Textgenerator WormGPT soll kaum erkennbare Phishing-Mails erstellen
Mittels einer auf Betrugsversuche trainierten KI könnten Kriminelle bald eine neue Welle von Phishing lostreten. Das Textbeispiel dafür ist jedoch dürftig.
- Nico Ernst
Wenn Kriminelle mittels betrĂĽgerischer E-Mails ihre Zielpersonen zu ungerechtfertigten Zahlungen bringen wollen, haben sie bisher ein Problem: Die Texte der typischen Phishing-Mail sind schlecht und (auĂźer bei ausgefeilten Attacken, dem Spear Phishing) nicht oder nur schlecht auf das Ziel angepasst. Aufmerksame Nutzer konnten sie oft leicht erkennen.
Mit WormGPT könnte sich das ändern. Dem nach eigenen Angaben geläuterten Ex-Black-Hat-Hacker Daniel Kelley ist es einem Blogpost bei Slashnext zufolge gelungen, mit dem Textgenerator sprachlich perfekte und überzeugende Phishing-Mails zu erstellen. Das Tool basiert auf dem Sprachmodell GPT-J, das vor zwei Jahren erstellt wurde, um eine offene Alternative zu dem damals aktuellen GPT-3 von OpenAI zu entwickeln.
KI ohne Gewissen
Kelley zufolge wird WormGPT derzeit in Foren von Cyberkriminellen stark diskutiert und ausdrücklich für Betrugsversuche empfohlen. Die Autoren sollen das Modell mit "Malware-bezogenen Daten" trainiert haben, es weise keinerlei "ethische Beschränkungen" auf. Sofern dies zutrifft, liegt hier der wesentliche Unterschied zu anderen Modellen wie ChatGPT: Deren Entwickler haben solche Einschränkungen eingebaut, die sich aber oft durch sogenannte "Jailbreaks" umgehen lassen. Hier sind damit bestimmte Prompts gemeint, mit denen die KI dazu gebracht werden kann, Texte zu erstellen, die sie eigentlich nicht ausgeben sollte.
Mit nur einem einzigen Screenshot von einer mit WormGPT erstellten Phishing-Mail demonstriert Daniel Kelley die Ausgaben des Tools. Darin fordert vorgeblich der CEO eines Unternehmens einen Untergebenen auf, eine angehängte Rechnung in 24 Stunden zu bezahlen. Sprachlich ist dieser Text tatsächlich gut, auch der Ton passt zum Thema. Es fehlen jedoch jegliche Details über das Unternehmen, die Beziehung der Personen zueinander, den Grund für die Dringlichkeit und das vorgebliche Projekt. Es ist nicht auszuschließen, dass Mitarbeiter darauf hereinfallen, aber über bisherige von Hand erstellte Betrugsversuche geht das nicht hinaus.
Kelley weist jedoch zurecht darauf hin, dass die Einstiegsschwelle durch solche Tools weiter gesenkt wird. Mit WormGPT könnten sich noch mehr Phishing-Mails in kurzer Zeit erstellen lassen, und eventuell auch in Sprachen, welche die Kriminellen nicht verstehen. Offenbar beherrscht auch WormGPT nämlich wie seine Vorlage GPT-J nur Englisch. Kelley zitiert aus den Foren der Kriminellen, dass die Ausgaben des Tools von anderen Diensten übersetzt werden sollen.
(nie)