Featured image of post Menschen sind immer noch besser bei der Erstellung von Phishing-E-Mails als AI — für jetzt
Artificial Intelligence CXO Innovation Security

Menschen sind immer noch besser bei der Erstellung von Phishing-E-Mails als AI — für jetzt

KI-generierte Phishing-E-Mails, darunter diejenigen, die von ChatGPT erstellt wurden, präsentieren eine potenzielle neue Bedrohung für Sicherheitsexperten, sagt Hoxhunt.

image

Bild: Gstudio/Adobe Stock Mit all den Buzz rund um ChatGPT und andere künstliche Intelligenz-Apps haben Cyberkriminelle bereits mit AI begonnen, um Phishing-E-Mails zu generieren. Denn jetzt sind menschliche Cyberkriminelle noch mehr bei der Entwicklung erfolgreicher Phishing-Angriffe, aber die Lücke schließt sich, nach Sicherheitstrainer Der neue Bericht von Hoxhunt veröffentlicht Mittwoch.

Phishing-Kampagnen erstellt von ChatGPT vs. humans

Hoxhunt verglichen Phishing-Kampagnen, die von ChatGPT generiert wurden, mit denen, die von Menschen geschaffen wurden, zu bestimmen, welche eine bessere Chance hatten, ein unaussichtliches Opfer zu erobern.

Um dieses Experiment durchzuführen, schickte das Unternehmen 53.127 Benutzer in 100 Ländern Phishing-Simulationen, die entweder von menschlichen Social Engineers oder von ChatGPT entworfen wurden. Die Benutzer erhielten die Phishing-Simulation in ihren Postfächern, da sie jede Art von E-Mail erhalten würden. Der Test wurde eingerichtet, um drei mögliche Antworten auszulösen:

  1. Erfolg: Der Benutzer meldet erfolgreich die Phishing-Simulation als bösartig über den Hoxhunt-Drohungs-Berichtungsknopf.
  2. Miss. Der Benutzer interagiert nicht mit der Phishing-Simulation.
  3. Ausfall: Der Benutzer nimmt den Köder und klickt auf den bösartigen Link in der E-Mail.

Die Ergebnisse der Phishing-Simulation unter der Leitung von Hoxhunt

Am Ende, human-generierte Phishing-Mails gefangen mehr Opfer als die von ChatGPT erstellt. Insbesondere betrug die Rate, in der die Nutzer für die human generierten Nachrichten fielen 4,2%, während die Rate für die AI-generierten betrug 2,9%. Das bedeutet, dass die menschlichen Sozialingenieure ChatGPT um rund 69% überholt haben.

Ein positives Ergebnis aus der Studie ist, dass die Sicherheitsausbildung bei der Verhütung von Phishing-Angriffen wirksam sein kann. Benutzer mit einem größeren Bewusstsein für die Sicherheit waren viel wahrscheinlicher, der Versuchung widerstehen, mit Phishing-E-Mails, ob sie von Menschen oder von AI generiert wurden. Die Prozentsätze der Menschen, die auf einen schädlichen Link in einer Nachricht geklickt haben, fielen von mehr als 14% unter weniger ausgebildeten Benutzern auf zwischen 2% und 4% unter denen mit größerer Ausbildung.

SEE: Sicherheitsbewusstsein und Schulungspolitik (TechRepublic Premium)

Die Ergebnisse variierten auch nach Ländern:

  • U.S.: 5,9% der befragten Benutzer wurden von human generierten E-Mails getäuscht, während 4,5% von AI-generierten Nachrichten getäuscht wurden.
  • Deutschland: 2.3% wurden von Menschen angetäuscht, während 1,9% von KI ausgetrickst wurden.
  • Schweden: 6,1% wurden von Menschen getäuscht, mit 4,1% von AI getäuscht.

Aktuelle Cybersicherheitsabwehre können immer noch AI Phishing-Angriffe abdecken

Obwohl Phishing-E-Mails, die von Menschen erstellt wurden, überzeugender waren als die von AI, dieses Ergebnis ist fließend, vor allem, wie ChatGPT und andere AI-Modelle verbessern. Der Test selbst wurde vor der Veröffentlichung von ChatGPT 4 durchgeführt, die verspricht, savvier als sein Vorgänger zu sein. KI-Tools werden sicherlich entwickeln und stellen eine größere Bedrohung für Organisationen aus Cyberkriminellen, die sie für ihre eigenen schädlichen Zwecke verwenden.

