Der Aufstieg der ROSE Bots
Cyberkriminelle Banden verstärken ihre Social-Engineering-Angriffe mit KI und verbreiten ihre Innovationen in der Unterwelt durch den Verkauf von KI-as-a-Service.
Wichtige Punkte
- Künstliche Intelligenz und AI-as-a-Service (AIaaS) geben Cyberkriminellen neue Möglichkeiten, personalisierte Spear-Phishing-E-Mails in großem Umfang zu verbreiten, die effektiver sein können als die von Menschen erstellten.
- Dies führt zu einem "KI-Wettrüsten" zwischen Angreifern und Verteidigern.
- Es ist wichtig, dass die Mitarbeiter auf diese Bedrohungen aufmerksam gemacht werden und geeignete Maßnahmen ergreifen, um zu vermeiden, dass sie zu Opfern werden.
Der Übergang zur Arbeit von zu Hause aus führte zu einem massiven Anstieg der Zahl der ROSE-Angriffe (Remote Online Social Engineering) durch Cyberkriminelle. Es wird erwartet, dass Innovationen wie künstliche Intelligenz (KI) und KI-as-a-Service dieses Wachstum weiter vorantreiben werden.
Technologien für künstliche Intelligenz und maschinelles Lernen ermöglichen eine Verbesserung der Automatisierungs- und Targeting-Fähigkeiten, wodurch sich der Zeit- und Arbeitsaufwand, den Cyberkriminelle für jeden Angriff aufwenden müssen, verringert und sich gleichzeitig ihre Erfolgsquote erhöht. Sobald sie perfektioniert sind, neigen Cyber-Banden dazu, ihre neuesten Exploits zu Geld zu machen, indem sie sie in "As-a-Service"-Geschäftsmodelle umwandeln, wie sie es mit "Ransomware-as-a-Service" getan haben. Diese Softwarepakete werden dann an viele weitere, ungeschulte Cyberkriminelle verkauft. All dies könnte zu wirksameren, personalisierten ROSE-Angriffen in großem Maßstab führen.
"Offensive KI-Methoden werden wahrscheinlich als Handwerkszeug für die Durchführung und Skalierung von Cyberangriffen eingesetzt werden", sagte Eric Horvitz, Chief Scientific Officer von Microsoft, im Mai vor dem Unterausschuss für Cybersicherheit des Senats für Streitkräfte. "Wir gehen davon aus, dass der Einsatz von KI bei Cyberangriffen zunächst von hochentwickelten Akteuren ausgehen wird, sich aber durch die zunehmende Zusammenarbeit und Kommerzialisierung ihrer Werkzeuge rasch auf das gesamte Ökosystem ausweiten wird", sagte er bei einer Anhörung zum Thema KI und Cybersicherheit[1].
Parallel dazu nutzen auch Sicherheitsanbieter wie Mimecast KI, um die Cyberabwehr zu verbessern.
Social Engineering: Ein Kreislauf des persönlichen Angriffs
Ausgefeilte Social-Engineering-Angriffe folgen in der Regel einem ähnlichen Zyklus, bei dem zunächst Informationen gesammelt werden, dann eine Verbindung hergestellt wird und schließlich diese Verbindung ausgenutzt wird, um den Angriff auszuführen. In der Phase der Informationsbeschaffung müssen die Angreifer ein Ziel identifizieren, das es ihnen ermöglicht, ihr Ziel zu erreichen (Überweisung von Kontoguthaben, Zugriff auf ein System, Bereitstellung der gewünschten Informationen), einen Angriffsvektor (E-Mail, Telefon, Text) auswählen und einen Vorwand planen (sich als Bank, technischer Support, Kollege oder Manager ausgeben). Diese Informationen werden dann in der nächsten Phase zum Aufbau einer Verbindung verwendet.
Der Verbindungsaufbau ist oft die schwierigste Phase eines ROSE-Angriffs, insbesondere bei Angriffen per E-Mail. Bei einem Phishing-Angriff muss der Social Engineer eine Nachricht finden, die bei der Zielperson Anklang findet und gleichzeitig als legitim erscheint. So sollte eine E-Mail, die vorgibt, von einer Bank zu kommen, den Anschein erwecken, von einer Bank zu stammen, mit der die Zielperson Geschäfte macht, und sie sollte anderen E-Mails dieser Bank ähnlich sehen. Ist dies nicht der Fall, wird die Verbindung nicht hergestellt.
Selbst wenn die Nachricht relevant ist und legitim erscheint, ist das noch keine Erfolgsgarantie. Um erfolgreich zu sein, muss der Angreifer die Zielperson dazu bringen, die E-Mail schnell und ohne kritische Bewertung des Versuchs anzunehmen. Andernfalls sinken die Erfolgsaussichten rapide, wenn die Zielperson innehält, um nachzudenken.
Dieses Bedürfnis nach Schnelligkeit ist der Grund, warum viele Phishing-E-Mails vor einer bevorstehenden Katastrophe warnen, z. B. vor einer Kontosperrung oder -abschaltung. Die Dringlichkeit verstärkt den "Aufhänger" der Botschaft, d. h. die Aufforderung zum Handeln, indem sie die Angstreaktion der Zielgruppe ausnutzt und sie zum Handeln zwingt. Im Falle von Phishing-E-Mails muss dieser Haken innerhalb von Millisekunden beim Empfänger ankommen, was bedeutet, dass der Angreifer beim Sammeln von Informationen und beim Aufbau einer Verbindung eine korrekte Einschätzung vornehmen muss.
