Demonstration von Check Point

ChatGPT kann eine Cyberattacke verursachen

Uhr
von Rodolphe Koller und übersetzt von Yannick Züllig

Forscher von Check Point haben gezeigt, dass es relativ einfach ist, mithilfe von ChatGPT einen kompletten Cyberangriffs-Ablauf zu erstellen. Vom Verfassen der Phishing-E-Mail bis zum Schreiben des Codes, der eine bösartige Datei herunterlädt und ausführt, wenn Sie ein Excel-Dokument öffnen.

(Source: shutterstock)
(Source: shutterstock)

Am 14. Oktober 2022 trafen sich Forscher von OpenAI (verantwortlich für ChatGPT), dem Stanford Institute for Human-Centered Artificial Intelligence und anderen Universitäten, um Fragen zu GPT-3 zu diskutieren, dem grössten damals öffentlich bekannten komplexen Chatbot. 

Im Abschlussbericht zum Treffen stellten die Forscher unter anderem die Frage: "Wie kosteneffizient und anspruchsvoll wäre es im Vergleich zu anderen Methoden, wenn böswillige Akteure Chatsbots für ihre Zwecke missbrauchen würden?"

Cyberattacke made by ChatGPT

Die Cybersicherheitsexperten von Check Point haben diese Frage beantwortet. In einem am 19. Dezember veröffentlichten Artikel erklären sie, wie sie einen kompletten Ausführungsablauf (eine Phishing-E-Mail mit einer bösartigen Excel-Datei mit Makros, die eine Reverse Shell herunterlädt) erstellt haben, ohne auch nur eine Zeile Code einzugeben, sondern nur mithilfe der Fähigkeiten von ChatGPT und Codex (ein weiteres Tool von OpenAI, das natürliche Sprache in Python und andere Programmiersprachen übersetzt). 
Unter anderem liessen sie ChatGPT eine Phishing-Mail erstellen, die sich als Hosting-Unternehmen ausgab:

Screenshot

Die Forscher von Check Point wiesen das System dann an, den Malware-Code zu erstellen. Sie betonen, dass es bei jedem Schritt mehrere Iterationen braucht, um ein gutes Ergebnis zu erzielen.

Nachdem sie die gleichen Operationen mit Codex durchgeführt hatten, gelang es den Forschern auch, die Fähigkeiten dieses Tools auszunutzen, so dass es im Anschluss an die erste Ausführung on-the-fly und on-demand Python-Skripte erstellte.

Wohlwollende Nutzung ebenfalls möglich

Die Forscher haben auch gezeigt, dass KI zur Selbstverteidigung eingesetzt werden kann. Sie haben Codex erfolgreich gebeten, Python-Funktionen zu schreiben, die dabei helfen, URLs in Dateien zu finden und VirusTotal nach der Anzahl der Erkennungen eines bestimmten Hashes zu fragen. 

Die Forscher warnen: "Diese neue Technologie hilft zwar den Verteidigern, senkt aber auch die Eintrittsschwelle für wenig qualifizierte Bedrohungsakteure, die Phishing-Kampagnen durchführen und Malware entwickeln wollen.

ChatGPT erfreut sich derzeit grosser Beliebtheit. Die KI wurde bewusst so entwickelt, um möglichst vielen Menschen zu gefallen, wie Sie hier lesen können.

Webcode
tbNZc6eP