Kommentar: KI-basierte Whaling-Attacken bedrohen hochrangige Personen
Eine bedrohliche Entwicklung bahnt sich im Cyberspace an: KI-gestützte Harpoon-Whaling-Attacken rücken CEOs, hochrangige Beamte und Militärangehörige ins Visier der Cyberkriminellen. Die Kunst des "Whaling" zielt darauf ab, „große Fische“ zu fangen. Hierbei geht es um das Abgreifen von Informationen und enormen Geldsummen. Insbesondere das Harpoon Whaling, eine ausgeklügelte Unterform, nutzt KI-Prozesse, um automatisiert umfangreiche Informationen über Opfer zu sammeln und so maximale Effizienz zu erreichen.
„Lieber Georg,
Ein begeistertes Dankeschön für das unwiderstehliche Jobangebot und die zugesendeten Unterlagen – ich kann es kaum erwarten, Teil Ihres visionären Teams zu werden. Ihre Worte haben mich sehr berührt und ich freue mich darauf, gemeinsam Großartiges zu erreichen.
Mit einem strahlenden Lächeln, Susanne“
Hätten Sie sofort erkannt, dass dieser Text vollständig von KI generiert wurde? Harpoon Whaling steht für raffinierten KI-gestützten Social-Engineering-Betrug. Kriminelle nutzen dringliche, personalisierte E-Mails, um hochrangige Opfer zu täuschen. Diese Mails enthalten nicht nur arbeitsrelevante Daten, sondern imitieren zunehmend die subtilen Taktiken von Romance Scammern. Die Kriminellen nutzen romantische Signalmarker, um Zielpersonen zu manipulieren, und schrecken nicht einmal vor der Möglichkeit zurück, dass das Opfer sich in ein KI-generiertes Profil verliebt.
Angriffe im Zeitalter der KI
KI-gestützte Tools steigern die Effizienz solcher Angriffe beträchtlich. Kriminelle können täuschend echte, personalisierte Nachrichten in kurzer Zeit erstellen. Die Anwendung dieser Methode auf Hunderte von Führungskräften gleichzeitig stellt kein Hindernis dar. Doch um die Effizienz des Harpoon Whaling zu verstehen, muss man es mit anderen Phishing-Varianten vergleichen.
Während herkömmliche Phishing-Angriffe Massen-E-Mails an ein breites Publikum senden, richtet sich Harpoon Whaling gezielt an eine einzelne hochrangige Person, um bedeutende Geldsummen oder wichtige Informationen zu ergattern. Dies erfordert umfangreiche Recherche und manuelles Eingreifen. Im Gegensatz dazu automatisiert Harpoon Whaling den Prozess der Informationsbeschaffung und Texterstellung mithilfe von KI-Tools wie ChatGPT. Dies ermöglicht, personalisierte Nachrichten mit der Skalierbarkeit von Phishing-Angriffen zu kombinieren. ChatGPT besitzt zudem die Fähigkeit, auf adaptive Weise eine Kette von Nachrichten zu koordinieren, die in ihrer emotionalen Intensität zunimmt und dabei mit den Inhalten von früheren Messages kongruent bleiben. So lassen sich stringente und gleichzeitig (romantisch) eskalierende Konversationen über mehrere Kontaktaufnahmen hinweg simulieren.
Verteidigung gegen Harpoon Whaling
Die Abwehr dieser Angriffsform erfordert einen kombinierten Ansatz. Sicherheitsdienstleister wie Trend Micro nutzen proaktives Risikomanagement und Zero Trust, um gefährdetes Verhalten zu erkennen und Schutzmaßnahmen zu ergreifen. Mithilfe neuer Technologien können Gesprächsmuster analysiert werden, um gezielt Schutzmaßnahmen und Schulungen für gefährdete Führungskräfte zu entwickeln. Damit wird die Bedrohung von KI-gestützten Harpoon-Whaling-Attacken eingedämmt.
Richard Werner, Business Consultant bei Trend Micro
