Die gute Nachricht: Es ist nicht alles verloren

ChatGPT verfügt über einige interessante Funktionen, die wahrscheinlich bessere und überzeugendere Phishing-E-Mails bei Social-Engineering-Angriffen zur Folge haben werden – aber ist es auch ein Wendepunkt?

Ein erfolgreicher Social-Engineering-Angriff ist weitaus komplexer als die einfache Bereitstellung einer überzeugenden E-Mail oder eines Kommunikationsprozesses für das Ziel. Die technischen Fähigkeiten zur Herstellung oder zum Kauf und zur Übermittlung der Malware sind nach wie vor erforderlich – ebenso wie die gesamte Arbeit, die in den folgenden Schritten einer Kill Chain geleistet werden muss.

Gleichzeitig kursieren Phishing-E-Mail-Skripte und viele andere Social-Engineering-Skripte für fortlaufende Kommunikation bereits seit Jahren im Internet und im Deep Web. Mit ein wenig Recherche könnte jeder, auch Script-Kiddies und Anfänger, Zugang zu ihnen haben. Senkt ChatGPT also wirklich die Einstiegshürde? Wahrscheinlich nicht, aber es bietet einige Annehmlichkeiten und spart Zeit.

Worüber müssen wir uns Sorgen machen?

Die Qualität und Überzeugungskraft von Phishing-E-Mails wird sich durch den Einsatz dieses Chatbots erhöhen. Die Zeiten, in denen Phishing-Skripte umständlich geschrieben und voller grammatikalischer Fehler waren, sind längst vorbei.

Cyber-Angreifer sind jetzt in der Lage, ihre Operationen zu skalieren und einige Phasen ihrer Angriffskette zu automatisieren. Dies wird vor allem bei Social-Engineering-Angriffen zu beobachten sein, die eine starke soziale Komponente haben, denen eine längere Kommunikation vorausgeht und bei denen Vertrauen aufgebaut wird. Die Fähigkeit des Chatbots, Nachrichten zu personalisieren und auf der Grundlage des Kontexts der Konversation auf eine menschenähnliche Weise zu antworten, macht ihn zu einem nützlichen Werkzeug für Social Engineers.

E-Mail-Filter und Technologien zur Erkennung von ChatGPT-generiertem Text werden wahrscheinlich nicht helfen. Das liegt daran, dass etwa von Werbetreibenden, Medien und Textern erwartet wird, dass sie den Chatbot für legitime Zwecke einsetzen. Die Entschlüsselung, welcher ChatGPT-generierte Text zulässig ist und welcher nicht, bringt uns also wieder an den Anfang. In Anbetracht dessen erwarten wir einen Anstieg von Phishing-Kampagnen und anderen Social-Engineering-Aktivitäten, die auf schriftlicher Onlinekommunikation beruhen.

Worüber sollten wir uns keine Sorgen machen?

ChatGPT ändert nichts an der grundlegenden Funktionsweise von Social Engineering. Der Inhalt, die Auslöser und der Modus Operandi bleiben gleich. Die Verteidigungsmechanismen gegen diese Angriffe bleiben ebenfalls gleich und basieren auf bewährten Praktiken der Cybersicherheit, zum Beispiel keine sensiblen Anmeldedaten über einen Link in einer E-Mail weiterzugeben, keine unerwünschten Anhänge herunterzuladen und so weiter.

Da OpenAI viele Ressourcen darauf verwendet, ChatGPT zu einer Plattform zu machen, die nicht für bösartige Zwecke missbraucht werden kann, werden die Einschränkungen und Inhaltsrichtlinien ständig aktualisiert. Vor ein paar Wochen konnte ich ChatGPT durch Prompt-Engineering auffordern, mir persönliche Informationen über Einzelpersonen zu liefern, und es tat dies auch. Das ist jetzt (zum Glück) nicht mehr möglich. Aber selbst wenn es persönliche Informationen zur Verfügung stellen würde, bestünde die Möglichkeit, dass diese ungenau sind. Wir wissen nicht, aus welchen Quellen der Chatbot seine Informationen bezog, ob sie veraltet sind oder ob der Chatbot selbst Opfer von Desinformation wurde.

Klar ist: Gute Vorkehrungen zur Cybersicherheit werden noch wichtiger. Investitionen in qualitativ hochwertige, interaktive, unternehmensweite Cybersicherheitsschulungen sind unerlässlich. Die Raffinesse und die Fortschritte bei Social-Engineering-Angriffen werden weiter zunehmen. Wir können es uns nicht leisten, das menschliche Element in der Cybersicherheit zu ignorieren. Wir brauchen Menschen mit den entsprechenden Fähigkeiten und Fertigkeiten, um eine gute Cyberhygiene zu bekommen und über ein ausreichendes Bewusstsein zu verfügen, um potenzielle Social-Engineering-Versuche in jedem Bereich des digitalen Lebens zu erkennen oder zu überprüfen.

Christina Lekati ist Expertin für die Abwehr von Social-Engineering-Attacken und als Trainerin und Beraterin in diesem Bereich tätig.

Dieser Artikel wurde auf Englisch für Golem.de verfasst und von Jennifer Fraczek übersetzt.