KI als Phishing-Booster
Verfasst am von Gerhard Müller
Wie künstliche Intelligenz das „Phishing“-Problem noch verstärken kann, präsentierte kürzlich der Schweizer Journalist Rafael Zeier (öffnet in neuem Tab) in einem YouTube-Video (zum Thema Phishing-Mail am Handy - öffnet in neuem Fenster). Screenshots seines Handys weisen auf die gefährliche Seite des KI-Einsatzes hin. Zu sehen ist ein vermeintlich harmloses neues Feature der „Apple Intelligence“, nämlich automatische Kategorisierung und Priorisierung der täglichen Flut von E-Mails.
Die an sich nützliche Funktion spülte allerdings ein klar erkennbares Phishing-Mail in die Kategorie „Wichtiges“ ganz nach oben und wies noch dazu auf die angeblich zeitkritische Transaktion hin, da die Rückerstattung wartete.
Zeier prüfte dieselbe E-Mail am Gmail-Account ohne Erfolg (etwa Einstufung als Spam), befragte Google‘s KI „Gemini“ und erhielt eine Zusammenfassung des Inhalts mit Hinweis, die E-Mail sei vertraulich und ein Link zur Abbestellung vorhanden (bei Phishing-Mails eher nicht empfehlenswert).
Woran erkennt man Phishing?
Eines oder mehrere der folgenden Merkmalen sind relativ leicht in der E-Mail zu sehen:
- ein Link führt zu einer unbekannten Domain (z.B. „erste.3bank.org“ statt „sparkasse.at“)
- eine E-Mailadresse wirkt seltsam wegen des Namens oder der Domain
- Zeitdruck wird aufgebaut, da z.B. eine Überweisung dringend durchgeführt werden muss
- die Wortwahl passt nicht zum Inhalt (eigentümliches Vokabular etc.)
Früher waren noch Probleme mit Sonderzeichen auffällig, heute sind Phishing-Mails schon so professionell erstellt, dass sie ohne nähere Prüfung seriös wirken. Die Künstliche Intelligenz wird offenbar von Kriminellen erfolgreicher eingesetzt als auf der Empfängerseite, die gut gemachte Phishing-Mails noch priorisiert, statt sie in den Spam-Ordner zu werfen.
Was ist aus dem Fall zu lernen?
Die KI ist nicht überall sinnvoll einsetzbar und keinesfalls ein verlässlicher Partner in Bereichen, wo es gefährlich werden kann. Beim Thema Phishing sollte man jedenfalls immer selbst genau prüfen, wo man tatsächlich hinklickt - ein falscher Klick kann fatal enden.