Deepfake Phishing - Gefahren erkennen und gegensteuern
Social Engineering ist so alt wie die Menschheit – und funktioniert immer noch erschreckend gut: Ein solcher Angriff basiert darauf, Vertrauen zu erschleichen und das Opfer dazu zu bringen, Dinge zu tun, die es eigentlich nicht tun sollte: Zum Beispiel Passwörter oder andere sensible Informationen preiszugeben. Immer häufiger setzen Angreifer dabei auf sogenannte Deepfakes. Bei Deepfakes handelt es sich um manipulierte Videos, Bilder oder Audioaufnahmen, bei denen künstliche Intelligenz und maschinelles Lernen zum Einsatz kommen, um das Gesicht oder die Stimme einer Person in eine andere Szene zu integrieren. Mit dieser Technologie lassen sich täuschend echte, von realen Inhalten kaum zu unterscheidende Fälschungen erstellen. So stehen Angreifern nicht mehr nur manipulative E-Mails für Täuschungsmanöver zur Verfügung, sondern sie können beispielsweise ein Telefonat arrangieren, bei dem sich der Anrufer durch frei im Internet verfügbare KI-Technologie wie der Chef des anzugreifenden Unternehmens anhört.
Bessere Deepfakes - erhöhtes Manipulationsrisiko
Die dafür notwendige Technik, die auf komplexen Algorithmen des maschinellen Lernens basiert, hat sich in den letzten Jahren rasant weiterentwickelt. Dementsprechend tauchen immer mehr solch ausgeklügelter Deepfakes auf. Einige kommen bei Online-Betrug zum Einsatz, andere als „Fake News”. Vor allem Politiker gehören zu den Opfern, wie etwa Joao Doria, der Gouverneur des brasilianischen Bundesstaates São Paulo. 2018 tauchte ein Video auf, das ihn bei einer angeblichen Sexorgie zeigte. Erst später stellte sich heraus, dass es sich um eine Fälschung handelte. Denunziation ist eine Gefahr, gezielte Desinformation eine andere. Fake News sind schon heute vor Wahlen an der Tagesordnung, auch gefälschte Nachrichtenvideos tauchen immer häufiger auf und finden online schnell weiter Verbreitung. Schon heute ist es möglich, Politikern Worte in den Mund zu legen, die sie nie gesagt haben. Früher waren manipulierte Clips mit einem prüfenden Blick leicht zu erkennen. Inzwischen müssen selbst Experten mindestens zweimal hinschauen.
Angriffsrate auf Unternehmen steigt
Deepfake-Technologie birgt eine Reihe von IT-Risiken für Unternehmen. Beim Deepfake-Phishing versuchen Cyber-Kriminelle beispielsweise, Opfer mit Hilfe von Deepfake-Inhalten dazu zu bringen, unberechtigte Zahlungen zu leisten oder sensible Informationen preiszugeben. Wie das funktioniert, zeigt ein aktueller Fall aus Hongkong: Nach Polizeiangaben überwies ein Finanzangestellter eines multinationalen Unternehmens 25 Millionen Dollar an Betrüger, die sich in einer Videokonferenz erfolgreich als Finanzchef des Unternehmens ausgaben. “In der Videokonferenz mit mehreren Personen stellte sich heraus, dass alle anwesenden Personen falsch waren”, so Hauptkommissar Baron Chan Shun-ching. Der Angestellte vermutete zwar zunächst, dass es sich bei der Einladung zu der Videokonferenz um eine Phishing-E-Mail handelte. Während des Videoanrufs legte der Mitarbeiter jedoch seine Zweifel beiseite, da die anderen Teilnehmer genauso aussahen und klangen wie seine Kollegen. Im Glauben, dass alle anderen Gesprächsteilnehmer echt seien, willigte der Arbeiter ein, insgesamt 200 Millionen Hongkong-Dollar zu überweisen – das entspricht rund 25,6 Millionen US-Dollar. Dies ist nur einer von vielen Fällen, in denen Betrüger mit Hilfe von Deepfakes öffentlich zugängliches Video- und anderes Filmmaterial manipulierten, um Unternehmen um ihr Geld zu bringen.
Wie gut Deepfake-Videos inzwischen aussehen, zeigt dieses Beispiel: https://www.youtube.com/watch?v=WFc6t-c892A
Zwei Arten von Deepfake-Phishing-Angriffen
Solche Deepfake Phishing-Kampagnen treten effektiver und häufiger auf, je weiter die KI-Technologie voranschreitet. CISOs sind gut beraten, ihre Mitarbeitenden auf die Abwehr solcher Angriffe vorzubereiten. Eine Möglichkeit besteht darin, ihnen zu erklären, was Deepfake Phishing ist und wie es funktioniert. Im Wesentlichen gibt es zwei Arten von Deepfake Phishing-Angriffen:
- Echtzeit-Angriffe: Bei einem erfolgreichen Echtzeit-Angriff sind die gefälschten Audio- oder Videodaten so ausgeklügelt, dass das Opfer glaubt, die Person am Telefon oder in einer Videokonferenz sei diejenige, für die sie sich ausgibt, zum Beispiel ein Kollege oder ein Kunde. Bei diesen Interaktionen erzeugen die Angreifer oft ein starkes Gefühl der Dringlichkeit, indem sie den Opfern imaginäre Fristen, Strafen und andere Konsequenzen für Verzögerungen vorgaukeln, um sie unter Druck zu setzen und zu unüberlegten Reaktionen zu bewegen.
