Nächste Generation KI-gestützter Phishing-Tools

Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Im Dark Web ist ein neues Werkzeug aufgetaucht, das Cyberkriminellen in die Hände spielt: SpamGPT. Forscher von Varonis haben sich die Plattform genauer angesehen – und die Ergebnisse sind alarmierend.

Während klassische Phishing-Kits bisher nur Teile eines Angriffs automatisieren konnten, geht SpamGPT deutlich weiter. Es kombiniert generative KI mit einem kompletten Werkzeugkasten für professionelle Spam- und Phishing-Kampagnen. Ziel: groß angelegte Angriffe steuern, Spamfilter umgehen und E-Mail-Server kompromittieren. Im Dark Web wird SpamGPT bereits als „All-in-One-Spam-as-a-Service-Plattform“ beworben. Und das nicht ohne Grund: Die Software bringt ein Dashboard mit, das wie ein Marketingassistent für Kriminelle funktioniert. Angreifer können Kampagnen planen, verwalten und optimieren. Module für SMTP- und IMAP-Einrichtung, Zustellbarkeits-Tests und Analysefunktionen zeigen, ob ihre Nachrichten im Posteingang oder im Spamordner landen. Die Hürden für erfolgreiche Angriffe sinken damit drastisch – SpamGPT verspricht sogar Zustellungen in die Posteingänge von Gmail, Outlook, Yahoo und Microsoft 365.

Besonders brisant: Für Phishing und Spear-Phishing ist die Plattform bestens ausgestattet. Mit dem integrierten „KaliGPT“ lassen sich automatisch täuschend echte Vorlagen erstellen – Betreffzeilen inklusive. Die KI optimiert vorhandene Texte, schlägt passende Anspracheformen vor und passt Inhalte sogar gezielt auf einzelne Gruppen oder Personen an. Das bedeutet: Angreifer müssen keine E-Mails mehr selbst schreiben, der Arbeitsaufwand sinkt erheblich, während die Erfolgswahrscheinlichkeit steigt.

Wie sich Unternehmen schützen können

Die Varonis-Forscher raten dringend, die eigene E-Mail-Sicherheit zu verstärken – unter anderem mit starker Authentifizierung (DMARC, SPF, DKIM) und modernen, KI-gestützten Sicherheitslösungen, die KI-generierte Inhalte erkennen können. Doch Technik allein reicht nicht.

Ein entscheidender Faktor bleibt der Mensch. Mitarbeiterinnen und Mitarbeiter müssen sensibilisiert und trainiert werden, um Phishing-Angriffe frühzeitig zu erkennen. Hier kommt modernes Human Risk Management ins Spiel: personalisierte Trainings, kontinuierliche Tests und Schulungen, die heute ebenfalls KI-unterstützt ablaufen können.

Zusätzlich setzen moderne Anti-Phishing-Technologien auf eine Kombination aus KI und Crowdsourcing, um neue Bedrohungen schnell aufzuspüren und abzuwehren. Unternehmen, die ihre Belegschaft so einbeziehen, reduzieren nicht nur ihr Risiko, sondern verwandeln ihre Mitarbeiter in eine aktive Verteidigungslinie gegen Cyberkriminalität.