Gezielte Phishing-Attacken mit geschäftlichen E-Mails sind schwer zu erkennen. Künstliche Intelligenz ist ein wichtiger Verbündeter im Kampf gegen diese Masche.
Phishing-Attacken haben meist das Ziel, den Adressaten zum Klick auf einen dubiosen Link oder das Öffnen einer Malware-verseuchten Datei zu bewegen. Bei der als Business E-Mail Compromise (BEC) bekannten Phishing-Variante kommen Angreifer dagegen ganz ohne Links und Schadsoftware aus. Stattdessen versuchen Sie, den Adressaten zu manipulieren und zu einer unbedachten Handlung zu motivieren. So gibt sich der Absender beispielsweise als Geschäftsführer aus und fordert die Überweisung einer größeren Summe auf ein ausländisches Konto. Die Zahlungen werden als extrem dringend, vertraulich und existentiell für das Unternehmen dargestellt, was den betroffenen Mitarbeiter unter massiven Druck setzt.
Eine andere beliebte Variante von BEC ist der Kontotrick. Geschäftspartner oder Dienstleister teilen mit, dass sich ihre Bankverbindung geändert hätte und bitten darum, die nächste Anzahlung oder Rechnung auf das neue Konto zu überweisen. Da die Nachrichten von bekannten Kontakten stammen und sich häufig sogar auf vorangegangene Konversationen beziehen, wird dieser Bitte oft ohne weitere Nachfrage nachgekommen.
Enorme Schäden
Die durch BEC verursachten Verluste sind enorm. Das FBI berechnete allein für den Zeitraum Juni 2016 bis Juli 2019 einen Gesamtschaden von über 26 Milliarden US-Dollar. Die Ermittler registrierten mehr als 160.000 Fälle in über 170 Ländern. Zu den bekanntesten Opfern in Deutschland zählt die Öko-Bäckereikette „Hofpfister“. Eine Buchhalterin des Brotfabrikanten überwies mehr als 1,9 Millionen Euro nach Hongkong, nachdem sie streng vertrauliche Anweisungen von ihrer Chefin, der Geschäftsführerin Nicole Stocker, erhalten hatte. Obwohl diese nur wenige Bürotüren weiter saß, sah die Angestellte von einer Nachfrage ab und überwies das Geld. Natürlich war alles gefälscht, inklusive der Unterschrift von Frau Stocker.
Ähnliche Dimensionen hatte ein BEC-Scam, den im vergangenen Jahr das britische National Cyber Security Centre bekannt machte. Cyberkriminelle hatten sich in die Verhandlungen für einen Spielertransfer zwischen einem englischen Verein und einem Fußball-Club auf dem europäischen Festland eingeklinkt, den Office-365-Account des Geschäftsführers auf britischer Seite übernommen und Transferzahlungen von einer Million Pfund in letzter Minute auf ein anderes Konto umgelenkt. Anders als im Hofpfister-Fall stellte sich jedoch die ausführende Bank quer und verhinderte den Deal. Weniger Glück hatte dagegen die Bezirksverwaltung im US-amerikanischen Cabarrus. Sie überwies 2,5 Millionen US-Dollar für ein Bauprojekt auf das „neue“ Konto der Baufirma. Als der Schwindel aufflog, konnte die Bank immerhin noch knapp 800.000 US-Dollar sicherstellen.
Maßgeschneidert und schwer zu entdecken
Anders als bei Phishing-Kampagnen nach der „Schrotschuss-Methode“ gehen BEC-Attacken oft monatelange gezielte Recherchen voraus. Die Angreifer informieren sich ausführlich über die geschäftliche Lage, Geschäftspartner und Standorte eines Unternehmens. Um Vorlieben und Schwächen herauszufinden, analysieren sie die Social-Media-Accounts von Geschäftsführern und Mitarbeitern in der Buchhaltung.
Mit Spear-Phishing und Social Engineering versuchen sie dann, an die Passwörter von E-Mail-Konten zu gelangen. Dabei adressieren sie entweder direkt Mitarbeiter in der Zielfirma oder nutzen Partner, Dienstleister und Kunden als Schlüssel. Die daraufhin über scheinbar legitime Accounts versandten Nachrichten sind von Inhalt und Stil kaum von echten E-Mails des Absenders zu unterscheiden.
