Phishing: KI auf Raubzug

Cyberkriminelle nutzen zunehmend KI um die Erfolgschancen ihrer Social-Engineering- und Phishing-Angriffe zu erhöhen, bei fast 90 Prozent der registrierten Attacken ist sie beteiligt. Neben dem klassischen Weg über E-Mails greifen sie dabei auch immer häufiger über andere Eintrittspunkte der Kollaborationswelt wie den Kalender an.

Cyberkriminelle nutzen KI bereits regelmäßig, um ihre Phishing-Kampagnen durch Social Engineering und geschickte Steuerung über mehrere Angriffskanäle hinweg effizienter zu gestalten (Foto: PashaIgnatov - GettyImages)

Während Security-Fachleute angeregt über die potenziellen Gefahren diskutieren, die KI-Tools wie Anthropics Claude Mythos mit ihren Fähigkeiten hinsichtlich der Analyse von Softwareschwachstellen in den falschen Händen bedeuten, ist KI im Alltag der Hacker längst angekommen und gehört zum Standard-Werkzeugkasten bei typischen Angriffsszenarien wie Phishing. Das belegt der "Phishing Threat Trends Report Volume Seven", für den der Human-Risk-Management-Anbieter KnowBe4 mehr als 3.000 Angriffe detailliert untersucht und ausgewertet hat. Der Bericht verzeichnet für die vergangenen sechs Monate nicht nur einen Anstieg der Phishing-Attacken um 17 Prozent, sondern zugleich eine neue Rekord-Beteiligung von KI an 86 Prozent der Attacken.

KI ermöglicht Angreifern mehr Effizienz durch zielgerichtete Kampagnen

Die Cyberkriminellen nutzen die Möglichkeiten der KI demnach vor allem dazu, ihre Angriffswellen effizienter zu steuern und sie deutlich besser auf die potenziellen Opfer und ihr Umfeld auszurichten, um so die Glaubwürdigkeit und damit ihre Erfolgschancen maßgeblich zu erhöhen. Statt der einst meist kruden E-Mail-Fallen mit vermeintlich auslaufenden Konten greifen diese inzwischen mit Hilfe der KI oft ganz reale Personen, Ereignisse und Informationen aus dem Unternehmen und der Branche auf, um Opfer aufs Glatteis zu führen. Diese suchen sie vor allem im Management sowie den Personal-, IT- und Finanzabteilungen. "Social Engineering wird immer gezielter eingesetzt, was es schwieriger macht, legitime von böswilligen Aktivitäten zu unterscheiden", konstatiert Jack Chapman, Senior Vice President of Threat Intelligence bei KnowBe4.

Zugleich greift die Optimierung der Kampagnen bis in Details wie die Versandzeiten, die sich heute zumeist gezielt an den Geschäftszeiten orientieren. Vorwiegend werfen die Phisher ihre Netze am Nachmittag aus, wenn die Konzentration bereits nachlässt und die Opfer sich eher dazu verleiten lassen, eine entsprechende Mail noch schnell abzuarbeiten. Ähnliches gilt für das Aufgreifen typischer Ereignisse wie den üblicherweise im Frühjahr stattfindenden Gehaltsgesprächen, die im März zu einem Anteil der unter dem Deckmantel der HR-Abteilung durchgeführten Phishing-Kampagnen von 30 Prozent am Gesamtaufkommen führten.

Die Angreifer richten sich gezielt nach den Geschäftszeiten und wichtigen Ereignissen (Foto: KnowBe4)

Phishing über gezielte Multichannel-Angriffe statt einfacher Mail-Fallen

"Der Posteingang ist nicht mehr die einzige Angriffsfläche für koordinierte Social-Engineering-Angriffe. Cyberkriminelle erweitern aktiv das Ökosystem für Cyberattacken unter Nutzung von E-Mails und ähnlichen Kommunikationsmitteln." Jack Chapman, Senior Vice President of Threat Intelligence, KnowBe4 (Foto: KnowBe4)

Einhergehend mit dem zunehmenden KI-Einsatz verschieben sich aber auch die Angriffsvektoren und -Methoden spürbar. So verzeichnet der Report etwa einen Anstieg der Phishing-Versuche die vermeintlich von einem Team-Mitglied stammen um fast 70 Prozent, womit solches Imitieren nun mit 30 Prozent die häufigste aller Angriffstechniken ist. Der wichtigste Angriffspunkt sind inzwischen Business-E-Mail-Konten (BEC), gegen die sich dem Report zufolge zuletzt bereits mehr als 61 Prozent der Attacken richteten. Vor fünf Jahren hatte der Anteil noch unter einem Viertel gelegen.

Allerdings bleibt es meist nicht mehr bei einem einzelnen Angriffskanal und die Angreifer nutzen die Möglichkeiten der KI für koordinierte Multichannel-Offensiven. So sind dem Bericht zufolge zugleich auch die Phishing-Angriffe über Kalendereinladungen um 49 Prozent und die Attacken auf Microsoft Teams um 41 Prozent angestiegen. Im konkreten Fall kontaktieren die Angreifer ihre Opfer dann beispielsweise zuerst per E-Mail mit einer dringenden Anfrage und setzen nur wenige Minuten später per Teams nach. Die Daten dafür haben sie meist entweder selbst gephisht oder kaufen sie von anderen Hackern zu. Wie begehrt sie sind, zeigt sich unter anderem daran, dass die Zahl der Angriffe bei denen Reverse-Proxys zum Einsatz kamen um an die Microsoft 365-Anmeldedaten von Opfern zu gelangen, im Vergleich zum Vorjahr um 139 Prozent gestiegen ist.

KI-Tools helfen Angreifer auch dabei, über Adversary-in-the-Middle-Angriffe (AiTM) an wichtige Zugangsdaten zu kommen (Foto: KnowBe4)

"Unternehmen setzen auf Kommunikationstools für die Zusammenarbeit in Echtzeit, deshalb haben Cyberkriminelle diese in ihre Angriffe einbezogen und zielen zudem auf die Kalender der Nutzer ab", fasst Chapman zusammen. Damit zielen diese Angriffe zugleich auf den Menschen als auch auf die von ihnen genutzte Kommunikations- und Kollaborations-Technologie ab und bringen das Bedrohungspotenzial damit auf eine neue Stufe, wie Chapman weiter ausführt: "Die im Bericht festgestellte Eskalation des Bedrohungsumfangs rückt ein ganz neues Problem in den Vordergrund."

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden