Zweifellos verändern maschinelles Lernen, Large Language Models (LLMs) und generative künstliche Intelligenz (gen AI) gerade die unterschiedlichsten Bereiche unserer Welt. Diese neuen Technologien sorgen für einen ungeahnten Sprung unserer Produktivität, indem sie mit nur wenigen Kommandos neue Text- und Bildwerke erschaffen, die zuvor ein Vielfaches an Aufwand erforderten. Vor allem rudimentäre Aufgaben werden in naher Zukunft komplett von künstlicher Intelligenz (KI) übernommen werden.
Leider können diese revolutionären Programme auch für betrügerische Ziele missbraucht werden. In einem früheren Artikel sind wir bereits auf die Risiken von Phishing-Angriffen und die Best Practices zur Abwehr eingegangen. In der Zwischenzeit hat sich die Situation mit der Öffnung von Sprachmodellen wie ChatGPT verändert, da man nun ganz einfach einwandfrei formulierte und damit vertrauenswürdige Texte erstellen lassen kann.
Studien von Sicherheitsspezialisten, wie zum Beispiel der auf Phishing spezialisierten Firma SlashNext, zeigen, dass die Zahl der Phishing-E-Mails seit der Lancierung von ChatGPT um ganze 1’265 % gestiegen ist. Aus diesem Anlass richten wir den Blick erneut auf die Best Practices gegen Phishing und zeigen auf, was sich mit dem Aufkommen der generativen KI verändert hat.
Die fünf häufigsten Phishing-Methoden
Zu den bekanntesten Methoden gehört das Verschicken von (Business-)E-Mails. Dabei gibt sich ein Betrüger als eine legitime Organisation wie Facebook oder eine hochrangige Führungskraft innerhalb eines Unternehmens aus.
Die Kreativität von Cyber-Kriminellen geht aber weit über das Versenden von E-Mails an zufällige Empfänger hinaus, wie die unten stehende Liste von weiteren häufig auftretenden Phishing-Methoden zeigt.
| Methode | Beschreibung |
|---|---|
| E-Mail-Phishing | Massenversand von E-Mails, die vorgeben, von legitimen Organisationen oder Vorgesetzten zu stammen. |
| Spear-Phishing | Personalisierte Angriffe, die spezifische Informationen über das Ziel nutzen. |
| Whaling (CEO Fraud) | Angriffe speziell auf Führungskräfte wie CEOs, CFOs und COOs mit deren öffentlich verfügbaren Informationen. |
| Smishing (SMS-Phishing) | Betrügerische SMS-Nachrichten, die zum Teilen sensibler Informationen auffordern. |
| Vishing (Voice Phishing) | Anrufe von Personen, die sich als vertrauenswürdige Institution oder Führungsperson ausgeben, um persönliche Daten zu erfragen oder Anweisungen zu geben. |
Kriminelle versuchen nicht nur durch den Massenversand von E-Mails an Zugangsdaten und Passwörter zu gelangen, sondern auch ganz gezielt per SMS und Telefon.
Da Phishing kein neues Phänomen ist, gibt es zum Glück bereits bewährte Praktiken zur Phishing-Abwehr, die vielen Internetnutzern inzwischen bekannt sein dürften. Aber können diese trotz des Aufkommens von generativer künstlicher Intelligenz heute noch bestehen?
Künstliche Intelligenz und Phishing: Was hat sich verändert?
Phishing-Mails sind in verschiedenen Formen im Umlauf. Während fortschrittliche Technologien wie künstliche Intelligenz zunehmend zur Erstellung von Phishing-E-Mails genutzt werden, findet man immer noch zahlreiche «klassische» Phishing-Mails, die oft typische Warnhinweise wie etwa Schreib- und Grammatikfehler aufweisen. Mit dem steilen Anstieg der Anzahl versendeter Phishing-Mails lässt sich trotzdem bereits erahnen, wie sich grosse Sprachmodelle auf die Frequenz auswirken.
Beim klassischen E-Mail-Phishing mit KI können überzeugende Texte automatisch und sehr viel schneller erstellt werden als von einer echten Person. Gleichzeitig steigt ohne die verräterischen Rechtschreibfehler die Qualität und damit die Glaubwürdigkeit eines Phishing-Mails. Warnzeichen in Form von Schreibfehlern, Sprachwechseln und unüblichen Formulierungen können damit zukünftig nicht mehr als eindeutigen Hinweis für ein verdächtiges E-Mail angesehen werden.
