Malware
Dialekt weckt Vertrauen
Sprachmodelle, die auf generativer künstlicher Intelligenz basieren, geben mittlerweile Text muttersprachlichem Niveau aus und immer häufiger auch im Dialekt oder Slang. Das klingt vertrauenswürdig und erhöht die Erfolgschancen der Kriminellen.
Der Mensch ist von Grund auf ein soziales Lebewesen, und die Sprache ist das Herzstück unserer sozialen Beziehungen und unserer Kommunikation. Sie ist die Grundlage der Verständigung und damit des Zusammenlebens. Und die meisten von uns nutzen sowohl Hochsprache der Behörden und der Wirtschaft und die Umgangssprache, die nicht selten vom Dialekt geprägt ist. Wenn wir die letztere hören oder lesen, kann sie uns entwaffnen: Wir fühlen uns der Person näher, die sie schreibt oder spricht. Diese Erkenntnis soll nun GenAI für Kriminelle umsetzen, denn die Modelle lernen immer authentischere Texte in verschiedenen Sprachen und Dialekten auszugeben. Dies eröffnet verschiedene missbräuchliche Anwendungsfelder.
Lug und Betrug
Zum Beispiel Phishing. Es ist nach wie vor einer der wichtigsten Angriffsvektoren und ermöglichte im vierten Quartal 2023 fast ein Viertel aller Kompromittierungen mit Ransomware. Phishing beruht im Wesentlichen auf Social Engineering, also auf der Fähigkeit des Betrügers, sein Opfer so zu manipulieren, dass es nach seiner Pfeife tanzt. Dies kann durch die Verwendung offizieller Logos und Absenderdomänen geschehen. Aber auch die Sprache spielt dabei eine wichtige Rolle.
Hier könnte GenAI Bedrohungsakteuren einen Vorsprung verschaffen. Wenn Phishing-Mails in einem Dialekt verfasst werden, den der Empfänger sofort versteht, kann dies die Glaubwürdigkeit erhöhen. Es ist zwar unwahrscheinlich, dass dies im Unternehmenskontext funktioniert, aber es könnte bei Betrügereien, die sich an Verbraucher richten, eingesetzt werden. Es wird bereits prognostiziert, dass GenAI Phishing durch die Generierung grammatikalisch perfekter Inhalte in mehreren Sprachen aufwerten wird. Warum nicht auch im Dialekt?
Nach der gleichen Logik könnten Betrüger GenAI nutzen, um das Vertrauen ihrer Opfer in Liebes- und anderen Betrugsarten zu gewinnen. Die Verwendung von Dialekten könnte eine entscheidende Rolle dabei spielen, unsere zunehmende Skepsis gegenüber Menschen, die wir online treffen, zu überwinden. Nach Angaben des FBI haben „Romance Scams“ die Opfer im Jahr 2022 bereits 734 Millionen Dollar gekostet. Und die Bösewichte sind immer auf der Suche nach innovativen Wegen, ihre Beute zu vergrößern.
Nachrichten fälschen und Bomben bauen
Eine weitere Bedrohung ist in diesem Jahr besonders groß: Fehl- und Desinformation. Zusammen wurden sie kürzlich vom Weltwirtschaftsforum (WEF) als das größte globale Risiko der nächsten zwei Jahre eingestuft. Da in diesem Jahr rund ein Viertel der Weltbevölkerung zu Wahlen aufgerufen ist, wächst die Sorge, dass ruchlose Akteure versuchen können, die Ergebnisse zugunsten der von ihnen favorisierten Kandidaten zu beeinflussen oder das Vertrauen in den gesamten demokratischen Prozess zu untergraben. Und während erfahrene Internetnutzer den Nachrichten, die sie online lesen, zunehmend skeptisch gegenüberstehen, könnte Dialekt wieder einmal ein Trumpf für Bedrohungsakteure sein.
Erstens ist er nicht weit verbreitet. Das bedeutet, dass wir Inhalten, die in einem bestimmten Dialekt verfasst sind, möglicherweise mehr Aufmerksamkeit schenken. Wir lesen vielleicht einen Beitrag in den sozialen Medien, der im Dialekt verfasst ist, und sei es nur, um zu entziffern, was er bedeutet. Wenn es sich um unseren eigenen Dialekt handelt, fühlen wir uns der Person – oder eben der Maschine –, die den Beitrag verfasst hat, vielleicht sofort näher. Politik und Medien mögen vor einer Wahlbeeinflussung aus dem Ausland warnen. Doch was ist weniger fremd, als ein Konto, das in einem vertrauten Dialekt postet?
Und schließlich sollten wir uns überlegen, wie Dialekte es Bedrohungsakteuren ermöglichen, GenAI-Systeme zu „knacken“. Forscher der Brown University in den USA haben selten gesprochene Sprachen wie Gälisch verwendet, um genau dies mit ChatGPT zu tun: Der OpenAI-Chatbot ist mit speziellen Sicherheitsvorkehrungen ausgestattet, die es beispielsweise verbieten, einem Benutzer Anweisungen zum Bau einer Bombe zu geben. Als die Forscher ChatGPT jedoch in seltenen Sprachen aufforderten, unethische Dinge zu tun, konnten sie auf die verbotenen Informationen zugreifen. Medienberichten zufolge ist sich OpenAI dieses Risikos bewusst und unternimmt bereits Schritte, um es zu mindern. Aber wir dürfen nicht vergessen, dass GenAI, auch wenn sie „intelligent“ zu sein scheint, manchmal die Naivität eines Vierjährigen haben kann.
Es ist Zeit, aufzuklären
Was ist also die Lösung? Sicher müssen die KI-Entwickler einen besseren Schutz gegen den Missbrauch der sprach- und dialektgenerierenden Fähigkeiten von GenAI entwickeln. Aber auch die Nutzer müssen ihr Verständnis für potenzielle Bedrohungen verbessern und skeptischer gegenüber Online-Inhalten werden. An dieser Stelle sind auch Unternehmen und Behörden gefragt, für verstärkte Awareness zu sorgen.
Da GenAI zunehmend für böswillige Zwecke eingesetzt wird, könnten schlechte Sprach-, Rechtschreib- oder Grammatikkenntnisse mit der Zeit sogar zu einem Zeichen von Glaubwürdigkeit in der schriftlichen Kommunikation werden. So weit sind wir im Moment noch nicht. Aber als Cybersicherheitsexperten müssen wir anerkennen, dass es bald so weit sein könnte.
Der Dauerbrenner: Bleiben Sie kritisch
Waren noch vor kurzem sprachliche Fehler in E-Mails, Social-Media-Posts etc. häufig Anzeichen für missbräuchliche und betrügerische Inhalte, kann man sich darauf inzwischen kaum noch verlassen.
Umso mehr gilt die alte Regel: Hinterfragen Sie alles kritisch, was Sie im Internet lesen oder per E-Mail erhalten, gleichgültig ob beruflich oder privat. Dies gilt besonders dann, wenn Sie aufgefordert werden, etwas Bestimmtes zu tun (Links klicken, Zugangsdaten eingeben, Geld überweisen, jemanden wählen etc.)
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.