Gezieltes Phishing mit Künstlicher Intelligenz

Im Juli wurden einige Leute, die sich auf Twitter über Pokémon Go austauschten, unbewusst Zeugen eines Experiments, das auf eine beunruhigende neue Art von Online-Angriffen hinauslaufen könnte.

Forscher aus der IT-Branche hatten Maschinenlern-Software darauf trainiert, eigene Tweets zu schreiben und damit auf Beiträge mit dem Hashtag #Pokemon zu reagieren. Auf diese Weise wollten sie vorführen, wie sich Nutzer von sozialen Medien mit Software, die natürliche Sprache versteht, in die Irre führen lassen. Ungefähr ein Drittel der angesprochenen Personen klickte auf einen von der Software verschickten Link, der in diesem Fall natürlich harmlos war.

Damit war die Erfolgsquote deutlich höher als die üblichen 5 bis 10 Prozent bei normalen „Phishing“-Nachrichten, die Nutzer dazu bringen sollen, auf Links zu klicken, hinter denen sich Malware verbirgt. Das erklärt John Seymour, leitender Datenwissenschaftler bei der Sicherheitsfirma ZeroFOX. Demzufolge ist das Maschinenlern-System fast so effektiv wie „Spearphishing“, also individuell auf den Empfänger zugeschnittene betrügerische Nachrichten, die auf etwa 40 Prozent Reaktionsquote kommen.

„Spearphishing ist stark manuell und benötigt zehn Minuten pro Ziel“, sagt Seymour. „Der neue Ansatz ist fast genauso erfolgreich und automatisiert, so dass er in viel größerem Maßstab eingesetzt werden könnte.“ Die automatisch erzeugten Tweets klingen nicht immer perfekt, aber sie sind effektiv, so Seymour. Manche Leute antworteten sogar, der Link würde nicht richtig funktionieren, und baten darum, ihn nochmal zu schicken.

Die Ergebnisse des zusammen mit seinem Kollegen Phil Tully durchgeführten Experiments präsentierte Seymour Anfang August auf der Computer-Sicherheitskonferenz Black Hat in Las Vegas. Mit Maschinenlern-Technologie könnten Kriminelle ihre Erfolgsquoten dramatisch steigern, warnt das Forscher-Duo.

Phishing und Spearphishing bereiten auch ohne Künstliche Intelligenz schon große Probleme. Wie Cisco im vergangenen Jahr berichtete, sind über Facebook verschickte Phishing-Nachrichten die häufigste Ursache für unerlaubte Zugriffe auf Unternehmensnetzwerke.

Die Software der ZeroFOX-Forscher, genannt SNAP_R, arbeitet auf zwei verschiedene Weisen. Die eine davon nutzt mit Deep Learning dieselbe Technik für Künstliche Intelligenz, wie sie auch Unternehmen wie Google für Systeme verwenden, die Sprache verstehen und übersetzen können. Dieser Teil wurde anhand von zwei Millionen Twitter-Nachrichten trainiert, bis er in der Lage war, selbst echt wirkende Beiträge zu generieren.

Der zweite Modus ist zielgenauer. Er analysiert die neuesten Tweets eines Nutzers und lernt darüber mit einer älteren Technik namens Markow-Kette, wie er selbst schreiben sollte. Das Ergebnis sind Tweets, die denen der Zielperson ähneln. Die könnte dadurch eher geneigt sein, den enthaltenen Link anzuklicken, weil sie vielleicht einen Nutzer mit ähnlichen Interessen vermutet.

Darüber hinaus kann SNAP_R die einflussreichsten und aktivsten Nutzer bei bestimmten Themen oder Hashtags identifizieren und anvisieren. Dazu sucht die Software nach Schlüsselworten wie „CEO“ im Profil einer Person sowie nach Indikatoren wie der Zahl der Follower. Um anderen Forschern die Möglichkeit zu geben, das Potenzial für derartige Angriffe zu erkunden und Abwehrmaßnahmen zu entwickeln, will ZeroFOX seine Software veröffentlichen.

Mike Murray, Vice President für Sicherheitsforschung bei der Mobilsicherheitsfirma Lookout, bezeichnet die Aussicht auf mittels Maschinenlernen automatisierte Online-Betrügereien als „beängstigend“. Allerdings werde es wohl noch eine Weile dauern, bis derartige Angriffe in der Praxis stattfinden.

Trotz vieler Fortschritte erfordern die besten Techniken für Maschinenlernen noch immer besondere Kompetenzen und können noch längst keine perfekten Sätze generieren. Mit führend bei Maschinenlernen und Sprachtechnologie ist Google. Doch selbst dessen Inbox-App für das Generieren von Antworten auf E-Mails, kann laut Murray bislang nur kurze Antworten mit nur einem Satz vorschlagen. „Wenn Google nicht mehr als einen Satz schafft, schaffe ich es wahrscheinlich nicht, eine wirklich gute E-Mail für Phishing zu generieren.“

Auch Tully von ZeroFOX sagt noch keinen baldigen weit verbreiteten Einsatz von automatischem Spearphishing voraus. Aber er weist darauf hin, dass die Algorithmen für Maschinenlernen immer einfacher zu benutzen werden; um auf sozialen Medien Erfolg zu haben, müssten sie zudem die menschliche Sprache gar nicht perfekt beherrschen. Twitter-Nutzer gehen davon aus, dass sie mit Fremden interagieren, und erwarten keine perfekte Syntax, so Tully. „Die Kultur auf Twitter ist ziemlich locker, und man kommt dort gut ohne perfektes Englisch und mit schlechter Grammatik zurecht.“

(sma)