Deepfakes als neue Waffe von Cyberbetrügern

Phishing-Angriffe – Teil 6 Deepfakes als neue Waffe von Cyberbetrügern

10.07.2020 Von Jelle Wieringa

Anbieter zum Thema

Arvato Systems

V2_Screen_M.png (SEPPmail - Deutschlang GmbH)

SEPPmail - Deutschland GmbH

SoSafe GmbH

KnowBe4 Germany GmbH

Ein raffinierter neuer Ansatz des Cyberbetrugs sind Deepfakes – Videos, die durch den Einsatz von KI Stimme und Aussehen einer Person imitieren und den Angreifern durch Täuschung der Mitarbeiter ein Einfallstor bieten. Noch steckt diese Technologie in den Kinderschuhen, aber Unternehmen sollten bereits jetzt Prozesse und Lösungen entwickeln, wie sie in der Zukunft solche Angriffe erfolgreich abwehren wollen.

Wie die meisten modernen Technologien bieten Deepfakes nicht nur vielfältige Möglichkeiten für Unternehmen, sondern auch für Cyberkriminelle.
(© MicroOne - stock.adobe.com)

Cyberangreifer warten seit jeher mit einem großen Repertoire an Werkzeugen auf, um ihre kriminellen Machenschaften voranzutreiben. Der Versuch, Unternehmen um ihr Geld und ihre Ressourcen zu bringen gestaltet sich dabei oft als ein digitales Katz-und-Maus-Spiel: Die Angreifer entwickeln einen Ansatz um Unternehmen zu infiltrieren, die Sicherheitsteams implementieren Schutzmaßnahmen, woraufhin sich die Kriminellen wieder neue Angriffsstrategien überlegen. Der Kreislauf beginnt von vorne.

Cloud-Angriffe, Social Engineering, und KI, welche Gefahren erwarten Unternehmen 2020? (gemeinfrei)

Während die Unternehmen sich aufgrund steigender Investitionen in die IT-Sicherheit zwar immer besser gegen traditionelle Angriffsarten zu verteidigen wissen, bleibt das für die Angreifer wahrscheinlich am einfachsten zu überlistende Element oft außen vor: Wie wir bereits berichteten ist und bleibt der Mensch selbst die Schwachstelle Nummer eins. Eben diese Schwachstelle machen sich Betrüger zumeist durch Phishing-Mails zunutze, in denen sie Malware in einer Nachricht aus einer scheinbar vertrauenswürdigen Quelle tarnen. Der Grund für die Popularität von Phishing liegt auf der Hand: Für diese Art von Angriff benötigt der Betrüger weder tiefgehendes technisches Verständnis, noch muss er hohe Investitionen oder Aufwand tätigen. Das sorgt für einen attraktiven Kosten-Nutzen-Faktor für Kriminelle. Die Naivität und die Unachtsamkeit von Mitarbeitern werden gnadenlos ausgenutzt, um auf Kosten des Unternehmens Geld zu ergaunern und Schaden anzurichten.

Angelehnt an Phishing treffen wir heutzutage immer öfter auf eine relativ neue Art des Betrugs, die sich ebenfalls anstelle der Maschine den Menschen als äußerst ergiebiges Einfallstor zunutze macht: Deepfakes. Doch was genau versteht man darunter?

Was sind Deepfakes?

Deepfakes sind Videos, die ihr Publikum durch technische Manipulation hinters Licht führen. Der Name dieser oft als Betrugsmasche genutzten Aufnahmen ist ein Portemanteau-Wort aus den beiden englischen Begriffen „Deep Learning“ und „Fake“. Letzteres ist eine Anspielung darauf, dass die Bild- und/oder Audiospur des Videos eine Fälschung ist, in welcher das Gesicht, die Mimik und die Stimme einer Person täuschend echt imitiert werden. Der erste Teil des Kofferwortes, das so genannte Deep Learning, gibt Aufschluss über das „wie?“ der Entstehung dieser gefälschten Aufnahmen.

Der namensgebende Prozess ist ein Teilbereich des Machine Learning, bei dem eine künstliche Intelligenz (KI) mithilfe von maschinellen Lernmethoden auf das Fälschen von Videos trainiert wird. Eine große Menge von Informationen wird in das System gespeist und die KI lernt mit der Zeit von selbst, wie sie neue Informationen am effektivsten verarbeitet. Das Endresultat sind im Falle von Deepfakes gefälschte Aufnahmen, die teilweise kaum von der Realität zu unterscheiden sind. Aktuell sind vor allem Audio-Deepfakes, welche unter anderem für Phishing mittels Manipulation von Stimmen (Vishing) verwendet werden, weit verbreitet. Das liegt daran, dass sie günstiger in der Erstellung und nicht so einfach als Fälschungen zu erkennen sind. Die Technologie hinter Deepfake-Videos ist wesentlich aufwendiger. Aus diesem Grund werden sie zwar ab und zu für Betrugsmaschen wie Phishing genutzt, jedoch bisher noch relativ selten. In der Zukunft könnten technologische Fortschritte jedoch dafür sorgen, dass Deepfakes sowohl ausgefeilter als auch zugänglicher werden, was sie für Betrüger immer attraktiver werden ließe. Besonders gefährlich wird es, sollten Live-Deepfakes möglich sein. Dennoch sollte es noch eine Weile dauern, bis Videomaterial das Auge täuschend echt trügt. Audio-Deepfakes werden zunächst die größte Gefahr darstellen, da sie ohne visuelle Elemente auskommen und ihre Opfer leichter täuschen.

