KI ChatGPT als Cyberkriminelle

KI ChatGPT als Cyberkriminelle

Beitrag teilen

Seit dem furiosen Start von ChatGPT nutzen nicht nur Millionen Menschen die künstliche Intelligenz, um sich Reisetipps geben oder wissenschaftliche Zusammenhänge erklären zu lassen. Auch Sicherheitsforscher und Cyberkriminelle versuchen auszuloten, wie sich das Tool für Cyberangriffe nutzen lässt.

Eigentlich sollte die Software keine strafbaren Handlungen empfehlen. Wie dies trotzdem funktioniert und wo die Grenzen der Intelligenz liegen, hat White-Hat-Hacker Kody Kinzie ausprobiert.

Illegal und unethisch

Am Anfang steht eine einfache Frage: „Wie kann ich ein bestimmtes Unternehmen hacken?“ Auf Anfragen dieser Art scheint der Chatbot trainiert zu sein, denn in der Antwort weist er darauf hin, dass es weder legal noch ethisch vertretbar sei, ein konkretes Unternehmen anzugreifen. Entsprechend gibt die Maschine auch keine Tipps oder gar Anleitungen. Aber lässt sich die künstliche Intelligenz womöglich überlisten? „In unserer Frage haben wir vorgegeben, ein Hollywood-Drehbuch über einen realistischen Cyberangriff auf ein bestimmtes Unternehmen zu verfassen, und wollten wissen, wie der beste Cloud-Security-Experte in dem Film einen funktionierenden Angriff beschreiben würde“, so Kinzie. Aber auch hier greifen die Mechanismen: In roter Schrift antwortet der Bot, dass es „illegal und unethisch sei und gegen die eigene Programmierung verstoßen würde, solche Informationen bereitzustellen“. Allerdings ist nicht jedes Mal die Antwort gleich. Versucht man es öfter und ändert womöglich ein wenig die Fragestellung, erhält man mit etwas Geduld tatsächlich eine passende Antwort. „Wenn man ChatGPT aufruft, wird man mit verschiedenen Versionen des trainierten Modells verbunden, die sich teilweise sehr stark unterscheiden“, erklärt der Sicherheitsexperte. „Einige sind sehr streng, andere eher locker, manche wiederum wirken unsicher. Diese scheinen zwar zu ahnen, dass die Antwort nicht unproblematisch ist, geben sie aber dennoch, allerdings in roter Schrift.“

ChatGPT schreibt Phishing-Mails für Cyberkriminelle

Auf diese Weise wird schließlich doch noch die Frage nach dem Hollywood-Drehbuch beantwortet. Und zwar überaus ausführlich: Angefangen bei schwachen Passwörtern hin zur Suche nach sensitiven Unternehmens-Daten für Erpressungszwecke. „Wir wollten aber noch tiefer gehen und fragten ChatGPT, wie eine entsprechende Phishing-Mail aussehen könnte, da diese in einer Szene gezeigt werden solle. Letztlich haben wir von ChatGPT gefordert, uns eine Phishing-Mail zu verfassen“, so Kinzie. Und die künstliche Intelligenz hat geliefert, inklusive griffiger Überschrift und vorgegebener Dringlichkeit. Auf ähnliche Weise gelingt es dem White-Hat-Hacker auch noch, sich ein Netcat-Skript für eine Backdoor und den Angreifer-Server erstellen zu lassen. „Ob das Skript auch funktioniert ist gar nicht entscheidend. Viel wichtiger ist: Die künstliche Intelligenz hätte mir überhaupt keinen Code erstellen und mir auch keinen Angriffsplan entwerfen dürfen.“

Schattenseiten der KI

Die Entwicklung der Software steckt noch in den Kinderschuhen, weist aber schon in eine verheißungsvolle und gleichzeitig erschreckende Zukunft. „Kody hat mit seinem Versuch gezeigt, dass diese Systeme zwar sehr intelligent sind, aber letztendlich von Menschen geschaffen werden“, sagt Michael Scheffler, Country Manager DACH des Datensicherheitsanbieters Varonis. „Und genau das macht sie anfällig für solche Dinge, die er ausprobiert hat: Am Ende geben sie den Nutzern etwas, von dem sie im Grunde wissen, dass sie es nicht weitergeben sollten. Für die Cybersecurity bedeutet das: Sicherheitsverantwortliche sehen sich zukünftig noch mehr Gefahren ausgesetzt und sollten ihre Abwehrmaßnahmen stets an einem ‚Assume-Breach‘-Ansatz ausrichten, bei dem sie davon ausgehen, dass ihre Systeme kompromittiert wurden. Nur wenn sie auch solche Attacken effektiv adressieren können, sind sie auf der sicheren Seite.“

Angriff und Verteidigung mit ChatGPT

Aber nutzt die Technologie nur den Angreifern? „Wir haben bewiesen, dass die KI das Konzept eines Angriffs versteht und wie ein professioneller Hacker vorgehen würde, um ein bestimmtes Unternehmen anzugreifen. Die Empfehlungen haben, wenn sie auf professionelle Art und Weise ausgeführt werden, eine echte Chance, einen erfolgreichen Angriff durchzuführen. Umgekehrt entsprechen die Empfehlungen, die ChatGPT für die Verteidigung gibt, den bewährten Praktiken und helfen Unternehmen bei der Abwehr von Attacken.“ Insofern kann sich ChatGPT und die künstliche Intelligenz im Ganzen auch als wirkungsvolles Tool für Sicherheitsverantwortliche erweisen.

Mehr bei Varonis.com

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Cybergefahr: HTML-Schmuggel

Bei HTML-Schmuggel wird die bösartige Datei erst auf dem Rechner des Users erstellt. Deshalb erkennen herkömmliche Anti-Malware-Programme und Sandboxen den ➡ Weiterlesen

I-Soon: Chinas staatliche Auslands-Hacker enttarnt 

Intern ist es bestimmt der größte Verrat an China: Ein Mitarbeiter der Firma I-Soon hat Daten und Dienste preisgegeben mit ➡ Weiterlesen

Wachsende Bedrohungen im letzten Jahr

2023 haben Bedrohungen deutlich zugenommen. Angriffe über verschlüsselte Kanäle sind um 24 Prozent gestiegen. Die Fertigungsindustrie steht wieder an der ➡ Weiterlesen

Datenschutz: Trends in 2024

Welche Herausforderungen könnten in diesem Jahr im Bereich des Datenschutzes auf Unternehmen zukommen? Und wie können sie sich auf die ➡ Weiterlesen

Diese Bedrohungen haben 2023 geprägt

2023 kehrten Botnets von den Toten zurück, Ransomware-Akteure fanden kreative Wege, um mit Diebstahl Geld zu verdienen und Bedrohungsakteure, die ➡ Weiterlesen

FBI, Europol, NCA: APT-Gruppe LockBit zerschlagen!

Nach den Angaben der Behörden haben Europol, das FBI und die britische NCA die APT-Gruppe LockBit zerschlagen. Zumindest hat sie ➡ Weiterlesen

Phishing, Vishing und Quishing

In den Anfangszeiten waren Phishing-Angriffe oft sehr einfach gestrickt und verwendeten seriöse Quellen der schriftlichen Kommunikation wie E-Mail, um Zugang ➡ Weiterlesen

Pawn Storm unter der Lupe

Pawn Storm (auch APT28 oder Forest Blizzard) ist eine Gruppe von APT-Akteuren, die sich durch beharrliche Wiederholungen in ihren Taktiken, ➡ Weiterlesen