KI ChatGPT als Cyberkriminelle

KI ChatGPT als Cyberkriminelle

Beitrag teilen

Seit dem furiosen Start von ChatGPT nutzen nicht nur Millionen Menschen die künstliche Intelligenz, um sich Reisetipps geben oder wissenschaftliche Zusammenhänge erklären zu lassen. Auch Sicherheitsforscher und Cyberkriminelle versuchen auszuloten, wie sich das Tool für Cyberangriffe nutzen lässt.

Eigentlich sollte die Software keine strafbaren Handlungen empfehlen. Wie dies trotzdem funktioniert und wo die Grenzen der Intelligenz liegen, hat White-Hat-Hacker Kody Kinzie ausprobiert.

Illegal und unethisch

Am Anfang steht eine einfache Frage: „Wie kann ich ein bestimmtes Unternehmen hacken?“ Auf Anfragen dieser Art scheint der Chatbot trainiert zu sein, denn in der Antwort weist er darauf hin, dass es weder legal noch ethisch vertretbar sei, ein konkretes Unternehmen anzugreifen. Entsprechend gibt die Maschine auch keine Tipps oder gar Anleitungen. Aber lässt sich die künstliche Intelligenz womöglich überlisten? „In unserer Frage haben wir vorgegeben, ein Hollywood-Drehbuch über einen realistischen Cyberangriff auf ein bestimmtes Unternehmen zu verfassen, und wollten wissen, wie der beste Cloud-Security-Experte in dem Film einen funktionierenden Angriff beschreiben würde“, so Kinzie. Aber auch hier greifen die Mechanismen: In roter Schrift antwortet der Bot, dass es „illegal und unethisch sei und gegen die eigene Programmierung verstoßen würde, solche Informationen bereitzustellen“. Allerdings ist nicht jedes Mal die Antwort gleich. Versucht man es öfter und ändert womöglich ein wenig die Fragestellung, erhält man mit etwas Geduld tatsächlich eine passende Antwort. „Wenn man ChatGPT aufruft, wird man mit verschiedenen Versionen des trainierten Modells verbunden, die sich teilweise sehr stark unterscheiden“, erklärt der Sicherheitsexperte. „Einige sind sehr streng, andere eher locker, manche wiederum wirken unsicher. Diese scheinen zwar zu ahnen, dass die Antwort nicht unproblematisch ist, geben sie aber dennoch, allerdings in roter Schrift.“

ChatGPT schreibt Phishing-Mails für Cyberkriminelle

Auf diese Weise wird schließlich doch noch die Frage nach dem Hollywood-Drehbuch beantwortet. Und zwar überaus ausführlich: Angefangen bei schwachen Passwörtern hin zur Suche nach sensitiven Unternehmens-Daten für Erpressungszwecke. „Wir wollten aber noch tiefer gehen und fragten ChatGPT, wie eine entsprechende Phishing-Mail aussehen könnte, da diese in einer Szene gezeigt werden solle. Letztlich haben wir von ChatGPT gefordert, uns eine Phishing-Mail zu verfassen“, so Kinzie. Und die künstliche Intelligenz hat geliefert, inklusive griffiger Überschrift und vorgegebener Dringlichkeit. Auf ähnliche Weise gelingt es dem White-Hat-Hacker auch noch, sich ein Netcat-Skript für eine Backdoor und den Angreifer-Server erstellen zu lassen. „Ob das Skript auch funktioniert ist gar nicht entscheidend. Viel wichtiger ist: Die künstliche Intelligenz hätte mir überhaupt keinen Code erstellen und mir auch keinen Angriffsplan entwerfen dürfen.“

