Group-IB identifizierte im letzten Jahr 101.134 mit Stealern infizierte Geräte mit gespeicherten ChatGPT-Zugangsdaten. Ein unbefugter Zugriff auf ChatGPT-Konten kann demnach vertrauliche oder sensible Informationen zugänglich machen, die für gezielte Angriffe gegen Unternehmen und Mitarbeitende ausgenutzt werden können.

Die wachsende Beliebtheit des KI-gesteuerten Chatbots zeigt sich in der von Group-IBs Threat-Intelligence-Team im letzten Jahr beobachteten fortdauernden Zunahme von kompromittierten ChatGPT-Konten. Laut den neuesten Erkenntnissen von Group-IB geniessen ChatGPT-Kontendaten eine bereits erhebliche Beliebtheit in den Untergrund-Communitys.

Die Threat-Intelligence-Plattform von Group-IB enthält die größte Sammlung von Dark-Web-Daten der Branche. Sie überwacht in Echtzeit kriminelle Foren, Marktplätze und geschlossene Communitys, um kompromittierte Zugangsdaten, gestohlene Kreditkarten, frische Malware-Samples, Zugänge zu Unternehmensnetzwerken sowie andere wichtige Informationen zu identifizieren.

Das soll es Firmen ermöglichen, Cyberrisiken zu erkennen und zu entschärfen, bevor weiterer Schaden entsteht. Die Analyse der Untergrund-Marktplätze ergab, dass die Mehrheit der mit ChatGPT-Konten versehenen Logs von dem berüchtigten Info-Stealer Raccoon erbeutet wurden.

Info-Stealer sind eine Art von Malware, die gespeicherte Anmeldeinformationen, Bankkartendaten, Krypto-Wallet-Details, Cookies, Navigationsverlauf uvm. aus auf infizierten Computern installierten Browsern sammelt und an den Malware-Betreiber übermittelt. Die Stealer können auch Daten aus Instant-Messengern und E-Mails sammeln, zusammen mit detaillierten Informationen über das Gerät des Opfers. Dabei arbeiten Stealer nicht selektiv.

Diese Malware infiziert mittels Phishings oder anderer Methoden so viele Computer wie möglich, um so viele Daten wie möglich zusammenzutragen. Aufgrund ihrer Einfachheit und Effektivität sind Info-Stealer mittlerweile zu einer bedeutenden Quelle von kompromittierten persönlichen Daten geworden.

Logs, die von Info-Stealern erbeutete Informationen enthalten, werden aktiv auf Dark-Web-Marktplätzen gehandelt. Darüber hinaus umfassen die auf solchen Märkten verfügbaren Logs zusätzliche Details wie die Liste der gespeicherten Domains und Informationen zur IP-Adresse des infizierten Hosts.

Bei der Analyse dieser Informationen hat die Threat-Intelligence-Einheit von Group-IB die Länder und Regionen mit der höchsten Konzentration von mit Stealern infizierten Geräten mit gespeicherten ChatGPT-Zugangsdaten identifiziert.

Die Region Asien-Pazifik verzeichnete zwischen Juni 2022 und Mai 2023 die größte Anzahl an mit Info-Stealern behafteten Hosts, deren Logs die Daten von ChatGPT-Konten enthalten (40,5 % des Gesamtvorkommens). Mit 1.513 durch Stealer kompromittierten Geräten mit ChatGPT-Zugangsdaten ist Deutschland in Europa nach Frankreich (2.923) und Spanien (1.723) Dritter in der Rangliste. Italien folgt mit 1416 Einträgen.

„Viele Unternehmen integrieren ChatGPT bereits in ihre Betriebsabläufe. Mitarbeitende nutzen den Bot, um ihre vertrauliche Korrespondenz oder proprietären Code zu optimieren. “, sagt Camill Cebulla, European Sales Director bei Group-IB.

„Angesichts der Tatsache, dass ChatGPT in seiner Standardkonfiguration alle Konversationen speichert, liefern Angestellte somit Angreifern unbeabsichtigt eine Fülle an sensiblen Informationen, sollten diese Zugriff auf die Zugangsdaten erhalten. Bei Group-IB überwachen wir kontinuierlich Untergrund-Communitys, um solche Gefahren rechtzeitig zu erkennen.“

Um die mit kompromittierten ChatGPT-Konten verbundenen Risiken zu mindern, empfiehlt Group-IB Anwendern, ihre Passwörter regelmäßig zu aktualisieren und die Zwei-Faktor-Authentifizierung zu implementieren. Durch die Aktivierung der 2FA müssen Benutzer einen zusätzlichen Bestätigungscode eingeben, der in der Regel an ihre mobilen Geräte übermittelt wird, bevor sie auf ihre ChatGPT-Konten zugreifen können.

Der Einblick in die Communitys des Dark Webs ermöglicht es Unternehmen, festzustellen, ob ihre sensiblen Daten oder Kundendaten durchgesickert sind oder verkauft werden. Die Threat Intelligence in Echtzeit erlaubt es ihnen, proaktiv Maßnahmen zu ergreifen, um die Auswirkungen zu minimieren, betroffene Personen zu benachrichtigen und ihr Sicherheitsverhalten zu verbessern, um weiteren Schaden zu verhindern.

Dadurch können Firmen zum besseren Verständnis der Bedrohungslage ihre Ressourcen proaktiv schützen und fundierte Entscheidungen treffen, um ihre allgemeine Cybersicherheitsposition zu stärken.