llhedgehogll - stock.adobe.com
Phishing mit Deepfakes: Unternehmen müssen sich vorbereiten
Ob der Vorgesetzte am Telefon Wünsche äußert, oder der Kunde per Video um Änderungen bittet. Phishing-Angriffe mit Deepfakes haben für Unternehmen ein hohes Gefahrenpotenzial.
Immer ausgefeiltere KI-, Audio- und Videotechnologien sowie eine Fülle persönlicher Daten von Nutzern, die in sozialen Medien verfügbar sind, haben Phishing mit Deepfakes zu einem neuen Angriffsvektor gemacht, der Security-Verantwortlichen und CISOs Sorgen bereiten sollte.
Die Deepfake-Technologie nutzt künstliche Intelligenz (KI), um irreführende Audio-, Video- und Bilddateien zu erzeugen. Bislang dienten Deepfakes hauptsächlich der Unterhaltung und politischen Zwecken, sowohl harmlos als auch bösartig. Experten warnen jedoch, dass die Deepfake-Technologie auch eine Reihe von IT-Risiken für Unternehmen birgt. Beim Phishing mit Deepfakes beispielsweise werden Benutzer mit Hilfe von Deepfake-Inhalten dazu verleitet, unberechtigte Zahlungen zu leisten oder sensible Informationen preiszugeben, die Cyberkriminelle zu ihrem Vorteil nutzen können.
In einem viel beachteten Beispiel aus dem Jahr 2019 nutzten Cyberkriminelle Deepfake Phishing, um den CEO eines britischen Energieunternehmens dazu zu bringen, ihnen 243.000 US-Dollar zu überweisen, wie das Wall Street Journal berichtet. Mithilfe einer KI-basierten Stimmfälschungssoftware gaben sich die Kriminellen erfolgreich als Leiter der Muttergesellschaft des Unternehmens aus und ließen den CEO glauben, er spreche mit seinem Vorgesetzten.
Mit der weiteren Entwicklung der Technologie werden solche Deepfake-Phishing-Kampagnen mit Sicherheit häufiger und effektiver werden. IT-Teams können Unternehmensanwender darauf vorbereiten, diese Angriffe abzuwehren, indem sie ihnen erklären, was Deepfake Phishing ist und wie es funktioniert.
Die verschiedenen Arten von Phishing-Angriffen per Deepfakes
Deepfake-Phishing-Angriffe lassen sich in die folgenden Kategorien einteilen:
Angriffe in Echtzeit. Bei einem erfolgreichen Echtzeitangriff sind die präparierten Audio- oder Videodaten so ausgeklügelt, dass sie dem Opfer vorgaukeln, dass die Person am anderen Ende des Anrufs diejenige ist, die sie vorgibt zu sein, zum Beispiel ein Kollege, Geschäftspartner oder ein Kunde. Bei diesen Interaktionen erzeugen die Angreifer wahrscheinlich ein starkes Gefühl der Dringlichkeit, indem sie den Opfern imaginäre Fristen, Strafen und andere Konsequenzen für Verzögerungen vorgaukeln, um sie in Panik zu versetzen und zu einer Reaktion zu bewegen.
Nicht-Echtzeit-Angriffe. Bei Nicht-Echtzeit-Angriffen gibt sich ein Cyberkrimineller über gefälschte Audio- oder Videonachrichten als eine Person aus, die er dann über asynchrone Kommunikationskanäle wie Chat, E-Mail, Sprachnachricht oder soziale Medien verbreitet. Diese Art der Kommunikation verringert den Druck auf Kriminelle, in Echtzeit glaubwürdig zu reagieren, und ermöglicht es ihnen, einen Deepfake-Clip zu perfektionieren, bevor sie ihn verbreiten. Infolgedessen kann ein Angriff, der nicht in Echtzeit erfolgt, ziemlich ausgefeilt sein und erregt bei den Benutzern weniger Verdacht. Wenn ein Deepfake-Video oder -Audio-Clip per E-Mail verbreitet wird, ist es auch wahrscheinlicher, dass er an den Sicherheitsfiltern vorbeikommt als herkömmliche, textbasierte Phishing-Kampagnen.