Social Engineering aufladen
Es kostet Zeit und Mühe, jede der oben beschriebenen Phasen erfolgreich zu bewältigen, einen Angriff nach dem anderen. All dies hat die Anzahl der möglichen Angriffe begrenzt... bis jetzt. Die jüngsten Fortschritte in der Sprachverarbeitung und -generierung verbessern die Möglichkeiten der Angreifer rapide. Dieselben KI-Technologien, die es seriösen Unternehmen ermöglichen, Chatbots zur effizienten Beantwortung von Kundenfragen einzusetzen, können auch von böswilligen Akteuren verwendet werden, um mit nur wenigen Codezeilen Spear-Phishing-Angriffe gegen Tausende von Mitarbeitern zu starten.
Die Erstellung effektiver ROSE-Angriffe kann ein komplizierter Prozess sein, aber automatisierte Tools, von denen einige KI nutzen, verstärken jede Phase des Angriffszyklus. Nehmen wir die Phase der Informationsbeschaffung, in der der Angreifer potenzielle Botschaften identifizieren muss, die bei der Zielperson Anklang finden. Ein Beispiel für eine effektive Herangehensweise an diese Aufgabe, die von einem Forscher entwickelt wurde, ist der Social Engineering eXposure Index (SEXI)[2]. Der SEXI verwendet eine Kombination aus demografischen Daten, Arbeitsumfeld, Erfahrungen und anderen persönlichen Informationen, die offen zugänglich sind, um einen Index der Schwachstellen einer Zielperson zu erstellen. Die SEXI ist ein Vorläufer für die Art von automatisierten Toolkits, die wir in naher Zukunft beobachten werden.
Dieser Ansatz bietet zwar eine gewisse Möglichkeit, die potenzielle Gefährdung einer Person einzuschätzen, liefert aber nicht unbedingt die Informationen, die für die Erstellung einer Botschaft erforderlich sind, die bei der Zielperson ankommt. Um diesen zweiten Aspekt der Informationsbeschaffung anzugehen, wählte eine andere Forschergruppe einen anderen Ansatz und entwickelte stattdessen einen Software-Bot, der die Twitter-Posts einer Zielperson verfolgte und sie in einem maschinellen Lernmodell verwendete, um einen Spear-Phishing-Angriff auf der Grundlage der Interessensgebiete der Zielperson zu generieren[3].
Ein fortschrittlicheres Beispiel nutzte das maschinelle Lernmodell GPT-3 (Generative Pre-trained Transformer-3rd generation) "davinci-instruct", um Spear-Phishing-E-Mails zu generieren, die in einigen Fällen effektivere Klickraten aufwiesen als von menschlichen Autoren erstellte Nachrichten[4]. Abgesehen von den offensichtlichen Auswirkungen dieses Anwendungsfalls schlagen die Forscher vor, dass AIaaS den aktuellen Stand der Sicherheit verändern könnte, indem die Einstiegshürden für Bedrohungsakteure, die einen solchen Ansatz zur Durchführung von Angriffen nutzen wollen, erheblich gesenkt werden.
Tatsächlich wurde dieses Modell auf der Black Hat USA als Prototyp eines End-to-End-Dienstes vorgestellt. Die Forscher verwendeten eine halbautomatische Version von Humantic AI (die von Personalabteilungen z. B. zur Beurteilung von Bewerbern eingesetzt wird), um anhand von Open-Source-Informationen in Kombination mit dem GPT-3-Modell ein Profil der Zielperson zu erstellen und personalisierte Spear-Phishing-E-Mails zu entwickeln.
AI kommt in die Defensive
Die Erkenntnis, dass Angreifer beginnen, KI-Technologien zu nutzen, um ihre Taktiken zu verbessern, bedeutet, dass die Sicherheitsteams von Unternehmen ebenfalls nach Möglichkeiten suchen sollten, KI-Tools zu integrieren, um die Benutzer zu schützen. So nutzen beispielsweise Sicherheitsanbieter wie Mimecast zunehmend KI und maschinelles Lernen, um anormale Verhaltensweisen zu erkennen und Benutzer zu warnen, die auf bösartige E-Mails hinweisen könnten. Wenn Angriffe bestätigt werden, fließen diese Informationen auch in maschinelle Lernmodelle ein, die Crowdsourced Intelligence analysieren und darauf reagieren.
Neben neuen KI-Innovationen und konventionelleren Sicherheitslösungen wie E-Mail-Scanning wird es für Unternehmen immer wichtiger, sicherzustellen, dass ihre Mitarbeiter über die neuesten Bedrohungen Bescheid wissen: up-to-date training. Die Nutzer müssen sich darüber im Klaren sein, dass diese neuen Technologien offen zugängliche Informationen in sozialen Medien nutzen können, um hochentwickelte und personalisierte Angriffe durchzuführen.
Die Quintessenz
"Wir müssen uns auf Gegner einstellen, die KI-Methoden nutzen, um die Reichweite und die Geschwindigkeit von Angriffen zu erhöhen. und die Wahrscheinlichkeit erfolgreicher Ergebnisse", wurde dem Unterausschuss für Cybersicherheit des Senats im Mai mitgeteilt. Da Cyberkriminelle Social Engineering mit KI aufwerten und diese Fähigkeiten dann durch den Verkauf von KI-as-a-Service im Dark Web weiter verbreiten, befinden sich die Sicherheitsteams von Unternehmen in einem KI-Wettrüsten. Erfahren Sie, wie Mimecast KI für die Cyberabwehr einsetzt.
[1] "Artificial Intelligence and Cybersecurity: Rising Challenges and Promising Directions," Stellungnahme vor dem U.S. Senate Armed Services Subcommittee on Cybersecurity
Kennesaw State Universität
[3] " Generative Modelle für Spear-Phishing-Posts in sozialen Medien," Cornell University
[4] "Turing in a Box: Anwendung von Künstlicher Intelligenz als Service für gezieltes Phishing und Verteidigung gegen KI-generierte Angriffe," Black Hat USA
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!