Sadi-Santos – shutterstock.com
Google Gemini für Workspace kann missbraucht werden, um E-Mail-Zusammenfassungen zu generieren, die legitim erscheinen, aber bösartige Anweisungen oder Warnungen enthalten. Das Problem: Angreifer können ohne Anhänge oder direkte Links ihre Opfer auf Phishing-Sites umleiten. Die Sicherheitslücke wurde von einem Forscher namens Marco Figueroa entdeckt, der der für Mozillas GenAI-Bug-Bounty-Programm Odin tätig ist.
Obwohl im Jahr 2024 bereits ähnliche indirekte Prompt-Angriffe auf Gemini gemeldet und Sicherheitsmaßnahmen getroffen wurden, ist die Technik dem Experten zufolge auch heute noch praktikabel.
So funktioniert der Angriff
In seinem Blog-Beitrag zeigt Figueroa auf, wie eine E-Mail mit manipuliertem HTML/CSS im Text eine unsichtbare Anweisung für Gemini erstellt. Klickt der Empfänger auf „Diese E-Mail zusammenfassen“, befolgt das KI-Tool die versteckte Aufforderung und fügt eine täuschend echt wirkende Phishing-Warnung im Stil von Google hinzu.
Vertraut das Opfer der von der KI generierten Benachrichtigung und befolgt die Anweisungen des Angreifers, führt dies zu geleakten Anmeldeinformationen oder zu einem telefonbasierten Social-Engineering-Angriff.
„Aktuelle LLM-Leitplanken konzentrieren sich weitgehend auf für den Benutzer sichtbaren Text. HTML/CSS-Tricks, etwaNull-Schrift, weiße Schrift oder Off-Screen, umgehen diese Heuristik, da das Modell weiterhin die Rohmarkierung erhält“, erklärt Figueroa.
Um solche Angriffe zu verhindern, rät der Forscher Sicherheitsteams, verschiedene Erkennungs- und Abwehrmethoden zu befolgen. Eine Möglichkeit besteht demnach darin, Inhalte zu entfernen, zu neutralisieren oder zu ignorieren, die so gestaltet sind, dass sie im Fließtext verborgen sind.
Alternativ wird empfohlen, einen Nachbearbeitungsfilter zu implementieren, der die Gemini-Ausgabe nach dringenden Nachrichten, URLs oder Telefonnummern durchsucht und die Nachricht zur weiteren Überprüfung kennzeichnet.
No Responses