- Nicht-Echtzeit-Angriffe: Bei Nicht-Echtzeit-Angriffen geben sich Cyber-Kriminelle durch gefälschte Audio- oder Videobotschaften als eine andere Person aus, in deren Namen sie dann über asynchrone Kommunikationskanäle wie Chat, E-Mail, Voicemail oder soziale Medien gefälschte Anweisungen verbreiten. Diese Art der Kommunikation verringert den Druck auf die Kriminellen, in Echtzeit glaubwürdig zu reagieren. Gleichzeitig ermöglicht es ihnen, Deepfake-Clips vor der Verbreitung zu perfektionieren. Daher kann ein Angriff, der nicht in Echtzeit erfolgt, sehr ausgeklügelt sein und bei den Opfern weniger Verdacht erregen.
Im Vergleich zu textbasierten Phishing-Kampagnen haben per E-Mail verschickte Deepfake-Video- oder Audio-Clips zudem eine höhere Chance, Sicherheitsfilter zu passieren. Angriffe, die nicht in Echtzeit erfolgen, ermöglichen es Angreifern zudem, deren Reichweite zu erhöhen. Beispielsweise kann sich ein Angreifer als Finanzvorstand ausgeben und die gleiche Audio- oder Videonachricht an alle Mitarbeitenden der Finanzabteilung senden. Dadurch vergrößert sich die Wahrscheinlichkeit, dass jemand darauf hereinfällt und vertrauliche Informationen preisgibt. Bei beiden Angriffsarten liefern Spuren in sozialen Medien den Angreifern in der Regel genügend Informationen, um strategisch dann zuzuschlagen, wenn die Ziele am wahrscheinlichsten abgelenkt oder besonders empfänglich sind.
Deepfake-Phishing erkennen
Die Erkennung von Deepfake-Phishing-Angriffen basiert auf vier Säulen:
- Phishing generell: Diesen Grundsatz muss jede Führungskraft und jeder Mitarbeitende verinnerlichen: Phishing basiert darauf, Opfer zu unüberlegten Entscheidungen zu verleiten. Deshalb sollte bei jeder Interaktion ein Gefühl der Dringlichkeit sofort Alarm auslösen. Wenn zum Beispiel eine Person – und sei es der CEO oder wichtige Kunden – um die sofortige Überweisung oder Produktlieferung verlangt, sollte jeder innehalten und prüfen, ob es sich um ein legitimes Anliegen handelt.
- Deepfake-Merkmale in Videos: Die Sicherheitsverantwortlichen im Unternehmen sollten die Mitarbeiterinnen und Mitarbeiter durch kontinuierliche Schulungen für bekannte und neue Angriffsmethoden sensibilisieren. Ein Vorteil dabei: Deepfake Phishing-Schulungen empfinden die meisten als besonders interessant, ansprechend und lehrreich. Schließlich bereitet es fast schon Vergnügen, sich Deepfake-Videos anzusehen und verdächtige visuelle Hinweise zu identifizieren. Typische Anzeichen dafür, dass es sich um ein Deepfake-Video handeln könnte, sind zum Beispiel unrealistisches Blinzeln, ungleichmäßige Beleuchtung sowie unnatürliche Gesichtsbewegungen. Weitere Hinweise auf eine Fälschung sind Flackern an den Rändern der verfremdeten Gesichter, Haare, Augen und anderen Gesichtspartien.
- Deepfake-Merkmale in Audiodateien: Bei Text-to-Speech-Systemen (TTS) treten häufig Aussprachefehler auf, insbesondere wenn das gesprochene Wort nicht der trainierten Sprache entspricht. Monotone Sprachausgabe wird durch unzureichende Trainingsdaten verursacht, während Fälschungsverfahren derzeit noch Schwierigkeiten aufweisen, bestimmte Merkmale wie Akzente korrekt zu imitieren. Unterschiedliche Eingabedaten können zu unnatürlichen Geräuschen führen, und die Notwendigkeit, den semantischen Inhalt vor der Synthese zu erfassen, kann die Erzeugung qualitativ hochwertiger Fälschungen zeitlich stark verzögern. Tipp: Für das Training der Erkennung manipulierter Audiodaten bietet sich das Angebot der Fraunhofer AISEC an.
- Bestätigung der Identität: Bei dringenden Anfragen sollten die Mitarbeitenden höflich darauf hinweisen, dass die Person aufgrund der Zunahme von Phishing-Angriffen ihre Identität im Rahmen einer Zwei-Faktor-Authentifizierung über separate Kanäle bestätigen muss. Alternativ sollte bei verdächtigen Interaktionen per Telefon oder E-Mail die andere Person Informationen preisgeben, die nur beiden Parteien bekannt sind. Ein typisches Beispiel wäre die Frage nach der Dauer der Betriebszugehörigkeit. Enge Mitarbeitende können sogar persönlichere Fragen stellen, etwa wie viele Kinder die andere Person hat oder wann sie das letzte Mal zusammen gegessen haben. Dies mag unangenehm sein, ist aber ein wirksamer und effizienter Mechanismus, um Betrüger zu entlarven.