16.09.2020

Social Engineering Attacken durch KI schwerer zu erkennen

Dr. Niklas Hellemann ist Diplom-Psychologe und einer der Geschäftsführer der Firma SoSafe Cyber Security Awareness mit Sitz in Köln. Als Experte für Social Engineering, also die gezielte Manipulation von Menschen zur Erlangung von Vorteilen oder Zugriffsrechten, beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung. Wir sprechen im Interview mit ihm über Social Engineering und wie sich die Attacken durch neue Technologien wie künstliche Intelligenz weiterentwickeln.

 

Herr Hellemann, welche Phishing-Attacken treten besonders oft auf – gerade in Zeiten von Corona?

Durch das Coronavirus befinden wir uns in einer Zeit, die stark durch Unsicherheit und Angst geprägt ist. Das nutzen die Hacker aus, indem sie gezielt diese Emotionen triggern. Wir haben zum Beispiel in der Anfangsphase von Corona E-Mails gesehen, die vermeintlich von der WHO versendet wurden und stark das Bedürfnis nach Information und Schutz angesprochen haben. Auch der häufig erfolgte Wechsel ins Home-Office spielt Hackern in die Karten, weil zahlreiche ungewohnte Tools zum Einsatz kommen. Remote Work Tools, wie Messenger und Videokonferenz-Software sind für viele Mitarbeiter oft ein unbekanntes Setting. Gleichzeitig sehen wir aber auch alte Bekannte wiederauftauchen. So ist der Trojaner Emotet nach einer Pause im letzten Monat erneut massiv auf den Plan getreten und verschickt sehr überzeugende Dynamite-Phishing-Mails an deutsche Unternehmen – mit zum Teil gravierenden Auswirkungen.

 

Warum sind Social-Engineering-Attacken so erfolgreich?

Social Engineering Attacken sind gerade deshalb so erfolgreich, weil sie darauf abzielen unser kritisches Denken außer Kraft zu setzen und stattdessen verstärkt unsere Emotionen ansprechen. Die Hacker arbeiten etwa mit manipulierten Adressen von bekannten Absendern, Neugier oder auch vermeintlicher Dringlichkeit. Wer schreckt bei dem Betreff “Letzter Mahnbescheid” nicht zusammen und klickt schnell auf die E-Mail? Solche Maschen führen dazu, dass wir in einer Stresssituation zu Übersprungshandlungen neigen und nicht genau nachdenken. Das wissen leider auch die Cyberkriminellen und haben sich auf diese Angriffsmethoden spezialisiert. Wir müssen die Mitarbeiter also dahingehend sensibilisieren, in einer kritischen Situation trotzdem genau hinzuschauen. Natürlich ist das nicht bei jeder E-Mail, die am Tag ankommt, möglich. Aber durch kontinuierliche Phishing-Simulationen gepaart mit Lerneinheiten beispielsweise kann nachweislich der Blick geschärft werden.

 

Welche neuen Social-Engineering-Strategien kommen in den nächsten Jahren auf uns zu?

Aktuell sehen wir, dass die Angreifer sich neue Kommunikationskanäle erschließen, über die der Mensch manipuliert und ausgenutzt werden soll. Ein Beispiel dafür ist das so genannte Vishing (Voice Phishing), bei dem die Kriminellen Kontakt über das Telefon aufnehmen. Auch neue Tools wie z.B. Messenger wie Microsoft Teams werden zunehmen Social Engineering Angriffe durchgeführt. Das sollte zukünftig bei der Mitarbeitersensibilisierung berücksichtigt werden. Durch die Nutzung von künstlicher Intelligenz ergeben sich neuerdings noch perfidere Möglichkeiten. So haben wir bereits 2019 auf dem BSI Kongress einen theoretischen Angriff präsentiert, der auf einem AI-basierten Stimmenimitations-Bot basiert. Nur kurze Zeit später konnte man solch einen Angriff bei einem Energieversorger in Großbritannien beobachten. Die Themen Deep Fake und künstliche Intelligenz gewinnen also auch in Bezug auf Social Engineering massiv an Bedeutung.

 

Social Engineering Attacken durch KI schwerer zu erkennen
Niklas Hellemann