Umso perfider werden Betrugsversuche beim Spear-Phishing oder Whaling, bei denen durch künstliche Intelligenz und maschinelles Lernen der Schreibstil mit typischen Formulierungen einer Person imitiert werden soll. Die KI könnte durch öffentlich verfügbare Texte die sprachlichen Eigenheiten einer Person erlernen und diese dann replizieren. Ist sie erfolgreich, wird der Schreibstil eines Vorgesetzten oder Verwandten imitiert, um dann den Kontakt zu einer Führungskraft, einem Angestellten oder einer vertrauten Person aufzunehmen.
Die Imitation einer Persönlichkeit ist nicht nur in Textform möglich, sondern mit genügend Lernmaterial auch als Audioaufnahme und Videomaterial. Bekannt geworden ist diese Methode als Deepfake, bei dem Stimmen und Gesichter sehr überzeugend durch eine KI kopiert und anderen Personen aufgesetzt werden.
Erst vor Kurzem ereignete sich ein erfolgreicher Angriff auf ein Unternehmen in Hongkong. Ein Mitarbeiter erhielt ein E-Mail, das dazu aufforderte, diverse Zahlungen zu veranlassen.
Das anfängliche Misstrauen des Mitarbeiters wurde in einem nachfolgenden Video-Meeting von mittels Deepfake imitierten Vorgesetzten zerstreut. Für ein Opfer ist es bei einem derart hochkomplexen Angriff sehr schwierig, den Betrug zu durchschauen. Glücklicherweise handelt es sich bei diesem Szenario um eine der seltenen Ausnahmen, die eher auf einzelne Ziele gerichtet sind und eine weitaus höhere kriminelle Energie erfordern.
Aktuelle Best Practices gegen Phishing-Angriffe
Was kann man also tun, wenn potenziell jegliche digitale Kommunikation täuschend echt manipulierbar ist?
Die meisten Best Practices zur Abwehr von klassischem Phishing sind nach wie vor aktuell und helfen effektiv dabei, Schäden zu vermeiden. Auf unserer Phishing-Infoseite finden Sie hilfreiche Tipps und Beispiele zu den häufigsten Phishing-Mails, die sich als Hostpoint AG ausgeben.
Bei der Prävention von Angriffen sind folgende Punkte vor allem im Firmenkontext wichtiger als je zuvor:
-
Grundregeln
Klicken Sie bei verdächtigen E-Mails keine Links an, laden Sie keine Anhänge herunter und antworten Sie nicht auf solche Mails. Ebenfalls werden seriöse Unternehmen niemals nach Ihrem Passwort fragen. Sollte dies der Fall sein, handelt es sich höchstwahrscheinlich um einen Betrugsversuch. -
Achtsamkeit
Lassen Sie sich nicht unter Druck setzen, sei es durch einen Zeitfaktor oder einen vermeintlichen Vorgesetzten. Sobald sich Ihr Bauchgefühl meldet und Unsicherheit aufkommt, sollte diese nicht einfach ignoriert werden. Fragen Sie beim Absender aktiv in einem kurzen mündlichen Gespräch nach, ob in der Nachricht alles seine Richtigkeit hat. So können Sie sich im Zweifelsfall absichern. -
Resiliente Prozesse
Etablieren Sie schon heute in Ihrem Unternehmen oder Ihrer Abteilung Prozesse, an denen sich alle Beteiligten orientieren können. Sorgen Sie dafür, dass Multifaktor-Authentifizierungen aktiviert sind und Verantwortliche nur die Befugnisse erhalten, die sie auch wirklich brauchen. Ein offensichtlicher Bruch von definierten Abläufen kann ein erster Warnhinweis für einen Betrugsversuch sein. -
Kommunikation
Klären Sie nicht nur Mitarbeitende und Kollegen, sondern auch Verwandte und Freunde über die Gefahren auf. Vereinbaren Sie für Notfälle ein Passwort, das nur Eingeweihte kennen. Sollte es zu einem Betrugsversuch kommen, der vor allem auf der emotionalen Ebene Druck aufbaut (Geldsorgen, Unfall), haben Betrüger auch mit einer täuschend echten Stimme eine geringere Erfolgschance.
Phishing-Mail gefunden?
