WormGPT ist ein unkontrolliertes Large Language Model, das gezielt für Cyberkriminelle entwickelt wurde. Es erstellt täuschend echte Phishing-Mails ohne Sicherheitsgrenzen – und verzeichnet laut SlashNext einen Anstieg von 340% bei KI-generierten Phishing-Angriffen.
Was ist WormGPT?
WormGPT ist ein Large Language Model (LLM), das auf Basis von Open-Source-Modellen entwickelt und speziell auf schädliche Inhalte trainiert wurde. Anders als kommerzielle Modelle wie ChatGPT oder Claude verfügt WormGPT über keinerlei Sicherheitsmechanismen, Inhaltsfilter oder ethische Leitlinien. Es wurde erstmals im Juli 2023 im Darknet-Forum "hackforums" angeboten und richtete sich explizit an Cyberkriminelle.
Das Modell basiert nach Angaben seines Erstellers auf dem Open-Source-Modell GPT-J von EleutherAI, wurde jedoch mit Datensätzen aus dem Bereich Malware, Exploits und Phishing-Korrespondenz nachtrainiert. Das Ergebnis: Ein Sprachmodell, das auf Anfrage professionell formulierte Betrugs-E-Mails, Business Email Compromise (BEC)-Angriffe und Schadcode erstellt, ohne die Anfrage zu verweigern.
WormGPT ist nicht das einzige Modell seiner Art. Nachfolger wie FraudGPT, DarkBERT und EscapeGPT folgen demselben Prinzip. Sie werden im Darknet als Abonnement-Dienst angeboten, oft für 60 bis 200 US-Dollar pro Monat.
Wie funktioniert WormGPT bei Phishing-Angriffen?
Der Einsatz von WormGPT in Phishing-Kampagnen folgt einem strukturierten Ablauf, der traditionelle, manuell erstellte Phishing-Mails in mehrfacher Hinsicht übertrifft.
Schritt 1: Zielgerichtete Personalisierung
Angreifer füttern WormGPT mit öffentlich verfügbaren Informationen über das Opfer: LinkedIn-Profile, Unternehmenswebseiten, Pressemitteilungen, E-Mail-Signaturen. Das Modell generiert daraus eine E-Mail, die spezifisch auf die Rolle, den Arbeitgeber und aktuelle Ereignisse im Leben des Opfers zugeschnitten ist.
Schritt 2: Fehlerfreie Sprache in jeder Sprache
Klassische Phishing-Mails sind oft durch schlechte Grammatik erkennbar. WormGPT erstellt fehlerfreie, stilistisch konsistente Texte in Deutsch, Englisch, Französisch und zahlreichen anderen Sprachen. Das Sicherheitsmerkmal "schlechtes Deutsch" entfällt vollständig.
Schritt 3: Business Email Compromise (BEC)
WormGPT wurde in einer Analyse der Sicherheitsfirma SlashNext speziell auf BEC-Angriffe getestet. Das Ergebnis waren E-Mails, die vorgeben, von Vorgesetzten oder Geschäftspartnern zu stammen, und Mitarbeiter zur dringenden Überweisung von Geldbeträgen oder zur Weitergabe von Zugangsdaten auffordern. Die generierten Texte waren laut SlashNext "besorgniserregend effektiv".
Warum ist WormGPT gefährlicher als traditionelles Phishing?
Laut dem SlashNext State of Phishing Report 2023 verzeichnete die Sicherheitsbranche seit der Verfügbarkeit von WormGPT und ähnlichen Tools einen Anstieg von 340% bei KI-generierten Phishing-Angriffen. Dieser Anstieg erklärt sich durch mehrere strukturelle Vorteile, die KI-gestütztes Phishing gegenüber traditionellen Methoden besitzt.
- Skalierbarkeit: Ein einzelner Angreifer kann mit WormGPT innerhalb von Minuten Tausende individualisierter Phishing-Mails erstellen, die früher einen ganzen Tag manuelle Arbeit erfordert hätten.
- Niedrige Einstiegshürde: Technisches Wissen ist kaum erforderlich. WormGPT wird mit einfachen Textprompts gesteuert, ähnlich wie ein normaler Chatbot.
- Überwindung klassischer Erkennungsmuster: Spam-Filter und E-Mail-Security-Lösungen sind auf statistische Muster in Phishing-Mails trainiert. KI-generierte Texte weichen von diesen Mustern ab und umgehen Filter häufiger.
- Kombinierbarkeit mit anderen Tools: WormGPT wird oft in Kombination mit OSINT-Tools, geleakten Datenbankdumps und automatisierten Versandinfrastrukturen genutzt, was vollautomatisierte Angriffskampagnen ermöglicht.
Proofpoint berichtet in seinem Human Factor Report 2023, dass BEC-Angriffe bereits vor der KI-Welle jährlich Schäden von über 50 Milliarden US-Dollar verursacht haben. Die Verfügbarkeit von WormGPT beschleunigt diesen Trend erheblich.
Wie erkennt man KI-generierte Phishing-Mails?
Die klassischen Erkennungsmerkmale für Phishing – Rechtschreibfehler, unpersönliche Anrede, generische Inhalte – greifen bei WormGPT-Mails nicht mehr zuverlässig. Dennoch gibt es Hinweise, auf die Empfänger achten können.
Inhaltliche Warnsignale
- Ungewöhnliche Dringlichkeit: "Sofortige Überweisung erforderlich", "Handeln Sie innerhalb von 2 Stunden"
- Aufforderungen, normale Prozesse zu umgehen ("Bitte senden Sie direkt an mich, nicht über das System")
- Anfragen, die von der normalen Kommunikationsstruktur abweichen (CEO schreibt plötzlich direkt an Buchhalter)
- Links zu Domains, die der echten Unternehmensadresse ähneln, aber leicht abweichen (z.B. company-de.com statt company.com)
Technische Prüfmethoden
- E-Mail-Header analysieren: Stimmt die Absenderadresse mit dem angezeigten Namen überein?
- DMARC, DKIM und SPF-Prüfung: Wurde die E-Mail tatsächlich vom angegebenen Server gesendet?
- Links vor dem Klicken per Hover oder separatem Sicherheitstool überprüfen
- Verifizierung über alternativen Kanal: Den angeblichen Absender per Telefon oder persönlich bestätigen
Schutzmaßnahmen für Unternehmen und Privatpersonen
Angesichts der verbesserten Qualität von KI-Phishing müssen Schutzmaßnahmen über reine Erkennungslogik hinausgehen.
- Multi-Faktor-Authentifizierung (MFA): Selbst wenn Zugangsdaten durch Phishing erbeutet werden, verhindert MFA den Zugriff auf Konten. CISA empfiehlt MFA als Basisschutz für alle Organisationen.
- Security Awareness Training: Mitarbeiter müssen regelmäßig auf aktuelle Phishing-Methoden geschult werden. Simulierte Phishing-Tests erhöhen die Erkennungsrate nachweislich.
- E-Mail-Security-Gateway: Lösungen wie Proofpoint, Mimecast oder Microsoft Defender for Office 365 analysieren eingehende Mails auf verdächtige Muster, auch bei KI-generierten Texten.
- Zero-Trust-Prinzip bei Überweisungen: Jede Zahlungsanforderung per E-Mail muss durch einen zweiten, unabhängigen Kanal bestätigt werden, unabhängig vom angeblichen Absender.
- DMARC-Richtlinien: Unternehmen sollten DMARC auf "reject" setzen, um zu verhindern, dass ihre Domain für gefälschte Absenderadressen missbraucht wird.
- Incident Response Plan: Im Falle eines erfolgreichen Angriffs muss ein klarer Prozess für Sofortmaßnahmen, Meldepflichten und Kommunikation vorhanden sein.
"Die Frage ist nicht mehr ob KI-gestütztes Phishing Ihre Organisation trifft, sondern wann. Die Vorbereitung entscheidet über den Schaden." – CISA Cybersecurity Advisory, 2023
Häufige Fragen
Ist WormGPT noch aktiv verfügbar?
Der ursprüngliche Entwickler von WormGPT hat den Dienst im August 2023 eingestellt, jedoch sind zahlreiche Nachfolgemodelle wie FraudGPT, DarkBERT und weitere im Darknet weiterhin aktiv und werden als Abonnement-Dienst angeboten. Die Verfügbarkeit dieser Tools ist dauerhaft und nimmt zu.
Wie unterscheidet sich WormGPT von ChatGPT?
ChatGPT und vergleichbare kommerzielle Modelle verfügen über umfangreiche Sicherheitsmechanismen und Inhaltsfilter, die das Erstellen von Phishing-Mails oder Schadcode verhindern. WormGPT wurde gezielt ohne diese Filter trainiert und verweigert keine schädlichen Anfragen. Es ist außerdem auf Malware-Datensätze spezialisiert, was seine Ausgaben in diesem Bereich effektiver macht.
Kann ein Anti-Spam-Filter KI-generierte Phishing-Mails erkennen?
Klassische regelbasierte Spam-Filter versagen häufig bei KI-generierten Mails, da diese keine typischen Phishing-Muster wie Rechtschreibfehler oder bekannte Absender-Blacklists aufweisen. Moderne KI-gestützte E-Mail-Security-Lösungen mit verhaltensbasierter Analyse sind deutlich effektiver, bieten aber ebenfalls keinen vollständigen Schutz. Die menschliche Überprüfung bleibt unverzichtbar.
Was sollte ich tun, wenn ich eine verdächtige E-Mail erhalte?
Klicken Sie auf keine Links und öffnen Sie keine Anhänge. Verifizieren Sie den angeblichen Absender über einen unabhängigen Kanal (Telefon, persönlicher Kontakt). Melden Sie die E-Mail Ihrer IT-Abteilung oder Ihrem E-Mail-Anbieter. Im Zweifelsfall gilt: Lieber einmal zu viel nachfragen als einmal zu wenig.
Sind kleine Unternehmen auch Ziele von WormGPT-Phishing?
Ja, Cyberkriminelle nutzen KI-Tools wie WormGPT explizit, um Angriffe zu skalieren und auch kleinere Unternehmen anzugreifen, die bislang aufgrund des manuellen Aufwands für Einzelangriffe uninteressant waren. Die niedrigen Kosten und hohe Automatisierung machen es wirtschaftlich, auch Unternehmen mit wenigen Mitarbeitern gezielt anzugreifen.