Anzeige

Phishing

Obwohl sich Vectra AZ darauf konzentriert, KI zur Cyberabwehr einzusetzen, beobachtet das Unternehmen auch , wie KI-Fortschritte von Cyberangreifern genutzt werden könnten.

„Ein Bereich, in dem in letzter Zeit einige überraschende Fortschritte erzielt wurden, ist die Generierung natürlicher Sprache. Insbesondere hat OpenAI einen Generator für natürliche Sprache geschaffen, der in der Lage ist, kohärente Antworten in Absatzlänge auf eine beliebige Eingabeaufforderung zu erzeugen“, berichtet Christopher Thissen  von Vectra AI. 

Spear-Fishing-Kampagnen

Spear-Fishing-Kampagnen sind ein weiterer naheliegender Anwendungsfall. Durch die Erstellung relevanter und realistisch aussehender Mitteilungen veranlassen Angriffe mit Spear Fishing die Opfer dazu, auf gefährliche Links zu klicken oder Zugangsdaten auf betrügerischen Domains einzugeben. Hochentwickelte Spear-Fishing-Kampagnen nutzen Hintergrundrecherchen über das Ziel (Interessen, Zugehörigkeiten usw.), um Anschreiben zu konstruieren, die ein Mensch nicht als betrügerisch identifiziert (oder nicht identifizieren kann).

Die Ergebnis sind zwar selten perfekt, und Modelle müssen oft ein Dutzend Mal laufen, um überzeugende Ergebnisse zu erzielen. Dennoch: Die Erstellung eines glaubwürdigen Textes erfordert fast keinen Aufwand.

Es ist nicht schwer, sich Angreifer vorzustellen, die eine Pipeline aufbauen, die automatisch Schlüsselwörter aus einem Social-Media-Profil extrahiert, einen vernünftigen Text generiert, der einen Benutzer dazu auffordert, auf einen gefährlichen Link zu klicken, und den Text zu einem Zeitpunkt und an einem Ort veröffentlicht, an dem das Ziel am ehesten auf ihn reagieren wird. Tatsächlich haben Forscher von ZeroFox solch eine Pipeline für Twitter bei BlackHat demonstriert.

Die Forscher bauten eine KI auf, die Profile aus dem Twitter-Firehose auswählt und Themen aus der Profilgeschichte verwendet, um darauf einen LSTM-Textgenerator anzusetzen. Der LSTM erzeugt einen Tweet mit einem gefährlichen Link, der an den Benutzer gesendet wird, wenn er am wahrscheinlichsten antworten wird. Die Autoren berichten von Erfolgsquoten von 30 bis 60 Prozent – vergleichbar mit handgefertigten Kampagnen – und dennoch erfordern sie nach der Einrichtung fast keinen Aufwand.

Twitter als Testplattform

Die Forscher wählten Twitter, weil die Kurznachrichten die Benutzer darauf konditioniert haben, eine unkorrekte Grammatik zu erwarten. Dies ist einer der wichtigsten Anhaltspunkte, die Menschen nutzen, um betrügerische Nachrichten wie etwa Spam-E-Mails zu erkennen. Mit den Spracherzeugungsmodellen verschwindet dieser Hinweis, was es viel schwieriger macht, betrügerische E-Mails, Nachrichtenartikel und Social-Media-Posts zu unterscheiden.

„Wenn Menschen nicht zwischen dem Modell von OpenAI und von Menschen generiertem Text unterscheiden können, benötigen wir möglicherweise KI, die uns hilft, betrügerische Nachrichten zu identifizieren. Wie Boxer könnten solche Modelle kontradiktorisch trainiert werden, wobei die textgenerierende KI versucht, eine zweite KI zu überlisten, die darauf trainiert ist, gefälschten Text zu erkennen“, erklärt Christopher Thissen. „Dieses Trainingsprogramm kann dazu verwendet werden, die Fähigkeit der zweiten KI, gefälschten Text zu erkennen, zu verbessern. Solche generativen kontradiktorischen Netzwerke wurden bereits verwendet, um realistische Bilder von gut ausgebildeten Diskriminatoren zu erzeugen. Hier würde der kontradiktorische Ansatz in umgekehrter Richtung verwendet, um eine KI zu trainieren, den gefälschten Text besser zu erkennen.“

www.vectra.ai


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

KI
Aug 03, 2020

Wie KI die Bereiche Rechnungswesen und Controlling revolutioniert

Laut einer jüngst durchgeführten Studie der Bielefelder Diamant Software sehen sich…
Hacked
Jul 31, 2020

Cyberangriffe auf Unternehmen und Behörden in Österreich

Die Sicherheitsexperten des Cybersecurity-Unternehmens Proofpoint konnten im April dieses…
Phishing
Jul 30, 2020

Cosmic Lynx – Vorsicht vor raffinierter Phishing-Kampagne

Phishing-Kampagnen und sogenannte Business-E-Mail-Compromise (BEC)-Angriffe werden…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!