Einundachtzig Prozent der kleinen Unternehmen waren im vergangenen Jahr von einer Sicherheits- oder Datenverletzung betroffen, und 38 % dieser Unternehmen mussten infolgedessen ihre Preise erhöhen, so ein Bericht des Identity Theft Resource Center (ITRC).
Der Bericht stellt fest, dass externe Hacker die böswilligen Insider als häufigste Ursache für diese Vorfälle überholt haben. Dieser Trend wird teilweise durch KI-gestützte Social Engineering Angriffe, die von mehr als 41 % der Opfer als Hauptursache genannt wurden.
„Das Auftauchen von KI als primärer Angriffsvektor steht im Einklang mit umfangreichen Branchenanalysen über die Bewaffnung mit generativer KI zur Schaffung hyperrealistischer Phishing Emails, gefälschte Audio- und Videodateien und adaptive Malware“, heißt es in dem Bericht.
„Diese Tools demokratisieren fortschrittliche Angriffsmöglichkeiten, die früher nur hochqualifizierten Akteuren vorbehalten waren. Der Hauptvorteil von böswilligen Insidern bestand schon immer darin, dass sie interne Prozesse, Kommunikationsstile und Organisationshierarchien genau kennen und so die Abwehrmaßnahmen durch Vertrauen und Vertrautheit umgehen können. KI-Tools ermöglichen es nun externen Akteuren, diesen Vorteil in großem Maßstab zu reproduzieren.“
Die Nutzer sollten sich dieses Trends bewusst sein, da viele rote Fähnchen, die mit Social Engineering in Verbindung gebracht werden, wie z. B. Tippfehler oder seltsame Grammatik, nicht mehr vorhanden sein werden.
„Die Sicherheitsschulung der Mitarbeiter muss aktualisiert werden, um diesen neuen Bedrohungen zu begegnen“, heißt es in dem Bericht. „Die Mitarbeiter sollten über die verräterischen Anzeichen von KI-generierten Inhalten geschult werden, wie z. B. subtile visuelle Artefakte in Deepfake-Videos, das Fehlen von emotionalen Nuancen in einer geklonten Stimme oder die unnatürlich perfekte Grammatik einer von KI erstellten E-Mail. Die Förderung einer Kultur der gesunden Skepsis, in der sich die Mitarbeiter ermächtigt fühlen, ungewöhnliche oder dringende Anfragen zu hinterfragen und zu überprüfen, ist von entscheidender Bedeutung.“
Schulungen zum Sicherheitsbewusstsein mit realistischen Phishing-Simulationen kann den Mitarbeitern helfen, wachsam zu sein, auch wenn sie beschäftigt sind. Wenn die Mitarbeiter wissen, dass sie simulierte Phishing-E-Mails erhalten werden, werden sie die echten eher erkennen.
Das Infosecurity Magazine hat die story.