Stephan Dykgers, AVP DACH Imperva, erklärt, wie Social-Engineering-Angriffe durch KI noch gefährlicher werden.

Stephan Dykgers, AVP DACH Imperva, explains how AI is making social engineering attacks more dangerous.

Freitagnachmittag, 15 Uhr – der Feierabend naht. In Gedanken ist man schon im Wochenende. Plötzlich noch ein Anruf. Am anderen Ende die vertraute Stimme des Chefs, der mitteilt, dass noch ein Betrag an einen neuen Dienstleister überwiesen werden muss, um ihn zu bezahlen. Gesagt, getan. Doch am Montag stellt man fest, dass man einem Betrüger aufgesessen ist. Das Geld ist weg.

 

Social Engineering – Irren ist menschlich

 

Der oben beschriebene Fall ist ein klassisches Beispiel für Social Engineering. Das Opfer wird psychologisch manipuliert, um z.B. Mitarbeitende eines Unternehmens dazu zu bringen, Sicherheitsfehler zu begehen oder sensible Informationen preiszugeben.

 

Social-Engineering-Angriffe laufen in einem oder mehreren Schritten ab. Ein Täter durchleuchtet sein zukünftiges Opfer, um notwendige Hintergrundinformationen zu sammeln. Beispiele hierfür sind mögliche Einfallstore und schwache Sicherheitsprotokolle, die für einen Angriff notwendig sind. Anschließend versucht der Betrüger, das Vertrauen des Opfers zu gewinnen und Anreize zu schaffen, damit z.B. vertrauliche Informationen preisgegeben oder wichtige Informationen zugänglich gemacht werden.

 

Social Engineering ist deshalb so gefährlich, weil es auf menschlichem Versagen beruht und nicht auf Schwachstellen in Software und Betriebssystemen. Menschliches Fehlverhalten ist viel schwieriger zu erkennen und zu bekämpfen als Malware.

 

Wie KI Social Engineering noch gefährlicher macht

 

Social Engineering wird in Zukunft aber noch gefährlicher. Das BSI geht in seinem aktuellen Bericht davon aus, dass es eine neue Stufe erreichen wird. Zwar können Sprachmodelle schon heute mühelos Antworten auf menschliche Reaktionen generieren, aber das ist erst der Anfang. Mit generativer KI wird es möglich sein, Informationen (z.B. aus Social Media) so zu nutzen und zu manipulieren, dass die KI die menschliche Stimme oder sogar das Aussehen des Chefs imitieren kann. Solche Formen haben eine höhere Glaubwürdigkeit als Sprachmodelle. Dies könnte letztlich dazu führen, dass Social Engineering quasi automatisiert wird. Erfolgreiche Angriffe werden von der KI erkannt und ohne menschliches Zutun verbreitet. Die Häufigkeit von Social Engineering würde zunehmen.

 

In der Folge wird der Faktor „Mensch“ bei Cyber-Angriffen immer wichtiger. Die Mitarbeiterinnen und Mitarbeiter müssen daher über die Angriffsarten und das Vorgehen der böswilligen Akteure Bescheid wissen. Nur so können sie sich erfolgreich gegen Manipulationen von außen wehren.

Die fünf häufigsten Angriffstechniken des Social Engineering

 

Social-Engineering-Angriffstechniken können überall dort eingesetzt werden, wo menschliche Interaktion im Spiel ist. KI wird diesen Techniken noch mehr Glaubwürdigkeit verleihen. Im Folgenden werden die fünf häufigsten Formen digitaler Social Engineering-Angriffe beschrieben, die auch in Zukunft eine wichtige Rolle spielen werden:

 

  1. Ködern: Hier schalten Betrüger z.B. verlockende Anzeigen, die auf bösartige Webseiten führen oder den Nutzer auffordern, mit Malware infizierte Anwendungen herunterzuladen. Der Köder kann aber auch z.B. ein infizierter USB-Stick sein.
  2. Scareware: Dem Opfer wird vorgegaukelt, dass sein System mit Malware infiziert ist. Dies verleitet dazu, Software zu installieren, die selbst Malware ist. Scareware wird auch als Täuschungssoftware, Rogue Scanner Software oder Fraudware bezeichnet. Betrüger verbreiten sie häufig über Spam-Mails und Pop-ups.
  3. Vortäuschung falscher Tatsachen: In diese Kategorie fällt das obige Beispiel mit der Geldüberweisung. Der Betrüger gibt sich als Autoritätsperson (z.B. Chef, Polizist, Steuerbeamter etc.) aus, um Vertrauen zu seinem Opfer aufzubauen. Auf diese Weise gelangt er an vertrauliche Informationen wie Sozialversicherungsnummern oder Bankdaten.

