Die jüngste Demonstration von KI-unterstütztem Voice-Phishing (Vishing) während des „Social-Engineering Village“, einer Veranstaltung im Rahmen der jährlichen DEF CON, einer der weltweit angesehensten Hacker-Konferenzen, hat eine alarmierende Erkenntnis zutage gefördert: Unvorbereitete Gesprächspartner sind besonders anfällig für manipulative KI-Manöver. In einem Wettbewerb zwischen menschlichen Hackern und KI-gesteuerten Vishing-Bots konnte die künstliche Intelligenz bemerkenswert gut mithalten. Die Bots führten nicht nur fließende Gespräche, sondern improvisierten geschickt, brachten humorvolle Bemerkungen ein und hielten ihre Zielpersonen über längere Zeiträume in der Leitung. Am Ende des Experiments hatten die Bots mehr sogenannte „Flags“ gesammelt als ihre menschlichen Kontrahenten, auch wenn Letztere dank strategischer Vorplanung einen knappen Sieg davontrugen.
Was diesen Test so erschreckend macht, ist nicht nur die Fähigkeit der KI, sich wie ein Mensch zu verhalten, sondern auch die Tatsache, dass kein einziger Anrufer vermutete, mit einer Maschine zu sprechen. Dies zeigt, dass KI-unterstützte Täuschung auf einem außerordentlich hohen Niveau funktioniert – so gut, dass sie den Turing-Test mühelos besteht. Es gibt keine Anzeichen dafür, dass die Angerufenen dem Bot gegenüber misstrauisch wurden oder anders reagierten, als sie es bei einem menschlichen Gesprächspartner getan hätten.
Besonders beunruhigend ist, dass die eingesetzten Technologien nicht einmal hochkomplex oder schwer zugänglich waren. Die verwendeten Software-as-a-Service (SaaS)-Produkte sind zu geringen Kosten erhältlich und verwenden einfaches Prompt-Engineering, das leicht nachgeahmt werden könnte. Diese Technologien ermöglichen es Cyberkriminellen, Täuschungsmanöver in bisher unbekanntem Ausmaß durchzuführen. KI-gestützte Social-Engineering-Angriffe können ohne Ermüdungserscheinungen oder Fehler Tausende von Menschen gleichzeitig ins Visier nehmen.
Dieser Wettbewerb ist ein Weckruf für alle, die sich mit digitalen Bedrohungen auseinandersetzen. Die Frage ist nicht mehr, ob KI Menschen glaubwürdig imitieren kann, sondern wie wir als Gesellschaft mit dieser neuen Realität umgehen. Die Fähigkeit, Täuschung so skalierbar und effektiv einzusetzen, stellt eine erhebliche Bedrohung für die digitale Sicherheit dar.
Ein noch alarmierenderes Szenario wurde in einer weiteren Demonstration präsentiert, bei der ein KI-gesteuerter Bot eine „virtuelle Entführung“ simulierte. Diese weiterentwickelte, vollständig „jailbroken“ KI verdeutlichte, dass die Technologie auch für deutlich bösartigere Zwecke missbraucht werden kann. Dies unterstreicht das erhebliche Gefahrenpotenzial von KI, wenn sie in die Hände von Kriminellen gerät.
Fazit
Insgesamt verdeutlichen diese Demonstrationen, dass wir uns nicht mehr in der Theorie, sondern mitten in einer neuen Ära der digitalen Täuschung befinden. Die jüngste Vorführung von KI-unterstütztem Voice-Phishing zeigt eindrücklich, wie anfällig unvorbereitete Gesprächspartner für KI-basierte Täuschungen sind. Dies unterstreicht die immense Bedeutung von Wachsamkeit und Schulungen, um uns vor Social-Engineering-Angriffen, insbesondere solchen, die von künstlicher Intelligenz gesteuert werden, zu schützen. Es ist entscheidend, die Gefahren zu erkennen und gezielt Maßnahmen zu ergreifen, um diesen fortschrittlichen Angriffen vorzubeugen.
Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