Sicherheitsüberprüfung

  • Top Cybersicherheit Bedrohungen für 2023

  • Beste IT Asset Management Software

  • Treffen Sie das umfassendste tragbare Cybersicherheitsgerät

  • Wie Sie Ihre E-Mail über Verschlüsselung, Passwortmanagement und mehr sichern (TechRepublic Premium)

    Auf der Plusseite erfordert der Schutz Ihrer Organisation vor Phishing-E-Mails und anderen Bedrohungen die gleichen Verteidigung und Koordination, ob die Angriffe von Menschen oder von KI erstellt werden.

“ChatGPT ermöglicht Kriminellen, perfekt formulierte Phishing-Kampagnen im Maßstab zu starten, und während das entfernt einen Schlüsselindikator für einen Phishing-Angriff - schlechte Grammatik - andere Indikatoren sind leicht zu beobachten, um das geschulte Auge”, sagte Hoxhunt CEO und Mitbegründer Mika Aalto. „In Ihrer ganzheitlichen Cybersicherheitsstrategie sollten Sie sich sicher auf Ihre Menschen und ihr E-Mail-Verhalten konzentrieren, denn das tun unsere Gegner mit ihren neuen AI-Tools.

„Embed Security als gemeinsame Verantwortung in der gesamten Organisation mit laufender Schulung, die es Benutzern ermöglicht, verdächtige Botschaften zu erkennen und sie für die Berichterstattung von Bedrohungen zu belohnen, bis die menschliche Bedrohungserkennung zu einer Gewohnheit wird. „

Sicherheitstipps oder IT und Benutzer

Zu diesem Zweck bietet Aalto die folgenden Tipps.

Für IT und Sicherheit

  • Erfordern Sie eine Zwei-Faktor-Authentifizierung oder Multi-Faktor-Authentifizierung für alle Mitarbeiter, die auf sensible Daten zugreifen.
  • Geben Sie allen Mitarbeitern die Fähigkeiten und das Vertrauen, um eine verdächtige E-Mail zu melden; ein solcher Prozess sollte nahtlos sein.
  • Stellen Sie Sicherheitsteams mit den Ressourcen zur Analyse und Ansprache von Bedrohungsberichte von Mitarbeitern zur Verfügung.

Für Benutzer

  • Hover über jeden Link in einer E-Mail, bevor Sie darauf klicken. Wenn der Link aus Platz oder irrelevant für die Nachricht erscheint, melden Sie die E-Mail als verdächtig für IT-Unterstützung oder Helpdesk-Team.

  • Verkreuzen Sie das Absenderfeld, um sicherzustellen, dass die E-Mail-Adresse einen legitimen Geschäftsbereich enthält. Wenn die Adresse auf Gmail, Hotmail oder anderen kostenlosen Service verweist, ist die Nachricht wahrscheinlich eine Phishing-E-Mail.

  • Bestätigen Sie eine verdächtige E-Mail mit dem Absender, bevor Sie darauf einwirken. Verwenden Sie eine andere Methode als E-Mail, um den Absender über die Nachricht zu kontaktieren.

  • Denken Sie, bevor Sie klicken. Sozial konstruierte Phishing-Angriffe versuchen, ein falsches Gefühl der Dringlichkeit zu schaffen, indem der Empfänger auf einen Link klicken oder die Nachricht so schnell wie möglich in Angriff nehmen.

  • Achten Sie auf den Ton und die Stimme einer E-Mail. Seitdem werden Phishing-E-Mails, die von AI generiert werden, formal und gestylt geschrieben. Weiter lesen: Als Cybersicherheitsblatt kann ChatGPT beide Wege schneiden (TechRepublik)

    image

    Cybersecurity Insider Newsletter

    Stärken Sie die IT-Sicherheitsabwehr Ihrer Organisation, indem Sie die neuesten Cyber-Sicherheitsnachrichten, Lösungen und Best Practices beibehalten.

    Geliefert Dienstags und Donnerstags Heute anmelden

© 2024 BilbyTech