Wenn Ihnen ein verdächtiges E-Mail mit Hostpoint-Bezug auffällt, dann informieren Sie sich auf unserer eigens eingerichteten Phishing-Infoseite und melden Sie uns Ihren Verdacht unter phishing-melden@hostpoint.ch.
Ich bin auf Phishing hereingefallen – was nun?
Falls die Phishing-Falle zugeschnappt ist, sollten Sie sowohl im geschäftlichen als auch privaten Kontext sofort reagieren.
-
Falls es sich um Daten eines Bankkontos oder einer Kreditkarte handelt, kontaktieren Sie umgehend Ihre Bank und lassen Sie Karten so rasch wie möglich sperren. Löschen Sie das betrügerische E-Mail oder SMS nicht, da es im Ernstfall als Beweismittel dienen kann. Da es sich um eine Straftat handelt, sollten Sie Strafanzeige erstatten.
-
Ändern Sie Ihre betroffenen Passwörter und verwenden Sie dazu ein anderes Endgerät.
-
Falls noch nicht geschehen, sollten Sie spätestens jetzt, wo immer möglich eine Zweifaktor- bzw. Multifaktor-Authentifizierung aktivieren.
-
Zur Sicherheit schadet es nicht, wenn Sie auf dem Gerät ein Antivirenprogramm laufen lassen, um Schadsoftware zu entfernen, die Sie sich möglicherweise beim Angriff eingefangen haben könnten. Dies soll verhindern, dass weitere Daten wie zum Beispiel neue Passwörter ausgelesen und mitgeschrieben werden können. Ziehen Sie im Zweifelsfall einen Experten zurate, der Sie dabei unterstützen kann.
In einer Firma trauen sich betroffene Mitarbeitende aus Angst vor (personellen) Konsequenzen oder aus Scham häufig nicht, Betrugsfälle unmittelbar oder frühzeitig zu melden. Das kostet wertvolle Zeit, da hierdurch nicht umgehend die notwendigen Schritte eingeleitet werden können.
Je früher die IT-Verantwortlichen informiert werden, desto besser. Diese können die Situation abschätzen und entsprechend reagieren. So können alle Bereiche geschützt und grösserer Schaden verhindert werden.
Damit die notwendigen Voraussetzungen in Firmen gegeben sind, ist es deshalb enorm wichtig, eine positive Fehlerkultur zu leben und Mitarbeitende aktiv zu motivieren, solche Fälle ohne Scheu zu melden.
«Vertrauensvolle und offene Kommunikation gehören zu den fundamentalen Pfeilern, auf denen IT-Sicherheit gebaut wird. Bei einem Vorfall hängen die Möglichkeiten und der Erfolg von Gegenmassnahmen entscheidend davon ab, wie schnell und ehrlich die Experten der IT-Abteilung informiert und involviert werden.»
Eine sehr wichtige Erkenntnis ist, dass jede noch so geschulte Person auf einen Phishing-Angriff hereinfallen kann. Mit den raffinierten und technisch immer komplexeren Betrugsmethoden ist es keine Schande, wenn Sie einem Betrug zum Opfer gefallen sind.
Künstliche Intelligenz auch als Freund und Helfer
Die bahnbrechenden Entwicklungen in Bereichen wie dem maschinellen Lernen können zwar für betrügerische Zwecke wie Phishing missbraucht werden, doch dies macht sie nicht per se schlecht. Ganz im Gegenteil: Diese Technologien bieten auch bedeutende Möglichkeiten im Kampf gegen die Cyber-Kriminalität. Insbesondere für die Früherkennung und die Abwehr von schädlichen Angriffen ist künstliche Intelligenz bereits seit Jahren im Einsatz und wird mit zunehmender Präzision und Effizienz eine noch bedeutendere Rolle erhalten.
Auch bei Hostpoint werden die Mitarbeitenden regelmässig auf Sicherheitsrisiken sensibilisiert und geschult. Zudem investieren wir laufend in zusätzliche Sicherheitsmassnahmen für unsere Infrastruktur.
Weitere nützliche Quellen über die Gefahren von Phishing finden Sie auch beim Bundesamt für Cybersicherheit (BACS), bei der Schweizerischen Kriminalprävention sowie bei der Internet Security Alliance (iBarry). Sie informieren regelmässig über die Gefahren im Internet und helfen Ihnen, die neusten Betrugsmaschen zu erkennen und richtig zu reagieren.
