KI-gestützte Whaling-Attacken – AI assisted whaling attacks

Beim „Whaling“ geht es also um den großen Fang. Die Ziele der Cyberkriminellen sind Manager erfolgreicher Unternehmen, hochrangige Beamte und Militärs. Es geht darum, Informationen zu stehlen oder große Geldsummen abzuschöpfen. Besonders perfide ist das Harpoon Whaling – eine Unterart des Whaling -, bei dem die Angreifer automatisiert umfangreiche Informationen über ihre Opfer sammeln und diese mit Hilfe verschachtelter KI-Prozesse ordnen, um maximale Effizienz zu erzielen.

„Lieber Georg,

ein herzliches Dankeschön für das unwiderstehliche Jobangebot und die zugesandten Unterlagen – ich kann es kaum erwarten, Teil Ihres visionären Teams zu werden. Ihre Worte haben mich sehr berührt und ich freue mich darauf, gemeinsam Großes zu erreichen.

Mit einem strahlenden Lächeln, Susanne“.

Hätten Sie sofort gemerkt, dass dieser Text vollständig von KI generiert wurde? Harpoon Whaling bezeichnet eine gezielte und äußerst raffinierte Form von KI-gestütztem Social Engineering Betrug. Die Betrüger verwenden in der Regel dringlich formulierte E-Mails, die mit personalisierten Informationen über das hochrangige Opfer angereichert sind. Dabei geht es nicht nur um arbeitsrelevante Daten, sondern die Täter orientieren sich zunehmend an den Taktiken der Romance Scammer. So nutzen sie subtile (romantische) Signalmarker wie Geschlechtspräferenz, welche Stimmtypen das Opfer als attraktiv empfindet usw., um die Zielperson zu manipulieren. Gelingt dies, kann sich der „Wal“ sogar in ein KI-generiertes Profil verlieben.

Mit KI-gestützten Tools für Informationssammlung, Texterstellung und Datenmanagement steigert sich die Effizienz solcher Angriffe. Die Betrüger sind in der Lage, täuschend echt wirkende personalisierte Texte in kurzer Zeit und mit nur geringem Aufwand zu verfassen. Whaling-Angriffe auf Hunderte von Führungskräften gleichzeitig durchzuführen, stellt mit dieser raffinierten Methode kein Problem dar. Doch um zu verstehen, warum Harpoon Whaling so effizient ist, muss man zuerst die Methodik mit anderen Phishing-Varianten vergleichen.

Tief eintauchen – was unterscheidet Harpoon Whaling vom Phishing

Bei herkömmlichen Phishing-Angriffen senden böswillige Akteure Phishing-E-Mails an so viele Personen wie möglich. Obwohl diese Art von Angriff leicht skalierbar ist, sind Profit und Erfolgswahrscheinlichkeit im Vergleich zu elaborierteren Angriffsarten gering. Beim Whaling hingegen wird eine sehr glaubwürdig formulierte E-Mail gezielt an eine hochrangige Person gesendet, um große Geldbeträge oder wichtige Informationen zu stehlen. Die Betrüger stellen zu diesem Zweck vor einem Angriff detaillierte, zielgerichtete und später auch personenspezifische Nachforschungen über die Opfer an. Angreifer, die sich für Finanzangelegenheiten interessieren, recherchieren nach Zielen in der Finanzbranche und diejenigen, die es auf Regierungsangelegenheiten abgesehen haben, wählen oftmals hochrangige Beamte aus. Diese Art von Betrug erfordert aber viel manuelle Arbeit, menschliches Urteilsvermögen und händisches Eingreifen.

Beim Harpoon Whaling ist hingegen der Prozess der Informationsbeschaffung sowie der Texterstellung stark automatisiert, etwa durch KI-gestützte Tools. Das steigert die Effizienz und Bedrohlichkeit solcher Angriffe enorm. KI-Werkzeuge wie ChatGPT erlauben es, personalisierte Nachrichten von Whaling-Attacken mit der Skalierbarkeit von Pishing-Angriffen zu kombinieren. Dadurch ist zu erwarten, dass diese Methode deutlich häufiger eingesetzt wird als bisher. Auch erweitert sich der Täterkreis, da durch die Technologie mehr Menschen in die Lage versetzt werden derartige Angriffe durchzuführen.

Lässt sich KI-gestütztes Harpooning effizient abwehren?

KI-Tools wie ChatGPT ermöglichen es, den Whaling-Prozess auf mehreren ineinander verschachtelten Automatisierungsebenen durchzuführen. So erstellen die Kriminellen etwa besonders manipulativ wirkende „Signalwörter“, die zu gewissen Personengruppen zugeordnet werden. Zudem ist ein solches System in der Lage, festgestellte Ähnlichkeiten ins Visier zu nehmen, gefährdende Verhaltensweisen nach erwarteten Einnahmen zu identifizieren und zu priorisieren und Whaling-Nachrichten laufend anzupassen. ChatGPT besitzt die Fähigkeit, auf adaptive Weise eine Kette von Nachrichten zu koordinieren, die in ihrer emotionalen Intensität zunimmt und dabei mit den Inhalten von früheren Messages kongruent bleiben. So lassen sich stringente und gleichzeitig (romantisch) eskalierende Konversationen über mehrere Kontaktaufnahmen hinweg simulieren.

