Unter allen Arten von Cyber-Angriffen, da sind sich Experten einig, bleibt Phishing die größte Bedrohung – für Einzelpersonen wie für Unternehmen und Organisationen. Handelt es sich um herkömmliche Phishing-Kampagnen, senden böswillige Akteure Phishing-E-Mails an so viele Personen wie möglich, da diese Art von Angriff leicht skalierbar ist. Profit und Erfolgswahrscheinlichkeit sind jedoch relativ gering, vergleicht man das massenhafte Phishing mit Angriffsarten, bei denen gezielt vorgegangen wird. Ganz anders ist daher die Herangehensweise beim „Harpoon Whaling“: Hier wird der Wal, sprich eine hochrangige Person in der Zielorganisation, ganz gezielt angeschrieben – und erlegt. Die Betrüger stellen zu diesem Zweck vor einem Angriff detaillierte und zielgerichtete Nachforschungen an. Manche Angreifer recherchieren nach Zielen in der Finanzbranche, andere wählen bestimmte Regierungsstellen aus. Nach der Auswahl der Führungskräfte im Unternehmen oder der hochrangigen Beamten werden über die anvisierten Opfer personenspezifische Daten gesammelt, um glaubwürdig formulierte E-Mails senden zu können. Ziel ist es, mit einer Einzelattacke relevante Ergebnisse zu erzielen, sprich große Geldbeträge oder wichtige Informationen zu stehlen. Diese Art von Betrug erforderte bisher viel manuelle Arbeit.
Inzwischen ist der Prozess auf vielen Ebenen stark automatisiert, insbesondere das Beschaffen der personenbezogenen Informationen und die Erstellung der personalisierten Texte übernehmen jetzt KI-gestützte Tools. Das steigert die Effizienz und Erfolgswahrscheinlichkeit solcher Angriffe enorm. KI-Werkzeuge wie ChatGPT erlauben es, die personalisierte Ausrichtung herkömmlicher Whaling-Attacken mit der Skalierbarkeit von Pishing-Angriffen zu kombinieren. Ein Profitversprechen, dass sich Cyber-Crime-Akteure nicht entgehen lassen, sodass zu erwarten ist, dass diese Methode deutlich häufiger eingesetzt werden wird als bisher. Auch erweitert sich so der Täterkreis, da die KI-Technologie deutlich mehr kriminelle Akteure in die Lage versetzt, derartige Angriffe durchzuführen.
Beim Harpoon Whaling wird das generative KI-Sprachmodell vorab trainiert und mit „Signalwörtern“ gefüttert, die gewissen Personengruppen zugeordnet sind. Dieses Vorgehen ermöglicht gezielte Angriffe auf verschiedene kuratierte Verteilerlisten. Solche Listen fassen Führungskräfte oder hochrangige Beamte unter bestimmten Kriterien zusammen, zum Beispiel „alle Führungskräfte von Banken“, „alle hochrangigen Beamten des Wirtschaftsministeriums“ etc. Zudem ist ein solches System, das auf das Feststellen von Ähnlichkeiten programmiert ist, in der Lage gefährdende Verhaltensweisen zu identifizieren und Opfer, die Auffälligkeiten zeigen, gezielt ins Visier zu nehmen. Besondere Bedrohlichkeit entwickelt ein Angriff, der auf Chat-Bot-Unterstützung setzt, dann, wenn der Kontakt hergestellt ist. ChatGPT besitzt die Fähigkeit, ein Wechselspiel von Nachrichten zu inszenieren, sodass die generierten Antworten in ihrer emotionalen Intensität zunehmen und dabei mit den Inhalten von früheren Nachrichten kongruent bleiben. Als Vorbild dienen hier Taktiken von „Romance Scammern“, deren Betrugsmasche ebenfalls auf das Aufbauen von Vertrauen über eine Reihe von Nachrichten abzielt. Um die Zielperson zu manipulieren, werden subtile Signalmarker eingesetzt, die aus den Social-Media-Präferenzen des Opfers generiert werden.
Die neuen Phishing-Varianten sind so perfide, weil die Angreifer (automatisiert und daher entsprechend umfangreich) detaillierte Informationen über ihre Opfer sammeln und maximale Effizienz erzielen, wenn sie diese Informationen mithilfe verschachtelter KI-Prozesse maximal geschickt ausspielen. Da diese gezielten Angriffe auf allen Ebenen mit den neusten Technologien arbeiten, werden die meisten traditionellen Abwehrmethoden nicht wirklich greifen. Insbesondere von dem Glauben, Phishing-E-Mails an ihrer schlechten Textqualität erkennen zu können, sollte man sich schnellstens verabschieden. Als Gruppe, die besonders im Visier der Attacken steht, ist es für Führungskräfte ratsam, in der Cyber-Sicherheit auf eine möglichst breit aufgestellte Kombination von Maßnahmen zu setzen. Verschiedenste Sicherheitsdienstleister bieten ein proaktives
Risikomanagement an, um Unternehmen bei diesem Abwehrkampf zu unterstützen. Der japanische Anbieter Trend Micro erläutert seine Möglichkeiten beispielsweise wie folgt: „Besonders risikoreiche Verhaltensweisen können zugeordnet werden und es lässt sich vorhersagen, welche Führungskräfte am anfälligsten für diese Art von Angriffen sind.“ Auch andere Sicherheitsexperten erläutern, dass es mit neuer Technologie möglich ist, die Gesprächsmuster der am stärksten gefährdeten Personen gezielt zu analysieren. Das erlaube Rückschlüsse darauf, so Richard Werner, Business Consultant bei Trend Micro, „wo Schutzmaßnahmen und Schulungen für Führungskräfte am nötigsten sind. So haben Walfänger keine Chance.“ Wenn es Betrügern mit dieser raffinierten Methode ein Leichtes ist, täuschend echt wirkende personalisierte Texte in kurzer Zeit und mit nur geringem Aufwand zu verfassen und mittels KI-gestützter Tools zur Informationssammlung und zum Datenmanagement effizient und überzeugend vorzugehen, scheint es für Führungskräfte dringend geboten, sich stärker gegen die heraufziehenden Angriffe zu wappnen.
