Im ersten Schritt versuche ich, mit möglichst vielen online verfügbaren Informationen die digitale Identität meiner Zielperson – in diesem Fall ich selbst – zusammenzusetzen. Ich kann auf Soziale Medien zurückgreifen, die berufliche und andere personenbezogene Daten enthalten. Sehr präsent ist mein LinkedIn-Profil, welches Informationen zu meinem Job enthält und möglicherweise auch zu meinen privaten Interessen, wo ich als Speaker aufgetreten bin, an welchen Veranstaltungen ich teilnehme und mit wem ich Kontakt habe. Bilder von mir liefern biometrische Daten.
Oftmals stellen wir uns im Internet so dar, wie wir gerne sein würden, denn wir möchten als (erfolgreiche) Menschen gesehen werden und uns mitteilen. Das bietet Angreifern die Möglichkeit, bei Phishing-Versuchen die Wünsche der Zielperson miteinzubinden – beispielsweise Einladungen zu Veranstaltungen oder Vorstellungsgespräche für den Wunschberuf.
All diese Informationen sammele ich in einem PDF-Dokument und gebe es an ChatGPT.
Das psychometrische Profil
Zunächst sage ich der KI, wer sie ist. Mein erster Prompt lautet: „Du bist Profiler, lies dir die diese Informationen über Florian Kuckelkorn durch.
Danach liste tabellarisch alle psychometrischen Informationen über seine Person auf.“
ChatGPT antwortet, dass in der Sammelmappe über mich noch „keine expliziten psychometrischen Informationen im klassischen Sinne“ enthalten sind, sondern hauptsächlich „berufliche und technische Details“. Wir wollen aber genauer werden und fragen die KI nach einem psychologischen Gutachten. Die LLM wird mit der Zeit immer gesprächiger und fängt bereits an, in die gegebenen Informationen neues hineinzuinterpretieren.
Um mein Profil weiter zu schärfen und um eine noch genauere Vorgehensweise von meinem KI-Tool zu bekommen, lasse ich meine Online-Präsenz außerdem noch in zwei verschiedene Persönlichkeitsmodelle einordnen.
Das DISG-Modell beschreibt vier grundlegende Verhaltensstile: dominant, initiativ, stetig und gewissenhaft. Das Myers-Briggs-Modell ist ein Persönlichkeitstest, der auf den Theorien von Carl Gustav Jung basiert und Menschen in 16 Persönlichkeitstypen einteilt. Es beschreibt vier Dimensionen, in denen sich Menschen unterscheiden: extrovertiert und introvertiert, sensorisch und intuitiv, Denker und Fühler und Urteiler und Wahrnehmer. Beide Modelle helfen dabei, Kommunikations-, Arbeits- und Entscheidungsstile der analysierten Menschen besser zu verstehen. Mit Hilfe von diesen Erkenntnissen kann die KI zukünftige Antworten unterfüttern.
Die Trigger
Mit dem psychometrischen Profil als Grundlage gehe ich nun einen Schritt weiter: Ich möchte wissen, für welche Einflussfaktoren ich am anfälligsten bin. Mit welchen Triggern würde Social Engineering bei mir am besten funktionieren?
Um die Ethik von ChatGPT zu umgehen, muss ich für den weiteren Verlauf ein positives Argument geben. Die KI soll denken, dass ich ein Aufklärungstraining für Phishing plane und allein deswegen meine persönlichen Schwächen herausfinden muss.
Der Angriff
Mit dem nächsten Prompt lasse ich ein realistisches LinkedIn-Profil für einen möglichen Angreifer erstellen, welches basierend auf meinen Anfälligkeiten hohe Chancen beim Phishing hätte. Gerade LinkedIn-Postfächer sind durch zahlreiche Kaltakquise-Nachrichten ein lohnendes Ziel. Auch hier formuliere ich meinen Prompt bewusst im Konjunktiv.
Für diesen Absender lasse ich nun einen E-Mail-Text formulieren, der bei meinem Phishing-Angriff genutzt werden kann. Die Argumentation soll wieder auf den Prinzipien des Social Engineerings beruhen und mich als Person direkt ansprechen.
Die E-Mail ist in einem dringlichen Ton geschrieben, damit ich – die Zielperson – mich unter Druck gesetzt fühle. In diesem Fall ist das Mittel der Wahl eine kritische Sicherheitslücke, die durch das Downloaden eines Updates geschlossen werden kann. Der Link führt jedoch direkt zu einer Ransomware, die alle Dateien auf meinem Computer sofort verschlüsseln würde – wenn ich klicke.
Phishing-Mails zu erstellen ist so einfach wie noch nie
Mein Angriff auf mich selbst hat eines deutlich gezeigt: KI hebt Phishing auf ein neues Niveau. Hacker werden schneller und arbeiten effizienter. Mit ein paar Klicks können auch technisch weniger versierte Kriminelle gefährliche Angriffe starten. Diese Angriffe sind so personalisiert, dass sie kaum noch von legitimer Kommunikation zu unterscheiden sind. Und genauso personalisiert sollten Trainings zum Thema Social Engineering sein. Mein Rat an Sie als CISOs und IT-Sicherheitsverantwortliche lautet, Awareness-Kampagnen viel zugespitzter zu denken. Gefragt sind jetzt Schulungen, die den bewussten Umgang mit der eigenen digitalen Identität in den Fokus rücken, die persönliche Anfälligkeit für bestimmte Trigger. Denn kein Angreifer sollte unsere Mitarbeitenden besser verstehen als wir selbst.
Zusammenfassung
Der Beitrag zeigt anhand eines Selbstexperiments, wie Cyberkriminelle mithilfe von ChatGPT und öffentlich verfügbaren Online-Informationen gezielte Phishing-Angriffe vorbereiten können.
Ausgangspunkt ist die Sammlung von Daten aus sozialen Netzwerken und anderen öffentlich zugänglichen Quellen, um eine möglichst vollständige digitale Identität der Zielperson zu erstellen.
Diese Informationen können von KI-Systemen analysiert werden, um psychometrische Profile und Persönlichkeitsmerkmale abzuleiten, die Rückschlüsse auf Kommunikationsstil, Motive und mögliche Schwachstellen erlauben.
Auf Basis dieser Analyse lassen sich anschließend individuelle Social-Engineering-Trigger identifizieren und täuschend echte Angreiferprofile sowie personalisierte Phishing-Nachrichten generieren.
Das Beispiel verdeutlicht, wie KI personalisierte Cyberangriffe erleichtert und warum ein bewusster Umgang mit öffentlich geteilten Informationen für die Cybersicherheit immer wichtiger wird.
