Die künstliche Intelligenz (KI) ChatGPT des Forschungslabors OpenAI ist aktuell in aller Munde. Der Chatbot generiert Texte, kann Softwarecodes schreiben oder eine Marketingstrategie entwerfen. Im Darknet tauschen sich Hacker darüber aus, wie sie diese künstliche Intelligenz zu ihren Zwecken nutzen können. Ein offensichtlicher Ansatzpunkt: Phishing.
Die Sensibilisierung der Mitarbeitenden für Phishing-Angriffe ist bis heute eine grosse Herausforderung. Die Angreifer lassen sich immer neue Maschen einfallen und wir User müssen uns immer mehr technische Details merken, um die gefährlichen E-Mails in unserem Posteingang zu entlarven, bevor wir in die Falle tappen.
Viele User haben gelernt, dass sie Phishing-E-Mails oft wegen deren dilettantisch verfassten Texten entlarven können. Doch aufgepasst: Gut gemachte, personalisierte Phishing-E-Mails bilden wahrscheinlich bald nicht mehr die Ausnahme, sondern die Regel. Gezielte Angriffe können dank Automatisierung der KI kinderleicht in beliebigen Sprachen in hoher Qualität erstellt werden. Auch Informationen zum Arbeitgeber und/oder zur Person können automatisch in die Texte einfliessen. Selbst den Schadcode oder die Phishing-Webseite müssen die Hacker nicht mehr selbst programmieren, denn auch da hilft die KI – samt abgreifen der eingegebenen Passwörter der potenziellen Opfer.
Mitarbeitende brauchen Unterstützung
Jetzt rollt also eine KI-generierte und personalisierte Welle von Phishing-Attacken auf uns zu. E-Learnings werden langsam, aber sicher kapitulieren. Phishing-Simulationen können die gut gemachten KI-Angriffe zwar nachstellen und die Mitarbeitenden auf diese Angriffe vorbereiten, aber das allein wird nicht reichen.
Der Phishing Service von advact verfolgt das Ziel, die Mitarbeitenden zu unterstützen, wenn sie bei einer E-Mail ein mulmiges Gefühl haben. Die verdächtige E-Mail kann auf Knopfdruck gemeldet werden. Nach spätestens zwei Stunden ist die E-Mail durch Spezialisten der advact analysiert und der/die Mitarbeitende erfährt, ob der Verdacht gerechtfertigt ist, oder ob es sich doch um eine legitime und harmlose E-Mail handelt.
