Check Point und Sophos warnen vor ChatGPT-Missbrauch
CrimeGPT
Sobald es eine neue Technologie gibt, kommen die Bösen und missbrauchen sie. Is’ so, war schon immer so, wird auch immer so bleiben. Die Technologie du jour ist die hochgelobte Chat-KI namens ChatGPT. Sicherheitsforscher von Check Point Research (CPR) warnen davor, dass Kriminelle in Cybercrime-Foren bereits Möglichkeiten des Missbrauchs diskutieren – und auch schon demonstriert haben.
ChatGPT ist eine von OpenAI aus San Francisco entwickelte und als Cloud-Service öffentlich – vorerst sogar kostenlos – zugängliche KI, die darauf trainiert ist, auf Fragen oder Anweisungen möglichst menschlich klingende Antworten beziehungsweise Resultate zu liefern. Dazu zieht die KI Wissen und Formulierungen aus dem weltweiten Web, aber auch aus Büchern etc. heran. Das Ergebnis ist erstaunlich: Die Antworten wirken echt und zumindest auf den ersten Blick überzeugend.
ChatGPT ist sozusagen ein KI-gestützter „Telefonjoker“: Die KI gibt stimmige Antworten selbst auf sehr konkrete oder obskure Fragen – doch man kann sich letztlich nicht sicher sein, ob die Antwort tatsächlich korrekt ist. Die KI erweckt den Eindruck, sich mit einem vielseitig gebildeten Menschen zu unterhalten – dafür wurde sie schließlich konzipiert, auch wenn manche sie bereits als Konkurrenz zu Google sehen. Eine Ausnahme ist übrigens Tagesaktuelles, denn die Trainingsdaten der Chat-KI reichen nur bis 2021.
Wo vielseitiger Nutzen vorliegt, da lauert auch vielseitiger Missbrauch. So belegt eine CPR-Analyse von Untergrund-Hacking-Foren, dass Cyberkriminelle die KI bereits zur Entwicklung von Angriffs-Tools heranziehen. Einige Fälle zeigen laut den Forschern, dass viele Kriminelle, die OpenAI nutzen, über keinerlei Vorkenntnisse zu Softwareentwicklung verfügen.
Die bislang aufgefundenen Cybercrime-Tools sind laut den Forschern recht einfach. Es sei aber, so warnen sie, nur eine Frage der Zeit, bis raffiniertere Kriminelle den Missbrauch von ChatGPT verfeinern.
Am 29. Dezember 2022, so berichten die Check-Point-Forscher, erschien in einem beliebten Hacking-Forum ein Thread mit dem Titel „ChatGPT – Benefits of Malware“. Der Verfasser des Threads erklärte, er experimentiere mit ChatGPT, um Malware aus Forschungs- und Security-Reports nachzubilden. Als Beispiel postete er den Code eines Python-basierenden Info-Stealers: Die Malware sucht nach gängigen Dateitypen, kopiert sie in einen zufälligen Ordner innerhalb des Temp-Ordners, packt sie in ein ZIP-Format und lädt sie auf einen vorgegebenen FTP-Server – sprich: Mit ChatGPT lassen sich Angriffsabläufe automatisieren (LANline berichtete).
Schon am 21. Dezember 2022 hatte ein User namens USDoD ein Python-basiertes Verschlüsselungswerkzeug gepostet. Auf Rückfrage eines anderen Forenmitglieds erkärte er, dies sei das erste Skript, das er je erstellt habe (siehe Bild oben).
Ein weiteres Beispiel, diesmal vom Jahreswechsel, zeigt laut CPR eine andere Variante cyberkrimineller Aktivität: Während sich die ersten beiden Beispiele eher auf den Einsatz von ChatGPT für Malware-Zwecke konzentrierten, diskutierte der dritte Foreneintrag der Frage, wie man mittels ChatGPT Dark-Web-Marketplace-Skripte erzeugen kann.
Effektiveres Phishing dank KI
„Eines der größten Risiken besteht darin, dass Angreifer diese Plattformen nutzen, um die Qualität ihrer Phishing-Köder erheblich zu verbessern“, warnt Chet Wisniewski, Cybersecurity-Experte bei Sophos. Damit seien Phishing-Angriffe selbst für aufmerksame Nutzer immer schwieriger zu identifizieren.
„Letztendlich liefern die immer besseren KI-Chatbots ein kostenloses Upgrade für alle Arten von Social-Engineering-Angriffen“, erläutert Wisniewski. „Programme wie ChatGPT können dazu genutzt werden, kriminell orientierte, sehr realistische, interaktive Gespräche via E-Mail zu führen oder Chat-Angriffe über Facebook Messenger, WhatsApp oder andere Chat-Apps zu starten.“
Derzeit bestehe die größte Gefahr für die englischsprachige Zielgruppe. Es sei aber wahrscheinlich nur eine Frage der Zeit, bis neue Versionen verfügbar sind, um glaubwürdige Texte in allen häufig gesprochenen Sprachen der Welt zu erstellen. „Wir haben ein Stadium erreicht, in dem Menschen immer öfter nicht in der Lage sind, maschinengenerierte Prosa von der von Menschen geschriebenen zu unterscheiden – im Besonderen, wenn wir das Gegenüber nicht gut kennen“, so Wisniewski.
„Traurig aber wahr: KI hat den letzten Nagel in den Sarg des Endbenutzer-Sicherheitsbewusstseins geschlagen“, sagt der Sophos-Experte. Seine Folgerung: „Wir benötigen zunehmend intelligente Maschinen, um zu erkennen, wenn andere Maschinen versuchen, uns zu täuschen.“
Lesen Sie mehr zum Thema