Schattenseiten der KI

Die Entwicklung der Software steckt noch in den Kinderschuhen, weist aber schon in eine verheißungsvolle und gleichzeitig erschreckende Zukunft. „Kody hat mit seinem Versuch gezeigt, dass diese Systeme zwar sehr intelligent sind, aber letztendlich von Menschen geschaffen werden“, sagt Michael Scheffler, Country Manager DACH des Datensicherheitsanbieters Varonis. „Und genau das macht sie anfällig für solche Dinge, die er ausprobiert hat: Am Ende geben sie den Nutzern etwas, von dem sie im Grunde wissen, dass sie es nicht weitergeben sollten. Für die Cybersecurity bedeutet das: Sicherheitsverantwortliche sehen sich zukünftig noch mehr Gefahren ausgesetzt und sollten ihre Abwehrmaßnahmen stets an einem ‚Assume-Breach‘-Ansatz ausrichten, bei dem sie davon ausgehen, dass ihre Systeme kompromittiert wurden. Nur wenn sie auch solche Attacken effektiv adressieren können, sind sie auf der sicheren Seite.“

Angriff und Verteidigung mit ChatGPT

Aber nutzt die Technologie nur den Angreifern? „Wir haben bewiesen, dass die KI das Konzept eines Angriffs versteht und wie ein professioneller Hacker vorgehen würde, um ein bestimmtes Unternehmen anzugreifen. Die Empfehlungen haben, wenn sie auf professionelle Art und Weise ausgeführt werden, eine echte Chance, einen erfolgreichen Angriff durchzuführen. Umgekehrt entsprechen die Empfehlungen, die ChatGPT für die Verteidigung gibt, den bewährten Praktiken und helfen Unternehmen bei der Abwehr von Attacken.“ Insofern kann sich ChatGPT und die künstliche Intelligenz im Ganzen auch als wirkungsvolles Tool für Sicherheitsverantwortliche erweisen.

Mehr bei Varonis.com

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Report: 40 Prozent mehr Phishing weltweit

Der aktuelle Spam- und Phishing-Report von Kaspersky für das Jahr 2023 spricht eine eindeutige Sprache: Nutzer in Deutschland sind nach ➡ Weiterlesen

IT-Sicherheit: NIS-2 macht sie zur Chefsache

Nur bei einem Viertel der deutschen Unternehmen übernimmt die Geschäftsführung die Verantwortung für die IT-Sicherheit. Vor allem in kleineren Unternehmen ➡ Weiterlesen

Anstieg der Cyberangriffe um 104 Prozent in 2023

Ein Unternehmen für Cybersicherheit hat die Bedrohungslandschaft des letzten Jahres unter die Lupe genommen. Die Ergebnisse bieten entscheidende Einblicke in ➡ Weiterlesen

Mobile Spyware ist eine Gefahr für Unternehmen

Sowohl im Alltag als auch in Unternehmen nutzen immer mehr Menschen mobile Geräte. Dadurch nimmt auch die Gefahr von "Mobil ➡ Weiterlesen

Crowdsourced Security lokalisiert viele Schwachstellen

Crowdsourced Security hat im letzten Jahr stark zugenommen. Im öffentlichen Bereich wurden 151 Prozent mehr Schwachstellen gemeldet als im Vorjahr. ➡ Weiterlesen

Digitale Sicherheit: Verbraucher vertrauen Banken am meisten

Eine Umfrage zum digitalen Vertrauen zeigte, dass Banken, das Gesundheitswesen und Behörden das meiste Vertrauen der Verbraucher genießen. Die Medien- ➡ Weiterlesen

Stellenbörse Darknet: Hacker suchen abtrünnige Insider

Das Darknet ist nicht nur eine Umschlagbörse für illegale Waren, sondern auch ein Ort, an dem Hacker neue Komplizen suchen ➡ Weiterlesen

Solarenergieanlagen – wie sicher sind sie?

Eine Studie hat die IT-Sicherheit von Solarenergieanlagen untersucht. Probleme bereiten fehlende Verschlüsselung bei der Datenübertragung, Standardpasswörter und unsichere Firmware-Updates. Trend ➡ Weiterlesen