Mit <kes>+ lesen

Die Zukunft des Phishings

Die Ergebnisse des Verizon Data Breach Investigations Report 2023 zeigen, dass Angreifer nur in rund 10 Prozent der Fälle Software-Schwachstellen ausnutzen. Das bedeutet, dass Unternehmen ihre Systeme weiterhin gut patchen müssen, aber auch die Schulung ihrer Mitarbeiter nicht vergessen dürfen.

Lesezeit 10 Min.

95 Prozent aller Cyberangriffe haben einen finanziellen Hintergrund. Um schnell gutes Geld zu verdienen, nehmen Kriminelle entweder mehr Opfer ins Visier (Phishing) oder zielen auf Opfer ab, die zu lukrativeren Erpressungsplänen führen. Phishing macht dem Bericht zufolge nur 44 Prozent aller Social-Engineering-Vorfälle aus. Bei den restlichen 56 Prozent handelt es sich um Angriffe unter „Vorwand“, wie Spear-Phishing oder über soziale Medien und andere Formen der Kompromittierung von Geschäfts-E-Mails (BEC).

Unabhängig von der Methode ist in 98 Prozent der Fälle eine E-Mail der Einstiegspunkt. Die Kernfrage ist, wie die Angreifer aus ihrem ersten Zugang Geld machen. Nach dem Einstieg gibt es mehrere Wege:

  • (1) Zugang zum Posteingang des Opfers,
  • (2) Versuch, das Opfer von einer vorteilhaften Aktion zu überzeugen, zum Beispiel dem Austausch von Bankdaten, und
  • (3) eine Kombination dieser Schritte zur Vorbereitung von Spear-Phishing-Angriffen oder anderen Formen von BEC.

Darüber hinaus führen die Angreifer oft Zwischen- oder Sekundäraktionen durch. Laut dem Verizon-Bericht geht es dabei um die Beeinträchtigung der Integrität und Vertraulichkeit von Servern. Vertraulichkeitsangriffe sind Datenverletzungen. Integritätsangriffe implizieren weitreichende Berechtigungen. So können Angreifer Ransomware-Angriffe starten.

Daher überrascht es nicht, dass laut dem IBM Cost of a Data Breach Report 2023 die Angriffsvektoren Phishing und gestohlene oder verlorene Anmeldedaten die häufigsten Einfallstore für Datenverletzungen sind. BEC gehört ebenfalls zu den kostspieligeren Angriffsvektoren, ist aber im Moment weniger verbreitet.

Reife Früchte lassen sich vom Baum schütteln: Cyberkriminelle entscheiden sich für altbewährte Phishing-E-Mails

Laut dem Expertenteam von KnowBe4 für Phishing-Bedrohungen gibt es ein bekanntes und immer wieder kehrendes Muster: Zum Beispiel verbietet Microsoft die Verwendung von Makros. Kurz darauf beginnen die Angreifer, andere Dateiformate zu verwenden, um ihre Nutzlast zu verpacken. Ein anderes Beispiel ist, dass E-Mail-Filter bösartige Links immer besser erkennen. Die Betrüger verwenden stattdessen QR-Codes, da diese von den Filtern oft nicht erkannt werden. Phishing-E-Mails folgen auch saisonalen Trends, wie der Steuersaison. Betrüger greifen zudem neue Technologien auf, vor allem, wenn viele Menschen noch nicht damit vertraut sind, zum Beispiel die Verwendung der Multifaktor-Authentifizierung (MFA) in vielen Unternehmen.

Diese Beobachtungen zeigen, dass Cyberkriminelle keine ausgeklügelten Methoden oder neuartige Technologien verwenden müssen: Reife Früchte lassen sich auch einfach vom Baum schütteln. Der Einsatz von neuartigen Werkzeugen und Hilfsmitteln ist dazu nicht notwendig.  Der zweite Grund für diesen Ansatz ist die willkommene Selbstselektierung, die damit einhergeht. Eine selbst gewählte Gruppe potenzieller Opfer fällt auf die Phishing-E-Mail herein. Wenn diese E-Mail nicht besonders raffiniert war, können die Angreifer davon ausgehen, dass ihre potenziellen Opfer sich nicht gut mit den gängigen Indizien des Phishings auskennen oder wissen, wie sie sich gegen Social Engineering wehren können. Selbst wenn dieser Weg nicht direkt zu Entscheidungsträgern führt, kann ein erster Zugang zu einer Organisation hergestellt werden. Daraufhin können Angriffe unter Vorwand erfolgen.

