Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

Der erste Chatbot, der euch hacken will

von WIRED Editorial
Chatbots sind nicht immer nur Service-Kräfte. Ein neues Projekt von Sicherheitsforschern zeigt, dass wir schon bald aufpassen müssen, mit welchen Maschinen wir uns online unterhalten.

Wenn es um Hacker geht, ist der Mensch die größte Sicherheitslücke. Ob nun eine Präsidentschaftskandidatin geheime EMails auf einem unsicheren Server im Keller speichert, oder ob ein Angestellter einen verseuchten USB-Stick in einen Computer steckt – so geschehen im Fall des Atomkraftwerks Gundremmingen. Menschen sind das Problem. Menschen geben ihre Passwörter für ein Stück Schokolade heraus. Menschen kaufen Fremden am Telefon ab, dass es sich um ihren Admin handelt.

Es gab bisher aber einen Vorteil bei dieser Art von so genannter Social-Engineering-Attacke: Sie musste aufwändig und selbst von Menschenhand durchgeführt werden. Auf massenhaft versendete computergenerierte Phishing-Mails mit kryptischen Inhalten fallen immer weniger Leute rein. „Gewinnen Sie den Jackpot Ihres Lebens“, das läuft nicht mehr. Aber was, wenn Computer uns besser kennenlernen?

Forscher des Sicherheitsdienstleisters ZeroFOX haben eine Art Chatbot für digitale Verbrechen entwickelt. Mittels Machine Learning versteht der Bot die Vorlieben seiner Opfer und kreiert zielsicher zugeschnittene Nachrichten. Im Experiment ließen die Entwickler ihr Programm die Tweets rund um den #Pokemon analysieren, um ihn dann nach einer Weile mit eigenen passenden Tweets in die Debatte einsteigen zu lassen. Die Beiträge klangen nicht immer perfekt. Die Datenexperten von ZeroFOX behaupten aber, sie hätten eine Reaktionsquote von 40 Prozent.

Jeder Dritte Angeschriebene klickte auf einen Link, den ihm der Bot auf Twitter zusandte. Hätte es sich um einen echten Angriff gehandelt, hätten die Opfer sich auf diese Weise alle möglichen Schadprogramme auf dem Rechner installieren können.

Die Erfolgsquote des Bots sei damit um fünf bis zehn Prozent höher als bei gewöhnlichen Attacken, sagte der leitende Datenforscher John Seymour gegenüber Technology Review. Er automatisiert einen Vorgang, den man als Spearphising bezeichnet. Bei normalen Phishing-Attacken werden massenhaft Spam-Mails verschickt, mit dem Ziel dass ein geringer Prozentsatz an Usern darauf klickt. Beim Spearphishing werden die Mails noch mit individuellen Informationen des Opfers angereichert, um sie glaubwürdiger zu machen.

„Spearphishing ist stark manuell und benötigt zehn Minuten pro Ziel.“ Der neue Ansatz sei fast genauso erfolgreich und dazu noch automatisiert, so dass er schon bald in viel größerem Maßstab eingesetzt werden könnte.

Noch ist das nur eine Drohkulisse. Immer mehr Technologie-Riesen setzen sich aber mit solchen Szenarien von lernenden Hacker-Algorithmen auseinander. Das zeigte jüngst auch ein Pilotprojekt von Google, in dem das Unternehmen Kryptographie entwickelt, die nicht von Quantencomputern entschlüsselt werden kann.

Ähnlich wie die künstliche Intelligenz von Chatbots sind diese Computer noch in einer frühen Phase der Erforschung. Werden sie aber erst einmal marktreif, kann ihre hohe Rechenleistung auch den Bereich IT-Security umkrempeln. Nicht auszudenken, was eine KI auf Quantenbasis so alles hacken könnte. Am Ende bietet sie uns noch Schokolade für unsere Passwörter an.

GQ Empfiehlt
Wen sollten autonome Autos opfern?

Wen sollten autonome Autos opfern?

von Chris Köver