Angriffe, die nicht in Echtzeit erfolgen, ermöglichen es den Angreifern außerdem, bei den Zielen weitflächiger vorzugehen. Jemand, der sich als Finanzvorstand ausgibt, könnte beispielsweise dasselbe Audio- oder Videomemo an alle Mitglieder der Finanzabteilung senden, um möglichst vielen Personen sensible Informationen zu entlocken.
Bei beiden Arten von Angriffen liefern die Spuren und Daten in den sozialen Medien in der Regel genügend Informationen für Angreifer, um strategisch dann zuzuschlagen, wenn die Ziele am empfänglichsten sind.
So können Unternehmen Deepfake Phishing begegnen
Wie in vielen anderen Bereichen der IT-Sicherheit ist das Thema Sensibilisierung hier ein entscheidendes. Die Belegschaft ist hier ein wichtiger Aktivposten. Die Sicherheitsverantwortlichen müssen die Endbenutzer durch ständige Schulungen für diese und andere neue Angriffsmöglichkeiten sensibilisieren. Die Ermüdung bei der Schulung des Sicherheitsbewusstseins ist real, aber wenn die Lektionen Spaß machen, wettbewerbsorientiert sind und motivieren, können sie die Sicherheitskultur und damit die Gesamtsicherheit positiv beeinflussen.
Beim Thema Schulungen bringt das Thema Deepfakes allerdings einen Vorteil mit sich, es ist für viele Anwender faszinierend. Daher werden die Mitarbeiter die Deepfake-Phishing-Schulung wahrscheinlich als besonders interessant, ansprechend und lehrreich empfinden. Versuchen Sie zum Beispiel, überzeugende Deepfake-Videos zu zeigen und die Benutzer aufzufordern, verdächtige visuelle Hinweise zu erkennen, wie zum Beispiel nicht blinzelnde Augen, ungleichmäßige Beleuchtung und unnatürliche Gesichtsbewegungen. Eine solche Übung zur Erkennung von Deepfake-Angriffen wird mit Sicherheit Eindruck hinterlassen.
Mit Bedacht vorgehen
Dieser Grundsatz muss ein Eckpfeiler der laufenden Schulungen zum Sicherheitsbewusstsein sein, und jeder Manager und jede Führungskraft sollte seine Mitarbeiter ständig an seine Bedeutung erinnern. Cyberkriminelle versuchen, ihre Opfer zu unbedachten Entscheidungen zu drängen, weshalb ein Gefühl der Dringlichkeit bei jeder Interaktion sofort einen Alarm auslösen sollte. Wenn jemand – selbst der Geschäftsführer oder ein Top-Kunde – beispielsweise eine sofortige Überweisung oder Produktlieferung verlangt, sollten die Benutzer innehalten und die Echtheit der Anfrage überprüfen, bevor sie weitere Schritte unternehmen. Das kann beispielsweise über eine Nachfrage oder einen zweiten Kommunikationskanal erfolgen.
Schulen Sie Ihre Mitarbeiter darin, dringende Echtzeitanfragen zu beantworten, indem sie höflich darauf hinweisen, dass aufgrund der Zunahme von Angriffen eine Bestätigung der Identität über separate Kanäle erforderlich ist. Für Anfragen, die nicht in Echtzeit gestellt werden, gelten die gleichen Grundsätze.
Die Angreifer herausfordern
Dies ist keine Technik, die Mitarbeiter oft in Schulungen zum Sicherheitsbewusstsein lernen, aber sie kann sehr effektiv sein. Wenn eine Interaktion verdächtig erscheint, kann ein Benutzer die Person am anderen Ende eines Anrufs, einer E-Mail oder einer Nachricht auffordern, Informationen zu liefern, die beide Parteien kennen sollten, zum Beispiel seit wann sie zusammenarbeiten. Ein enger Mitarbeiter kann sogar persönlichere Fragen stellen, um sich der Identität des Gegenübers zu versichern.
Das ist nicht angenehm und erfordert Übung, aber es ist ein wirksamer und effizienter Mechanismus, um Hochstapler zu erkennen, bevor die Schaden anrichten können.