maliziöses Wirken zu automatisieren und spezifische Informationen zu integrieren, um ihre Erfolgschancen zu erhöhen.

7. Authentifizierung härten

Eine passwortbasierte Authentifizierung ist von Natur aus anfällig für Phishing, wobei Techniken wie etwa Captcha besonders anfällig für KI sind. Es gibt jedoch auch Authentifizierungsansätze, die gegen Phishing (einigermaßen) resistent sind – Passkeys beispielsweise, die sich immer stärker durchsetzen.

Eine Multifaktor-Authentifizierung (MFA) ist ebenfalls hilfreich – ansonsten reichen den Angreifern Benutzername und Passwort, um Zugang zu einer Ressource zu erhalten. Die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) hat einen Leitfaden zur Implementierung Phishing-resistenter MFA herausgegeben (PDF). (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.