Go to Top

Mit künstlicher Intelligenz auf Fischzug

Phishing

Der Abgriff von Daten durch Phishing-Mails ist recht erfolgreich – die Erfolgsquote liegt bei fünf bis zehn Prozent. Noch höher ist die Quote beim sogenannten Spearfishing, bei dem individuell auf den Empfänger zugeschnittene Mails zum Einsatz kommen. Immerhin 40% der Angeschriebenen gehen an die Angel der Kriminellen. Allerdings ist der nötige Zeitaufwand recht groß. In Zukunft wird das Verfahren möglicherweise einfacher.

Zwei Forscher des Sicherheitsunternehmens ZeroFOX haben ein Programm geschrieben, das ziemlich echt wirkende Twitternachrichten verfassen kann. Als Basis benutzten sie ein Maschinenlernsystem, das mit Künstlicher Intelligenz (KI) arbeitet. Diesen Autotweet testeten die Wissenschaftler, indem sie dem System beibrachten, auf den Hashtag #Pokemon zu reagieren. Im Juli wurden etliche Twitterer, die sich über Pokémon Go unterhielten, Zeugen und Mitarbeiter des Experiments. Das Programm verschickte vollautomatische Textnachrichten mit eingebetteten (ungefährlichen) Links, um heraus zu finden, wie gut die künstliche Sprache bei Menschen ankommt. Und sie kam an: Gut 30 % der Twitterer klickten auf den Link oder antworteten auf den Tweet.

Das Programm wurde vorher trainiert: Die Forscher fütterten es mit Tweets bestimmter Nutzer, um ihm beizubringen, ähnlich wie der menschliche Gegenpart zu schreiben. Da bei Twitter die Textlänge auf 140 Anschläge begrenzt ist, wird Grammatik und Satzbau eher kleingeschrieben. Für die künstliche Intelligenz war es daher kein großes Problem, so zu tun, als ob ein Mensch die Texte verfasst habe.

Eine E-Mail ist da etwas ganz anderes. Bis KI „echte“ Texte schreiben kann, wird noch Zeit vergehen. Es wird also nicht gleich morgen passieren, dass, wie John Seymour, leitender Datenwissenschaftler bei ZeroFOX glaubt, ein solches Programm vollautomatisch individualisiert Mails an wichtige Entscheidungsträger in Unternehmen verschicken wird.

Aber das Problem wird auf uns zukommen. Erfolgreiche Spearphishing-Angriffe auf ausgewählte Mitarbeiter von größeren Firmen in den USA hatten nach Angaben des E-Mail-Sicherheitsdienstleisters Cloudmark im Januar durchschnittlich immerhin einen finanziellen Schaden in Höhe von 1,6 Millionen US-Dollar zur Folge.

Bildquelle: Christiaan Colen / flickr – Lizenz: CC 2