Dies ist nicht zuletzt auf sogenannte „Large Language Models“ wie z.B. ChatGPT zurückzuführen. Dabei handelt es sich um große Sprachmodelle mit künstlicher Intelligenz, die in der Lage sind, natürliche Sprache zu verstehen, zu verarbeiten und sogar zu generieren. Die Modelle werden mit großen Textmengen trainiert und haben mehrere hundert Milliarden Parameter, was sich beträchtlich auf die generierten Ergebnisse auswirkt. Durch die Nutzung von künstlicher Intelligenz sind Betrüger in der Lage viel authentischere E-Mails verfassen zu lassen, die auf ihre Opfer täuschend echt wirken und daher eine hohe Trefferquote aufweisen. Rechtschreib- und Grammatikfehler sind hier eine absolute Seltenheit geworden. Die Mails bestechen außerdem durch ihre Sinnhaftigkeit.
Technogische Weiterentwicklung zwischen Fluch und Segen
Unglücklicherweise läuft die Weiterentwicklung der Netzkriminalität gerade erst an. Auf der Webseite Dr. Datenschutz (siehe Quellenangabe) sind die Gefahren der Zukunft sehr treffend zusammengefasst: „Durch den technischen Fortschritt, den Large Language Models mit sich bringen, wird die Ausarbeitung von Angriffsmethoden, Erstellung von schadhaftem Code oder auch das Schreiben eines Verschlüsselungsskripts merklich vereinfacht. Dadurch werden Sicherheitssysteme und auch Sicherheitsmaßnahmen, die momentan noch sicher sind, zukünftig auf die Probe gestellt bzw. wenn nicht sogar überwältigt. Dies würde bedeuten, dass neue Maßnahmen erstellt oder die alten angepasst werden müssen.“Generell ergeben sich viele Risiken:
• Durch immer authentischere und personalisierte Phishing- und Social-Engineering-Angriffe erhöht sich die Wahrscheinlichkeit, Opfer einer Fake-E-Mail zu werden, deutlich.
• Eine Schädigung des Unternehmensimages und eine Schwächung des Kundenvertrauens sind möglich, wenn Kriminelle im Namen des Unternehmens Fake-E-Mails verbreiten.
• Die Schwachstellen von Unternehmen können durch die künstlichen Intelligenzen einfacher analysiert werden (z.B. Mitarbeiter, Geschäftsführer, Unternehmensstruktur).
• Die künstlichen Intelligenzen können einen Schadcode schreiben, der z.B. Sicherheitssysteme umgeht.
Mit diesen und weiteren Herausforderungen werden die Unternehmen und Behörden in der Zukunft zu kämpfen haben, da technologische Fortschritte unglücklicherweise eben nicht nur für gute Zwecke genutzt werden.
Phishing-Mails 2.0: Das Risiko für E-Mail-Empfänger steigt
Ein häufiges Vorgehen ist derzeit, dass sich Kriminelle als vertrauenswürdige Stelle, z.B. eine Bank oder eine Behörde, ausgeben. Durch diese Vorgehensweise versuchen Kriminelle an sensible Daten, wie z.B. Passwörter, Bankdaten oder persönliche Identifikationsmerkmale, zu kommen. In jüngster Vergangenheit traten vor allem Fälle im Namen der „Sparkasse“, der „Deutschen Bank“ oder der „Comdirect Bank“ auf. Durch Zuhilfenahme der „Large Language Models“ wird es den Angreifern erleichtert, mit den richtigen Parametern eine E-Mail zu verfassen, die keinerlei Merkmale aufweist, die auf einen Betrug schließen lässt. Darüber hinaus kann sehr leicht in Erfahrung gebracht werden, welche E-Mail-Adressen von der gewählten Bank genutzt werden, wie z.B. service@beispielbank.de. Bereits die Ergänzung eines Buchstabens, wie serviceS@beispielbank.de, genügt, um die Empfänger der E-Mail bezüglich der Authentizität zu täuschen. Mit diesem Vorgehen werden zum einen E-Mails an Privatpersonen versandt – aber auch an Mitarbeiter eines Unternehmens. In der letzten Zeit gab es einige Fälle, in denen Mitarbeiter mit angeblichen E-Mails von ihren „Vorgesetzten“ getäuscht wurden.Bei der neuen Generation der Phishing-E-Mails ist es kaum noch möglich, diese E-Mails als solche zu identifizieren.Jede E-Mail könnte mittlerweile eine potenzielle Fake-Mail sein.
Sinnvolle Maßnahmen, um das Risiko einer Fakemail zu reduzieren, sind z.B.:
• Im Zweifelsfall telefonische Rücksprache mit dem Absender bezüglich der Authentizität einer E-Mail halten.
• Insbesondere bei E-Mails vorsichtig sein, die „unerwartet“ oder in größeren Abständen (ohne fortlaufende Kommunikation oder Anforderung bzw. Erwartung des Empfängers) ankommen.
• Verlinkungen in E-Mails von Banken oder Telefonanbietern nicht anklicken, sondern die Webseiten immer eigenständig über den Browser aufrufen.
• Vorsicht bei Anhängen oder Links walten lassen, auch wenn diese von einem bekannten Empfänger kommen.
• Generell im Umgang mit der eigenen E-Mail-Adresse vorsichtig sein und z.B. eine „Wegwerf-E-Mail“ für Internetbestellungen, Newsletteranmeldungen oder die Nutzung für Kundenkonten in Onlineshops verwenden. In diesem Zusammenhang ebenfalls keine „wichtigen Passwörter“ verwenden.
• Sollte es eine Fake-E-Mail doch einmal geschafft haben, ein Opfer zu täuschen, gilt: Immer transparent den Vorfall kommunizieren, um den Schaden entsprechend zu begrenzen!
Quellenangaben:
– Artikel „Auch Kriminelle nutzen Large Language Models wie ChatGPT“, abgerufen am 19.06.2023 unter: https://www.dr-datenschutz.de/auch-kriminelle-nutzen-large-language-models-wie-chatgpt/– Artikel „Was ist ein Large Language Model (LLM)?“, abgerufen am 19.06.2023 unter: https://www.cloudcomputing-insider.de/was-ist-ein-large-language-model-llm-a-9b7bdd0c3766b5a9c0ee1e0c909790a3/