Trotz fortschrittlicher kommerzieller Lösungen und gezielter Nutzerschulungen zur Erkennung von Phishing-Merkmalen wie Dringlichkeit, ungewöhnlichen Anreden oder inkonsistenten E-Mail-Adressen bleiben Social-Engineering-Angriffe per E-Mail eine beständige Bedrohung. Das Problem: Die Last der Erkennung von Phishing-Versuchen liegt oft bei den Nutzern, die im Alltag E-Mails prüfen – ein Vorgang, der fehleranfällig ist.
Forscher des „Information Sciences Institute, Los Angeles, USA“ haben nun einen neuen Ansatz vorgestellt, der Künstliche Intelligenz, speziell Techniken des maschinellen Lernens und der Verarbeitung natürlicher Sprache (NLP), nutzt, um Nutzer beim Erkennen von Phishing-Angriffen zu unterstützen.
Neue Indikatoren für Phishing-Attacken:
Im Rahmen dieser Forschung wurde ein Korpus von 940 E-Mails erstellt und mit 32 verschiedenen, teils neuen Labels für schwache, erklärungsbedürftige Phishing-Indikatoren (WEPI) versehen. Diese WEPIs umfassen sowohl Inhalte, die typisch für Phishing sein könnten (wie Dringlichkeit und ungewöhnliche Anfragen), als auch nachprüfbare Unstimmigkeiten zwischen behaupteten Identitäten oder Informationen und Metadaten oder öffentlich zugänglichen Fakten.
Automatisierte Erkennung von Phishing-Indikatoren:
Die Annotation des E-Mail-Korpus wurde von bezahlten Studenten und den Autoren der Studie durchgeführt, die spezifischen Richtlinien folgten und ihre Arbeit iterativ verbesserten, bis eine hohe Übereinstimmung zwischen den Annotatoren erreicht wurde. Die Leistungsfähigkeit von vortrainierten Sprachmodellen wie BERT und RoBERTa auf diesen 32 WEPI-Labels über verschiedene linguistische Bereiche (Wörter, Sätze, Nachrichten) hinweg diente als Basislinie.
Das Ziel dieses Ansatzes ist es nicht, den menschlichen Faktor komplett zu automatisieren, sondern menschliche Wachsamkeit durch maschinelle Vorhersagen über interpretierbare Indikatoren zu ergänzen, die Nutzern helfen, aufmerksamer zu sein und die kognitive Belastung zu verringern.
Schulung und Weiterbildung:
Diese Arbeit schlägt vor, Lehrpläne für Anti-Phishing-Schulungen sowohl für Menschen als auch für Maschinen zu modifizieren, indem eine Reihe von schwachen, erklärungsbedürftigen Phishing-Indikatoren definiert wird, die aus der Analyse von Anti-Phishing-Empfehlungen und bösartigen E-Mails abgeleitet sind.
Die Forscher präsentieren einen annotierten Datensatz und trainierte Modelle zur Identifizierung von Phishing-E-Mail-Indikatoren. Diese Studie zeigt die Vorteile des Einsatzes von Modellen zum Verständnis natürlicher Sprache bei der Erkennung von Phishing-E-Mails und unterstützt die Entwicklung eines Lehrplans zur Identifizierung von Phishing-E-Mails.