4) Phishing: Beim Phishing versuchen Betrüger, bei ihren Opfern ein Gefühl der Dringlichkeit, Neugier oder Angst zu erzeugen. Sie schicken ihnen beispielsweise E-Mails, in denen sie auf einen Verstoß gegen die Richtlinien eines Online-Dienstes hinweisen. Die E-Mails enthalten jedoch einen Link zu einer Website, die mit Schadsoftware infiziert ist.

 

Wie können sich Unternehmen und Mitarbeitende schützen?

 

Um nicht in die Falle zu tappen, sollten Mitarbeiterinnen und Mitarbeiter einige einfache Verhaltensregeln beachten. Eine wichtige Regel ist, E-Mails immer mit Vorsicht zu behandeln, vor allem wenn sie Ängste schüren und ihre Herkunft unklar ist. Das Öffnen von Anhängen solcher E-Mails ist tabu. Die Nachricht sollte zuerst anhand verschiedener Quellen überprüft werden. Zudem sollte die Antivirensoftware immer auf dem neuesten Stand gehalten werden.

 

Unternehmen sollten zudem eine Multi-Faktor-Authentifizierung einsetzen. Auf diese Weise sind die Accounts auch dann noch geschützt, wenn das System kompromittiert wurde. Die wohl wichtigste Methode zum Schutz vor Social Engineering ist jedoch die kontinuierliche und ausreichende Schulung der Mitarbeiterinnen und Mitarbeiter. So können sie auch für technische Neuerungen wie KI sensibilisiert werden, damit sie Betrugsversuche erkennen und wissen, was zu tun ist. Nur so hat der falsche Chef keine Chance.

Friday afternoon, 3pm – the end of the workday is approaching. You’re already thinking about the weekend. Suddenly, another call comes in. On the other end is the familiar voice of your boss, telling you that you need to transfer some money to a new service provider to pay them. Said and done. But on Monday, you realize you’ve been duped by a scammer. The money is gone.

 

Social engineering – to err is human

The case above is a classic example of social engineering. The victim is psychologically manipulated, for example, to persuade employees of an organization to commit security errors or disclose sensitive information.

Social engineering attacks consist of one or more steps. The perpetrator screens the prospective victim to gather the necessary background information. Examples include possible entry points and weak security protocols needed to launch an attack. The scammer then attempts to gain the victim’s trust and create incentives, such as disclosing confidential information or providing access to critical information.

Social engineering is dangerous because it relies on human error rather than vulnerabilities in software and operating systems. Human error is much harder to detect and address than malware.

 

How AI will make social engineering even more dangerous

However, social engineering is set to become even more dangerous in the future. In its latest report, the BSI predicts that it will reach a new level. Although language models can already effortlessly generate responses to human reactions, this is only the beginning. With generative AI, it will be possible to use and manipulate information (e.g. from social media) so that the AI can imitate the human voice or even the appearance of the boss. Such forms are more believable than voice models. This could ultimately lead to social engineering becoming quasi-automated. Successful attacks will be detected by the AI and spread without human intervention. The frequency of social engineering would increase.

As a result, the human factor in cyber attacks will become increasingly important. Employees need to be aware of the types of attacks and how malicious actors operate. Only then can they successfully defend themselves against external manipulation.

The top five social engineering attack techniques

Social engineering attack techniques can be used anywhere there is human interaction. AI will make these techniques even more believable. Here are the five most common forms of digital social engineering attacks that will continue to play an important role in the future:

  1. baiting: This is where fraudsters place enticing ads that lead to malicious websites or ask the user to download applications infected with malware. The bait can also be an infected USB stick.
  2. scareware: The victim is made to believe that their system is infected with malware. This tricks them into installing software that is itself malware. Scareware is also known as deceptive software, rogue scanner software, or fraudware. Scammers often distribute it through spam and pop-ups.
  3. false pretenses: The wire transfer example above falls into this category. The scammer pretends to be an authority figure (e.g., boss, police officer, IRS agent, etc.) in order to gain the victim’s trust. This allows them to obtain confidential information such as social security numbers or bank account information.
  4. Phishing: In phishing, fraudsters try to create a sense of urgency, curiosity or fear in their victims. For example, they may send you an email claiming that you have violated the policies of an online service. However, the email contains a link to a malware-infected website.

 

How can companies and employees protect themselves?

 

To avoid falling into the trap, employees should follow a few simple rules of conduct. One important rule is to always treat emails with caution, especially if they are frightening and their origin is unclear. Opening attachments to such emails is taboo. The message should first be checked against various sources. In addition, anti-virus software should always be kept up to date.

Companies should also use multi-factor authentication. That way, accounts are still protected even if the system has been compromised. Perhaps the most important method of protecting against social engineering, however, is to provide ongoing and sufficient training to employees. This includes making them aware of technological innovations such as AI so that they can recognize fraud attempts and know what to do. That’s the only way to make sure the fake boss doesn’t stand a chance.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner