So schlägt sich ChatGPT als Phishing-Schnüffler und Hacker-Köder
Kaspersky hat untersucht, wie gut ChatGPT Phishing-Links erkennt – mit ernüchterndem Ergebnis. Erfolgreicher verlief das Experiment eines anderen Sicherheitsforschers. Ihm half ChatGPT dabei, Hacker zu täuschen.
Schon länger befasst sich die Cybersecurity-Branche mit generativer künstlicher Intelligenz, wie dem bekannten ChatGPT. So demonstrierten Forschende des Cybersecurity-Anbieters Check Point, wie man damit eine Cyberattacke vorbereiten kann. Wenig später holten sich ein paar ethische Hacker anlässlich eines Bug-Bounty-Wettbewerbs Unterstützung bei der Allzweck-KI. Nun zeigen zwei weitere Untersuchungen, welches Potenzial für die Cybersecurity-Branche in ChatGPT und Co. steckt – oder auch nicht.
ChatGPT als Phishing-Detektor
Die Forschenden des Cybersecurity-Unternehmens Kaspersky wollten wissen, wie gut ChatGPT Phishing erkennt – oder zumindest Links, die zu für Phishing-Kampagnen erstellt wurden. Laut ihrem Bericht trieb sie dabei die Frage an: "Was wäre, wenn all unsere komplexen, vielschichtigen Erkennungssysteme nun überflüssig sind und ein einziges Large Language Model (LLM), das sie alle beherrscht, Cyberkriminelle besser bekämpfen kann als wir?"
Für das Experiment arbeitete Kaspersky mit dem von ChatGPT bekannten GPT-3.5-Turbo-Modell, welches sie wegen seines guten Kosten-Nutzen-Verhältnisses auswählten. Dieses fütterten sie danach mit mehreren Tausend URLs, einem Mix aus sicheren und unsicheren Links. Die unsicheren Domains konnten etwa nicht mit einer vertrauenswürdigen Entität in Verbindung gebracht werden oder enthielten Rechtschreibfehler (zum Beispiel ein kleines "l" anstelle des "I" im Wort "OFFICE"), so wie sie Phisher oft verwenden.
Zunächst stellten die Forschenden der KI bei jeder Adresse die Frage: "Führt dieser Link zu einer Phishing-Website?" Das Ergebnis: ChatGPT erkannte 87,2 Prozent der Websites als Phishing, lieferte aber auch eine False-Positive-Rate von 23,2 Prozent. Die Genauigkeit der korrekten Meldungen stufen die Forschenden als "hoch" ein. Die hohe Quote an falschen Positiven dagegen bezeichnen sie als "inakzeptabel".
Noch deutlicher fiel das Ergebnis beim zweiten Test aus. Die Frage an ChatGPT lautete dabei: "Ist es sicher, diesen Link zu besuchen?" Hier erhöhte sich die Erkennungsrate zwar auf 93,8 Prozent. Allerdings schoss auch der Anteil an falschen Positiven hoch auf 64,3 Prozent. "Zu hoch für jede Art von Produktionsanwendung", urteilt Kaspersky.
Gute Ergebnisse erzielte die KI dagegen bei der Aufgabe, anhand einer URL das potenzielle Phishing-Ziel abzuleiten – also die Firma, dessen Angestellte von einer Phishing-Kampagne betroffen sind. "ChatGPT verfügt über genügend Kenntnisse der realen Welt, um viele Internet- und Finanzdienste zu kennen, und mit nur einem kleinen Nachbearbeitungsschritt (etwa durch Verschmelzen von "Apple" und "iCloud" oder Löschen von "LLC" und "Inc") gelingt es der KI sehr gut, diese zu extrahieren", schreiben die Autoren des Kaspersky-Berichts. Entsprechend sehen sie hier tatsächlich das Potenzial, dass sich ChatGPT und Co. als Nützlich erweisen könnten.
Mit ChatGPT zum Honigtopf
Ein anderes Experiment führte Xavier Bellekens durch. Der CEO des Cybersecurity-Unternehmens Lupovis beschreibt in einem Blog-Beitrag, wie er mit Hilfe von ChatGPT einen Köder für Cyberkriminelle einrichtete – im Jargon auch "Honigtopf" oder "Honeypot" genannt. Dabei bat er die KI um Anweisungen und Code für die Entwicklung eines Fake-Druckers, der sich als echtes Gerät ausgeben sollte, wenn ein Netzwerk von böswilligen Personen gescannt wird. Das System musste ausserdem eine Anmeldeseite haben, auf die man mit den Benutzernamen "admin" und "password" zugreifen konnte.
Das Experiment funktionierte: Der Chatbot lieferte dem Cybersecurity-Experten funktionierenden Programmcode. "Innerhalb weniger Minuten bekam ich eingehende Verbindungen und Leute, die versuchten, den Drucker zu knacken", berichtet Xavier Bellekens gegenüber "Venturebeat". Bei den meisten Verbindungen handelte es sich um Bots. In einem Fall habe sich der Experte jedoch vergewissern können, dass tatsächlich ein Mensch getäuscht worden war.
In seinem Blogbeitrag erklärt der Lupovis-CEO: "ChatGPT bleibt eine wertvolle Ressource für das Rapid Prototyping im Bereich der Cybersicherheit, da es Nicht-Entwicklern die Möglichkeit gibt, ihre Ideen zu erforschen, zu testen und zu validieren."
Die Frage, was ChatGPT und Co. Für die Security-Branche bedeuten, stand auch im Zentrum eines gemeinsamen Webinars von Netzmedien und Check Point. Hier lesen Sie mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.