Für Künstliche Intelligenz stellt die Erkennung solcher Betrugsversuche eine große Herausforderung dar. Es gilt, natürliche Sprache in ihrer ganzen Komplexität und Vielschichtigkeit zu verstehen und zu analysieren. Dabei sind folgende Elemente zu berücksichtigen:
– Syntax: Was sagen Struktur und Zeichensetzung eines Satzes über die Absicht des Sprechers beziehungsweise Verfassers aus?
– Semantik: Was bedeuten die verwendeten Wörter im jeweiligen Kontext und in welcher Beziehung stehen sie zueinander?
– Sentiment: Welche emotionale Färbung hat der Text? Ist er neutral, wütend, ironisch, sarkastisch oder drohend?
CATBERT – ein Versuch, BEC zu erkennen
Das AI Team von Sophos wollte herausfinden, ob sich BEC-Nachrichten mithilfe von KI zuverlässig erkennen lassen, selbst wenn sie maßgeschneidert sind und sich in Stil und Tonfall an typischen E-Mails des echten Absenders orientieren. Dazu bildete ein vortrainiertes Machine-Learning-Modul namens BERT (Bidirectional Encoder Representations from Transformers) die Basis, das von Google entwickelt wurde. BERT erzielt bei der Sprachanalyse beeindruckende Ergebnisse. Es kann beispielsweise dem Handlungsverlauf einer Geschichte folgen und Emotionen erkennen. Für den Einsatz in der Cybersecurity eignet sich das Modul allerdings nur bedingt, da es komplex und ressourcenhungrig ist. Eine Klassifizierung von E-Mails mit BERT würde daher viel zu lange dauern, um Ergebnisse in akzeptabler Geschwindigkeit zu liefern. Ein Machine-Learning-Tool für die E-Mail-Analyse sollte darüber hinaus nicht nur Sprache an sich, sondern auch typische E-Mail-Kontextinformationen und -Metadaten wie Absender, Betreff und Header erkennen und auswerten können.
Die Forscher entwickelten daher eine eigene, leichtgewichtige Variante von BERT, welche die Bedeutung typischer E-Mail-Komponenten berücksichtigen konnte, und nannten sie „CATBERT“ (Context-Aware Tiny BERT). CATBERT und eine weitere, ebenfalls leichtgewichtige Variante von BERT names DistilBERT wurden daraufhin an über vier Millionen E-Mails und Metadaten trainiert, die von Sophos als BEC erkannt und abgefangen worden waren. 70 Prozent der Daten dienten zum Training, 30 Prozent wurden für die Validierung eingesetzt.
Die Tests zeigten, dass CATBERT BEC-Nachrichten mit einer Genauigkeit von 90 Prozent erkennen kann, wobei die Falsch-Positiv-Rate nur 0,1 Prozent beträgt. Das Modell ist dabei nicht nur 30 Prozent kleiner als DistilBERT, sondern auch doppelt so schnell. Ein Paper über CATBERT befindet sich im Preprint und kann auf arXiv.org heruntergeladen werden.
Fazit
Die Leistung von KI bei der Abwehr von Business E-Mail Compromise ist beeindruckend. Wie das Sophos AI Team zeigen konnte, lassen sich selbst gezielte Angriffe mit individuell an den Adressaten angepassten Nachrichten anhand subtiler sprachlicher Merkmale mit hoher Genauigkeit identifizieren. Unternehmen tun daher gut daran, sich diese Expertise zunutze zu machen, und mit Herstellern wie Sophos zusammenzuarbeiten.
Keine KI kann vor strukturellen Fehlern im Unternehmen schützen. Noch ist es möglich, mit KI fehlende Qualifikation der Mitarbeiter zu ersetzen.
Es ist zwar schön, wenn eine KI entsprechende eMails erkennen kann. Das täuscht aber nicht über das generelle Problem hinweg. Wenn ein Unternehmen nicht über entsprechende Freigabeprozesse verfügt, die das hektische Überweisen großer Summen durch einzelne Personen unterbinden, wird auch eine KI nicht helfen. Der gut vorbereitete Angreifer wird lernen, die KI zu blenden.