84 Prozent aller in betrügerischer Absicht versandten E-Mails haben laut dem BSI-Report Die Lage der IT-Sicherheit in Deutschland 2023 einen Phishing-Angriff zum Hintergrund. Vor allem im Bereich des Online-Bankings werden Cyberkriminelle immer aktiver, geben sich als vermeintliche Mitarbeiter von Banken und Finanzdienstleistern aus, um Finance-Phishing zu betreiben. Immer häufiger, so der BSI-Report, kommt dabei auch KI zum Einsatz.
Was dies konkret bedeutet, haben nun vor kurzem Forscher des Cybersicherheits-Anbieters Group-IB in einem exklusiven Blogbeitrag vorgestellt. Ins Visier hatten sie hierzu die Cyberaktivitäten der spanischen kriminellen Gruppe GXC Team genommen. Die Gruppe betreibt eine Phishing-as-a-Service-Plattform, mit der Anmeldedaten von Bankkunden kompromittiert und entwendet werden können. Das Besondere: Die Plattform operiert unter Zuhilfenahme einer KI, die es ihren Nutzern unter anderem ermöglicht, ferngesteuert Fake-Telefonanrufe zu generieren. Als ‚Upgrade‘ ist zudem eine SMS-OTP-Stealer-Malware erhältlich, mit der, sollten ihre Opfer sie installieren, von ihrer Bank versandte Einmalpasswörter eingesehen werden können. Der Preis für das Phishing-Kit allein liegt zwischen 137 und 824 Euro, der für das ‚Upgrade‘-Paket, bestehend aus Phishing-Kit und Malware, bei etwa 457 Euro – pro Monat, denn Plattform und Malware werden als as-a-Service-Lösung vertrieben.
Die bevorzugten Opfer der KI-gestützten Phishing-Plattform: Online-Kunden von mindestens 36 spanischen Banken sowie Nutzer der Online-Angebote von Steuer- und Regierungsbehörden, von E-Commerce-Plattformen und Krypto-Währungsbörsen in den Vereinigten Staaten, dem Vereinigten Königreich, der Slowakei und Brasilien.
Über die zentrale Oberfläche der Plattform lassen sich Angriffe problemlos planen, umsetzen und – wichtig für den Erfolg von Phishing-Angriffen – nachjustieren. Um seinen ‚Kunden‘ die Nutzung der Plattform so unkompliziert wie nur möglich zu gestalten, hat GXC Team diese zudem mit einer KI ausgestattet. Ein besonderes Highlight: die KI ermöglicht die Generierung von Fake-Sprachanrufen. Opfer erhalten automatisiert Fake-Telefonanrufe – angeblich von Mitarbeitern ihrer Bank – in denen sie zum Beispiel angewiesen werden, den Code ihrer Zwei-Faktor-Authentifizierung (2FA) anzugeben, die bereits erwähnte Malware – angeblich ein reguläres Programm ihrer Bank – zu installieren, oder eine andere – angeblich seriöse, in Wirklichkeit aber bösartige – Aktion online durchzuführen.
Das Beispiel GXC Team zeigt: die offiziellen Warnungen des BSI und anderer Behörden vor der zunehmenden Nutzung von KI zur Optimierung von Phishing-Angriffen sind wohl begründet. Das Automatisierungspotential, das in KI-Tools schlummert, führt nicht nur zu einer Steigerung der Quanti- und Qualität von Phishing-Angriffen, es ermöglicht auch die Einführung ganz neuer Phishing-Ansätze, wie es sie so – analog – bislang noch nicht gegeben hat.
Wie erfolgreich diese KI-gestützten Fake-Sprachanrufe am Ende tatsächlich sein werden, wird die Zukunft zeigen. Allerdings kann schon heute davon ausgegangen werden, dass ihre sprachliche Qualität über kurz oder lang ein überzeugendes Niveau erreichen werden – wenn sie dieses denn nicht schon längst erreicht haben.
Banken werden sich deshalb neue Sicherungsmaßnahmen überlegen und bei ihren Kunden verstärkt Aufklärungsarbeit leisten müssen. Auch die Möglichkeit zusätzlicher Security Awareness-Trainings – für Mitarbeiter, wie für Kunden – wird dabei ernsthaft ins Auge gefasst werden müssen. Die Zeit drängt. Bis auch erste deutsche Banken und Bankkunden von KI-gestützten Fake-Bankanrufen berichten, wird es sicherlich nicht mehr allzu lange dauern.
ist Security Awareness Advocate bei KnowBe4.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…