Nicht alle FBI-Ratschläge sind gültig und einige können gefährlich sein
Zu warnen, dass das Federal Bureau of Investigation Unrecht hat, sogar sehr Unrecht, wenn es um Empfehlungen zur Schadensbegrenzung für Menschen geht, die Opfer von E-Mail-Phishing-Betrügereien werden könnten, war nicht das, was ich heute tun würde, aber hier sind wir. Google hat Gmail-Nutzer bereits vor einer zweiten Welle von Betrugsangriffen gewarntin dem drei besonders verbreitete Angriffsmethoden hervorgehoben werden, und die angebotenen Ratschläge zur Schadensbegrenzung sind überwiegend fundiert und sinnvoll. Das FBI hat jedoch auch vor saisonalen Phishing-Betrügereien gewarnt, und einige der Ratschläge zur Schadensbegrenzung sind nach Ansicht vieler Sicherheitsexperten tatsächlich völlig falsch. Folgendes müssen Sie wissen:
Wo die Ratschläge des FBI zur Phishing-Eindämmung schiefgehen
Das FBI hat kürzlich herausgegeben eine erneute Warnung vor den Gefahren saisonaler Phishing-Angriffe gegen Gmail-, Outlook- und Apple Mail-Benutzer. Die zur Schadensbegrenzung angebotenen Ratschläge waren größtenteils solide genug. Überprüfen Sie Website-Adressen, bevor Sie sie besuchenSeien Sie vorsichtig bei Angeboten, die zu schön sind, um wahr zu sein, und verwenden Sie sichere Zahlungsmethoden. Sicher, die Verwendung von Link-Hovering-Angriffe hat den Ratschlag zur URL-Prüfung ein wenig verkompliziert, bleibt aber dennoch sinnvoll.
Weniger zutreffend ist jedoch ein Ratschlag, der vom FBI immer noch als irgendwie relevant angepriesen wird, während das Jahr 2024 in das Jahr 2025 übergeht: Überprüfen Sie die in der Korrespondenz verwendete Rechtschreibung. Während dies im Zusammenhang mit URLs relevant ist, die alternative Schreibweisen und Zeichensätze verwenden, um das Auge zu täuschen, befürchte ich, dass Sie sich bei der E-Mail selbst nicht mehr darauf verlassen können, dass die Angreifer Rechtschreibfehler machen oder werden schlampig mit ihrer grammatikalischen Korrektheit in der verwendeten Sprache. Es ist natürlich möglich, dass es sich hierbei nur um mangelnde Kommunikationsfähigkeiten des FBI selbst handelt, und es handelt sich tatsächlich nur um Rechtschreibfehler in Links. Allerdings ist es für mich und, wie ich vermute, auch für viele andere nicht so, insbesondere für diejenigen, die das eigentliche Ziel sind, die nicht technikbegeisterte Öffentlichkeit, die am stärksten gefährdet ist.
Was das FBI hätte sagen sollen
Hier ist die Sache: Ich bin tatsächlich ein großer Fan, wenn das das richtige Wort ist, von öffentlichen Bekanntmachungen und Warnungen des FBI, da sie in der Regel zu 100 % genau richtig sind, wenn es darum geht, die Öffentlichkeit auf Sicherheitsprobleme aufmerksam zu machen und diese zu entschärfen. Nehmen Sie die aktuelle Geschichte über den zunehmenden Einsatz von KI-generierten Phishing-Angriffen gegen Smartphone-Benutzer und der Rat, aufzulegen und ein geheimes Wort zu bildenZum Beispiel. Der Bekanntmachung des öffentlichen Dienstes des FBI zum Einsatz von KI bestätigte sogar, dass „Kriminelle generative KI-Tools verwenden, um bei Sprachübersetzungen zu helfen, um Grammatik- oder Rechtschreibfehler für ausländische kriminelle Akteure, die es auf US-Opfer abgesehen haben, zu begrenzen.“
Callie Guenther, Senior Manager für Cyber-Bedrohungsforschung beim Erkennungs- und Reaktionsanbieter Critical Start, bezog sich auf aktuelle Berichte, die auf einen massiven Anstieg von Credential-Phishing-E-Mail-Angriffen hindeuten, und sagte, dass der Anstieg „mit dem erweiterten Einsatz generativer KI zusammenhängt, die es Angreifern ermöglicht, natürliche Angriffe durchzuführen.“ -Sprach-Phishing-Inhalte in großem Maßstab, lokalisieren Sie Kampagnen in mehreren Sprachen und automatisieren Sie eine umfassende Personalisierung.“
Was das FBI sagen sollte, ist das, was es in der anderen PSA gesagt hat, dass generative KI jetzt so weit ist, dass sie gut genug und billig genug ist, damit Kriminelle damit Phishing-E-Mails ohne Rechtschreibfehler und grammatikalisch korrekte E-Mails erstellen können Verlassen Sie sich also nicht auf den alten Ratschlag „Fehler prüfen“, wenn es um Schadensbegrenzung geht.
Ich habe das FBI um eine Antwort gebeten.
