Effizienter angreifen

Deepfakes sind ein beeindruckendes Beispiel für die Leistungsfähigkeit KI-basierter Algorithmen, aber bei Weitem nicht das einzige Szenario, bei dem Cyberkriminelle neuronale Netze und andere Methoden des maschinellen Lernens einsetzen könnten. «Mit Hilfe von KI lassen sich Angriffe besser skalieren und profitabler durchführen. Sie sind schwerer zu entdecken und schwieriger zurückzuverfolgen», erklärt Max Heinemeyer, Director of Threat Hunting beim Sicherheitsspezialisten Darktrace. Auch völlig neue Angriffsszenarien seien denkbar: «KI kann Dinge entstehen lassen, die Menschen nicht vorhersehen können.»

Wie Kriminelle die Schwachstellenanalyse automatisieren könnten, zeigt beispielhaft die «Cyber Grand Challenge», die 2016 von der DARPA veranstaltet wurde. In ihr traten sieben autonome Systeme gegeneinander an, die vollautomatisch Sicherheitslücken erkennen und schliessen sollten. Eines dieser Programme ist Mechanical Phish der universitären Hacker-Gruppe Shellphish. Es basiert zwar nicht auf maschinellem Lernen, sondern nutzt Methoden wie Symbolic Execution und Binary Reassembling, zeigt aber dennoch bereits, welche Bedeutung solche Tools in Zukunft bekommen könnten.

KI kann jedoch nicht nur eingesetzt werden, um Schwachstellen in Systemen zu finden, sondern auch, um Menschen auszuspähen. Eine Kombination aus Clustering- und Klassifikationsmethoden wie K-Means oder Random Forest, Bild­erkennung, Natural Language Processing (NLP) und Sentiment-Analyse könnte es viel leichter machen, lohnende Opfer zu identifizieren und für einen zielgruppengerechten Angriff zu klassifizieren. Wer etwa gerne auf Facebook oder Instagram mit Gucci-Täschchen vor dem Porsche posiert und Bilder von Sonnenuntergängen am Strand postet, könnte automatisch als reicher Bürger im Urlaub identifiziert werden und ungebetenen Besuch in der verwaisten Villa erhalten.

Wie sich Nutzer automatisiert ausspähen lassen, zeigt das Tool Social Mapper. Es durchforstet Social-Media-Kanäle und nutzt eine automatische Gesichtserkennung, um die verschiedenen Profile einer Person zu finden und zuordnen zu können. Die Informationen werden übersichtlich als Excel-File dargestellt. So erhält der Angreifer ein umfassendes Bild über alle Aktivitäten eines potenziellen Opfers.

Neben der allgemeinen Identifikation lohnender Zielgruppen und Personen lassen sich auch sogenannte Spear-Phishing-Attacken durch den Einsatz von KI optimieren. Dabei suchen Kriminelle gezielt auf sozialen Medien, in Blogs und Foren nach persönlichen Informationen, um sie für gezielte Angriffe zu verwenden. Wie sich dies künftig automatisieren liesse, zeigt das Tool SNAP_R. Es nutzt Markow-Modelle und LSTM-Netze (Long Short-Term Memory), um die Timeline eines Twitter-Nutzers zu analysieren und dann über den Account des Ausgespähten Spear-Phishing-Tweets mit möglichst echt klingenden Inhalten zu generieren. In einem Test war das Tool erfolgreicher als ein menschlicher Hacker. Es verfasste mehr Tweets pro Zeit, die ausserdem mehr Reaktionen hervorriefen.

Auch bei der Analyse gestohlener Daten können Machine-Learning-Methoden den Kriminellen helfen. Statt beispielsweise selbst mühsam in erbeuteten Accounts nach kompromittierenden Bildern zu suchen, könnten Kriminelle Tools wie das von Yahoo entwickelte pen_nsfw verwenden. Es nutzt neuronale Netze auf Basis des Frameworks Caffe, um anstössige NSFW-Inhalte (Not Safe For Work) zu erkennen. «So lässt sich die Produktivität eines Angriffs massiv erhöhen», berichtet Max Heinemeyer von Darktrace.