WormGPT – Wie Cyberkriminelle das KI-Tool einsetzen
13. Sep 2023 | 2 min.
13. Sep 2023 | 2 min.
Die Einführung von ChatGPT hat einen großen Hype ausgelöst, schon nach fünf Tagen gab es mehr als eine Million NutzerInnen. Nach zwei Monaten waren es laut Golem.de dann schon über hundert Millionen NutzerInnen.
Künstliche Intelligenz (KI) kann vieles ermöglichen und unterschiedlich eingesetzt werden. Einerseits zur Vereinfachung des Alltags, andererseits haben auch Cyberkriminelle KI für sich und ihre betrügerischen Maschen entdeckt. Sie wird für die Entwicklung neuer Malware, Schwachstellenanalysen, Exploits und vor allem für Phishing-Mails eingesetzt. Die EntwicklerInnen von ChatGPT haben der Technik bereits Grenzen gesetzt, um illegale und unethische Nutzungsweisen einzugrenzen, was bei dem automatischen „Lernprozess“ der künstlichen Intelligenz nicht ganz einfach ist.
Cyberkriminelle sind jedoch oft in der Lage, diese Grenzen zu umgehen, z.B. durch sogenannte „Jailbreaks“. Dabei wird die KI dazu gebracht, ihre Grenzen zu überschreiten und illegale Informationen preiszugeben. Dies ist nur eine von vielen Möglichkeiten, wie KI von Cyberkriminellen genutzt wird.
Unter den Cyberkriminellen hat sich mit WormGPT eine neue KI-Technologie verbreitet. Sie basiert auf dem Open-Source-Sprachmodell GPT-J und hebt Phishing-Angriffe auf eine neue Ebene, indem sie Business E-Mail Compromise (BEC) als Angriffsvektor nutzt.
Mit Hilfe des Tools können Texte erstellt werden, die direkt auf das Opfer zugeschnitten sind und durch die Verwendung von menschenähnlichen Zügen einen besonders überzeugenden Eindruck machen. Die KI ermöglicht es den AngreiferInnen, E-Mails in verschiedenen Sprachen zu erstellen und diese für illegale Zwecke zu perfektionieren.
„Die EntwicklerInnen von ChatGPT haben der Technik bereits Grenzen gesetzt [...] was bei dem automatischen „Lernprozess“ der künstlichen Intelligenz nicht ganz einfach ist. “
Mit einer ganzheitlichen Cyber Security Strategie kann den Risiken vorgebeugt werden. Vor KI-basierten Angriffen schützen in erster Linie Intrusion und Detection Systeme (IDS / IPS), die in der eigenen IT betrieben oder auch von Dienstleistern genutzt werden können. Damit werden vom Normalbetrieb abweichende Datenströme im Netzwerk erkannt und eine Alarmmeldung im System generiert.
Eine wesentlich präzisere Lösung zur Erkennung von Anomalien ist die Einführung bzw. Nutzung eines Security Operation Centers, kurz SOC. Das SOC hat die Aufgabe, Bedrohungszustände zu überwachen, zu analysieren und wenn möglich Gegenmaßnahmen einzuleiten.
Auch der Einsatz einer SIEM- oder SOAR-Lösung hilft bei der Erkennung und Abwehr von Angriffen. Ein SIEM ist ein System, das Anomalien erkennt und einen Alarm auslöst, aber eine manuelle Reaktion erfordert. Im Gegensatz zu SOAR, das ebenfalls Alarme empfängt, aber automatisch reagiert, um die Bedrohung abzuwenden.
Entscheidend ist auch die Umsetzung wirksamer Präventivmaßnahmen. Weitere Strategien, die Unternehmen anwenden können, um Angriffe zu erkennen, sind spezifische Schulungen, die z. B. auf „Business E-Mail Compromise“ abzielen. Unternehmen sollten daher umfassende, regelmäßige und aktuelle Trainingsprogramme entwickeln, die auf KI-basierte BECs abzielen. Als kontinuierlicher Bestandteil der beruflichen Weiterbildung, sollten diese Schulungen die Methoden und Vorgehensweisen der Cyberkriminellen aufzeigen, um die Taktiken der AngreiferInnen besser zu verstehen.
https://www.golem.de/news/chatbot-fuer-cyberkriminelle-wormgpt-generiert-aeusserst-ueberzeugende-phishing-mails-2307-175894.html (Stand 29.08.2023)
https://slashnext.com/blog/wormgpt-the-generative-ai-tool-cybercriminals-are-using-to-launch-business-email-compromise-attacks/ (Stand 29.08.2023)