Im Rahmen von Harpoon Whaling wird zudem häufig ein vorab trainiertes, generatives KI-Sprachmodell verwendet. Dieses ermöglicht es, gezielte Angriffe auf verschiedene kuratierte Verteilerlisten gleichzeitig durchzuführen. Solche Listen setzen sich aus vielen Führungskräften oder hochrangigen Beamten zusammen, zum Beispiel „alle Führungskräfte von Banken“, „alle hochrangigen Polizeibeamten“ oder „alle Politiker des Landes X“.

Da diese Angriffsvarianten neu sind, werden die meisten traditionellen Abwehrmethoden nicht funktionieren. Als Gruppe, die besonders im Visier der Attacken steht, ist es für Führungskräfte ratsam, sich mit mehreren kombinierten Ansätzen zu verteidigen.

Sicherheitsdienstleister wie Trend Micro sind in der Lage, bei diesem Abwehrkampf zu unterstützen. Sie setzen Sicherheitsansätze wie eine proaktives und umfassendes Risikomanagement sowie Zero Trust gezielt und effektiv ein. Besonders risikoreiche Verhaltensweisen können zugeordnet werden und es lässt sich vorhersagen, welche Führungskräfte am anfälligsten für diese Art von Angriffen sind. Mit neuer Technologie ist es somit möglich, die Gesprächsmuster der am stärksten gefährdeten Personen gezielt zu ermitteln und zu analysieren, um Rückschlüsse darauf zu ziehen, wo Schutzmaßnahmen und Schulungen für Führungskräfte am nötigsten sind. So haben Walfänger keine Chance.

Whaling is about the big catch. Cyber criminals target managers of successful companies, high-ranking officials and military personnel. It’s about stealing information or siphoning off large sums of money. Harpoon whaling – a subspecies of whaling – is particularly perfidious, in which the attackers automatically collect extensive information about their victims and organize it with the help of nested AI processes in order to achieve maximum efficiency.

„Dear George,

a heartfelt thank you for the irresistible job offer and the documents sent – I can’t wait to become part of your visionary team. Your words touched me deeply and I look forward to achieving great things together.

With a beaming smile, Susanne”.

Would you have noticed right away that this text was generated entirely by AI? Harpoon whaling describes a targeted and extremely sophisticated form of AI-supported social engineering fraud. The scammers typically use urgently worded emails enriched with personalized information about the high-level victim. It’s not just about work-related data, but the perpetrators are increasingly following the tactics of romance scammers. So they use subtle (romantic) signal markers like gender preference, which voice types the victim finds attractive, etc. to manipulate the target. If this succeeds, the „whale“ can even fall in love with an AI-generated profile.

With AI-supported tools for information gathering, text creation and data management, the efficiency of such attacks increases. The fraudsters are able to write deceptively real-looking personalized texts in a short time and with little effort. Whaling attacks on hundreds of executives at the same time is not a problem with this sophisticated method. But to understand why Harpoon Whaling is so efficient, one must first compare the methodology with other variants of phishing.

Dive deep – what distinguishes harpoon whaling from phishing

In traditional phishing attacks, malicious actors send phishing emails to as many people as possible. Although this type of attack is easily scalable, the profit and probability of success are low compared to more elaborate attack types. Whaling, on the other hand, involves sending a very credibly worded email to a high-ranking person in order to steal large amounts of money or important information. For this purpose, the scammers carry out detailed, targeted and later also person-specific research on the victims before an attack. Attackers interested in financial matters research financial industry targets, and those interested in government affairs often single out high-ranking officials. However, this type of fraud requires a lot of manual work, human judgment, and manual intervention.

In harpoon whaling, on the other hand, the process of obtaining information and creating text is highly automated, for example using AI-supported tools. This increases the efficiency and threat of such attacks enormously. AI tools like ChatGPT allow to combine personalized messages from whaling attacks with the scalability of phishing attacks. It can therefore be expected that this method will be used much more frequently than before. The circle of perpetrators is also expanding, since technology enables more people to carry out such attacks.

Can AI-supported harpooning be efficiently repelled?

AI tools like ChatGPT make it possible to carry out the whaling process on several nested levels of automation. For example, the criminals create particularly manipulative “signal words” that are assigned to certain groups of people. In addition, such a system is able to target identified similarities, identify and prioritize unsafe behaviors according to expected earnings, and continuously adjust whaling messages. ChatGPT has the ability to adaptively coordinate a chain of messages that increases in emotional intensity while remaining congruent with the content of previous messages. In this way, stringent and at the same time (romantically) escalating conversations can be simulated over several contacts.

A pre-trained, generative AI language model is also commonly used in Harpoon Whaling. This makes it possible to carry out targeted attacks on various curated distribution lists at the same time. Such lists are composed of many executives or high-ranking officials, for example “all executives of banks”, “all high-ranking police officers” or “all politicians of country X”.

Since these attack variants are new, most traditional defenses will not work. As a group that is particularly targeted by attacks, it is prudent for leaders to defend themselves using a combination of approaches.

Security service providers like Trend Micro are able to assist in this defensive struggle. You use security approaches such as proactive and comprehensive risk management and zero trust in a targeted and effective manner. High-risk behaviors can be assigned and it can be predicted which executives are most vulnerable to these types of attacks. With new technology, it is now possible to target and analyze the conversational patterns of those most at risk in order to draw conclusions as to where protective measures and training for managers are most needed. So whalers have no chance.