Generative KI ist noch nicht weit verbreitet, aber das wird sich ändern

Wann immer eine neue Technologie verfügbar ist, stellt sich für Angreifer wie auch Verteidiger die Frage, ob sie zu ihrem Nutzen eingesetzt werden kann. Generative künstliche Intelligenz (KI) ist hervorragend in der Lage, große Mengen an Informationen zu verarbeiten und kohärente Texte zu erstellen. Sie eignet sich zwar hervorragend zum Schreiben personalisierter Marketingtexte, aber Betrüger brauchen oder wollen oft keine grammatikalisch perfekten, langatmigen und umfassenden E-Mails.

Selbst bei Angriffen unter einem Vorwand, zum Beispiel bei der Kompromittierung von Geschäfts-E-Mails, ist der Einsatz von generativer KI begrenzt. Die Kompromittierung von Geschäfts-E-Mails erfordert eine personalisierte Interaktion, mit der versucht wird, ein Opfer zur Preisgabe von Anmeldedaten oder zum Austausch von Bankkontoinformationen zu bewegen. Die umgangssprachliche und wortkarge Kommunikation im Chat-Stil ist jedoch keine Stärke der generativen KI.

Das bedeutet, dass herkömmliche Betrugs-E-Mails, die den oben genannten Trends folgen, kaum von generativer KI profitieren können. Angreifer haben oft Zugang zu großen Bibliotheken mit geeigneten Vorlagen aus früheren Einbrüchen, und es gibt mehr legitim aussehende E-Mail-Inhalte im Internet. Mit diesen Vorlagen ist es relativ einfach, eine Phishing-E-Mail zu fälschen, mit der ein QR-Code-Betrug gestartet wird, um MFA-Anmeldedaten zu stehlen. Wenn Angreifer MFA-Betrügereien mit KI generieren würden, würde die E-Mail wahrscheinlich sehr klobig und seltsam klingen.

Man kann einem Troll nur so viel Lippenstift auftragen, wie auf ihn drauf passt

Hält sie das davon ab, es zu versuchen? Ganz und gar nicht. Angreifer beginnen, generative KI für die Gestaltung von E-Mails zu nutzen, wie ein Beispiel aus dem Research Lab zeigt (vgl. Abbildung 1).

Abbildung 1: Eine personalisierte Phishing-E-Mail, die wahrscheinlich von einem LLM erstellt wurde (Quelle: KnowBe4 2024)

Die Scammer erzählen eine geradezu tolle Geschichte. Es gibt eine Social-Engineering-Bedrohung für alle Mitarbeiter. Zum Glück hat sich das Unternehmen für Norton LifeLock entschieden, um seine Mitarbeiter zu schützen. Aufgrund seiner Benutzerfreundlichkeit kann sich jeder mit den Anmeldedaten seines E-Mail-Kontos anmelden. Das zentrale Versprechen? Nach der Aktivierung durch die Angabe der Anmeldedaten überwacht das Tool die Konten der Mitarbeiter ständig und bietet so mehr Sicherheit. Und es kommt noch besser. Wenn sie bereits ein privates Konto besitzen, können sie eine Kostenrückerstattung beantragen. Im übrigen war der Angriff derart schwerwiegend, dass er landesweit in den Nachrichten zu sehen war und daher dringend verlässliche Experteninformationen wie von NortonLifeLock notwendig sind.

Hört sich nicht richtig an? Ja, hier gibt es ein paar Warnsignale. Erstens würde der Arbeitgeber seine Mitarbeiter niemals bitten, ihre E-Mail-Anmeldedaten für einen anderen Dienst zu verwenden. Zweitens würde ein Dienst, der allen Mitarbeitern zur Verfügung steht, wahrscheinlich keine separate Aktivierung erfordern. Drittens werden sie in der E-Mail aufgefordert, etwas zu tun, was sie bisher noch nicht getan haben. Viertens: Die Vorstellung, dass ein Social-Engineering-Angriff aufgrund von Fehlinformationen landesweit für Schlagzeilen sorgt, erscheint unwahrscheinlich. Die meisten Angreifer sind auf Gewinn aus, und die Verbreitung von Desinformationen ist keine effektive Methode, um Geld zu erpressen.

Länger und ausgefeilter, aber nicht neu

Wie man aus dem vorherigen Beispiel entnehmen kann, können ablenkende und überflüssige Informationen verräterisch sein. Manchmal ist mehr Information einfach zu viel Information. Das richtige Gleichgewicht zu finden ist der Schlüssel zur Erhöhung der Authentizität und Glaubwürdigkeit von Phishing-E-Mails. Es folgen zwei Beispiele für Mitteilungen zur Personalpolitik, die teilweise den Anschein erwecken, von einem LLM erstellt worden zu sein. Es stellt sich die Frage danach, welche E-Mail wohl überzeugender erscheint.

Abbildung 2a: Beispiel 1 einer LLM-generierten, nicht-personalisierten E-Mail (Quelle: KnowBe4)
Abbildung 2b: Beispiel 2 einer LLM-generierten, nicht-personalisierten E-Mail (Quelle: KnowBe4)

Die meisten vermuten, dass die E-Mail in Abbildung 2a überzeugender ist. Sie ist einigermaßen gut geschrieben. Klare und prägnante Sätze vermitteln eine plausible Kommunikation. Natürlich ist die E-Mail nicht frei von roten Fahnen. Es werden starke Worte gewählt, wonach der Empfänger unterschreiben muss und dies sofort tun soll. Es wird ein Gefühl der Dringlichkeit vermittelt, gefolgt von der Drohung, dass jeder, der der Aufforderung nicht nachkommt, persönlich kontaktiert wird.

Die E-Mail in Abbildung 2b ist ebenfalls gut geschrieben, aber der Text wirkt ein wenig langatmig. Was Personen abschrecken sollte, ist die Fülle der Details in der E-Mail. Wenn es einen Link zu einer Richtlinie gibt, warum ist es dann notwendig, in der E-Mail detaillierte Informationen zum Inhalt zu geben? Dieses Beispiel zeigt, dass die Festlegung eines Kommunikationsstils im Unternehmen und die Einhaltung dieses Stils ein wichtiger Bestandteil einer Sicherheitskultur ist. Erwartungen an die Standardkommunikation eines Unternehmens können helfen, betrügerische E-Mails zu erkennen.

Dies ist bezeichnend für viele wahrscheinlich von Large Language Models (LLM) generierte Phishing-E-Mails, die Unternehmen melden. E-Mails nehmen eine längerer Form an, aber die Betrügereien und Ansätze sind nicht neu oder einzigartig in der Post-ChatGPT-Ära. Sie sind den Betrugsversuchen, die sich in den letzten Jahren beobachten ließen, sehr ähnlich, und die LLM-gestützten Versionen dieser Betrugsversuche sind möglicherweise nicht überzeugender als bestehende E-Mails. Wenn der Leser in der kürzeren Version der E-Mail rote Fahnen erkennt, wird ihn oder sie die längere Form der E-Mail auch nicht überzeugen. Aus diesem Grund ist es so erfolgreich, den Menschen beizubringen, über E-Mail-Anfragen nachzudenken und aufmerksam zu sein, die ungewöhnlich oder auf andere Weise seltsam erscheinen.

LLMs sind (noch) nicht so gut darin, CEOs zu verkörpern

LLMs sind (noch) nicht so effektiv wie eine selbstgeschriebene Nachricht. Besonders auffällig ist das bei CEO Fraud. Diese Art von Betrug beruht auf einer kurzen und direkten Kommunikation in dem Stil, der von einem CEO erwartet wird. Angreifer, die versuchen, CEOs mit einem LLM zu imitieren, machen es (noch) nicht richtig.

Abbildung 3: Beispiele für CEO-Betrugs-E-Mails (Quelle: KnowBe4 2024)

Sich als Geschäftsführer auszugeben, kann sehr effektiv sein, da diese weitreichende Kompetenzen und eine Position haben, die mit Autorität verbunden ist. Betrüger müssen keine Autorität aufbauen, sie haben sie einfach. Jede Kommunikation kann sehr aufschlussreich sein, wie das Beispiel auf der linken Seite zeigt. Die Kommunikation ist einfach, direkt und auf den Punkt gebracht. Die Sprache ist einfach, locker und umgangssprachlich.

Das rechte Beispiel ist langatmig und enthält seltsame Erklärungen, die unnötig erscheinen. Der Zweck einer Geschenkkarte ist nichts, was ein CEO erklären müsste. Die Sprache ist außerdem sehr förmlich, und die Verwendung des Verbs korreliert ist sehr ungewöhnlich. Der Nachricht fehlt es an der Subtilität, die ein guter Betrüger verwenden würde.

Abbildung 4: Phishing der alten Schule von 2017-2018 (Quelle: KnowBe4 2024)

Und zur Veranschaulichung ist Abbildung 4 ein Beispiel für eine E-Mail der alten Schule. Das ist die Art von Interaktion, die oftmals stattfinden wird, wenn Angreifer erfolgreich sind. Ein Gespräch entwickelt sich auf natürliche Weise von einer einfachen Anfrage zu einer unkomplizierten, sympathischen und nachvollziehbaren Bitte. Dies ist eine sorgfältig gestaltete E-Mail.

In Zukunft werden Angreifer LLMs nutzen, um alle Arten von Interaktionen zu erzeugen. Daran gibt es wenig Zweifel. Es besteht kein Zweifel daran, dass die LLM-Modelle auch heute schon bei kürzeren, eher gesprächigen Phishing-Angriffen im Stil von „Hin und Her“ von Nutzen sein werden. Vor allem, wenn diese Angriffe in einer Fremdsprache durchgeführt werden. Aber schon bevor LLMs weithin verfügbar waren, begannen die Angreifer, sich im Schreiben von Konversationen zu verbessern. Es ließ sich beobachten, dass die Antworten natürlicher und flüssiger waren, wo zuvor Standardtexte verwendet worden waren. 

Fazit: Mehr KI-generierte Phishing-E-Mails in der Zukunft

Das Research Lab sieht eine zunehmende Anzahl von wahrscheinlich KI-generierten E-Mails, ebenso wie Abnormal Security im Jahr 2023. Es ist erwähnenswert, dass unser Team nur E-Mails untersucht, die von unseren Kunden gemeldet wurden, was bedeutet, dass diese E-Mails alle technischen Sicherheitsmaßnahmen einer Organisation durchlaufen haben, ohne von E-Mail-Filtern als Phishing eingestuft zu werden. Sie gelangten in die Posteingänge der Mitarbeiter und wurden von Mitarbeitern, die mit der KnowBe4-Plattform geschult wurden, an das Informationssicherheitsteam gemeldet.

Ob der jüngste Anstieg von Phishing-E-Mails auf den Einsatz von KI zurückzuführen ist oder nicht, lässt sich nicht abschließend beantworten. Die obige Analyse deutet darauf hin, dass ein Teil der E-Mails, die in den Posteingängen der Menschen landen, von KI generiert werden. In Zukunft werden die Angreifer weiterhin KI einsetzen und sogar LLMs für ihre eigenen Zwecke entwickeln. LLM-generierte Phishing-E-Mails werden in den Posteingängen der Menschen landen. Wie genau sich die Qualität der verschiedenen Täuschungsmanöver verändert, bleibt abzuwarten. Wie sich feststellen ließ, können nicht alle Verwendungen von LLM-generiertem Text eine überzeugendere Kommunikation bieten.

Unabhängig von der bevorzugten Kommunikationsmethode oder davon, ob eine E-Mail von einer KI generiert wird, ist es immer am besten, eine E-Mail oder eine Anfrage, die ungewöhnlich und unerwartet erscheint, über einen zweiten Kanal zu überprüfen. Dies ist eine alte Lektion, die jetzt noch wichtiger wird. Es reicht nicht mehr auf fehlerhafte Grammatik, Rechtschreibfehler oder falsche E-Mail-Adressen zu achten. Vielmehr geht es darum, auf das Bauchgefühl zu vertrauen und Versuche der emotionalen Manipulation zu erkennen.

Autor

Dr. Martin Krämer ist Security Awareness Advocate bei KnowBe4.