Jetzt wird’s psychologisch: was Social Engineers und der Hauptmann von Köpenick gemeinsam haben. (Bild: gemeinfrei)

Anwendungsfälle abseits von Betrügereien

Es ist wichtig zu erwähnen, dass die Einsatzmöglichkeiten von Deepfakes äußerst vielfältig sind und über den reinen Cyberbetrug hinaus gehen. Sie können auch für nicht-kriminelle Zwecke genutzt werden, beispielsweise für Kunst und Unterhaltung. Hollywood verwendet ähnliche Technologien schon seit einiger Zeit: Der Star Wars Film „Rogue One“ aus dem Jahr 2016 zeigt eine junge Prinzessin Leia – eine Animation, die kaum als solche zu erkennen ist, basierend auf alten Filmaufnahmen der inzwischen verstorbenen Schauspielerin Carrie Fisher. Bisher arbeitet die Unterhaltungsindustrie jedoch selten mit „echten“ Deepfakes. Stattdessen setzen Filmemacher auf aufwendige Computersimulationen, welche mit hohen Produktionskosten und langen Renderzeiten verbunden sind.

Ein weiteres Beispiel, das sich zwar auch in der Sphäre der Kunst bewegt, dem im Gegensatz zu den Animationen in Spielfilmen jedoch echte künstliche Intelligenz zugrunde liegt, ist Samsungs Deepfake AI. Sie ist mitunter in der Lage, verblüffend realistische Videos mit nur einem einzigen Bild als Input zu erzeugen. Wer sich schon einmal gefragt hat, wie Leonardo da Vincis berühmtestes Gemälde in bewegten Bildern aussieht, der kann nun dank der Arbeit der russischen Forscher von Samsung seine Neugier befriedigen.

Doch auch im Falle von Deepfakes die – wie in den oben genannten Beispielen – nicht auf Betrug aus sind, melden sich vermehrt kritische Stimmen, die auf eine ethische Problematik hinweisen. Wären Schauspieler wie Carrie Fischer überhaupt damit einverstanden, dass ihr realitätsgetreues Abbild post mortem auf den großen Leinwänden erscheint? Während man argumentieren kann, dass sich Fragen zum Thema Datenschutz, Urheberrecht und co. in einer rechtlichen Grauzone bewegen, ist eine weitere Möglichkeit der Verwendung von Deepfakes fraglos illegal: Immer häufiger werden manipulierte Videos zum (politischen) Rufmord eingesetzt. Ein Video von BuzzFeed mit über 7 Millionen Aufrufen zeigt am Beispiel einer manipulierten Aufnahme des ehemaligen US-Präsidenten Barrack Obamas, dass die Technologie zur digitalen Täuschung bereits jetzt erstaunlich echt wirkende Videos hervorbringen kann, die zum Identitätsdiebstahl und Rufmord verwendet werden können.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Fazit

Zugegebenermaßen machen Deepfakes zum jetzigen Zeitpunkt nur einen kleinen Teil der Anzahl aller Cyberbetrüge aus. Die Technik ist noch nicht vollständig ausgereift und außerdem aufwendig und kostspielig. Das wird sich aber in der Zukunft ändern: Mit jedem Tag werden die Technologien effizienter und besser darin, reale Personen zu imitieren. Deepfakes werden außerdem immer leichter zugänglicher und einfacher handzuhaben, was es auch weniger technisch-affinen Cyberganoven ermöglicht, diese Technik erfolgreich einzusetzen. Auch die Bundesregierung zeigt sich zum Thema Deepfakes besorgt. So schreibt sie in der Antwort auf eine Anfrage der FDP-Fraktion im Bundestag: „Es kann nicht ausgeschlossen werden, dass aufgrund der schnellen technologischen Fortschritte künftig auch eine Bedrohung demokratischer Prozesse durch Deep Fakes erfolgen kann.“

Wie bei so vielen anderen Technologien bergen Deepfakes sowohl Möglichkeiten als auch Gefahren. Es gilt also der Grundsatz wachsam zu bleiben und neue Informationen und Quellen stets mit kritischem Auge zu überprüfen, um nicht auf Betrugsmaschen oder Falschmeldungen hineinzufallen. Security Awareness Trainings können dabei helfen, Mitarbeiter auf den Umgang mit derartigen Gefahren zu schulen und damit sich selbst und ihr Unternehmen vor Social Engineering-Attacken zu schützen. Des weiteren sollten Unternehmen bereits jetzt Lösungen entwickeln, wie in der Zukunft sichere Kommunikation möglich ist. Deepfakes krempeln die aktuell üblichen Compliance-Richtlinien vollständig um.

Unternehmen sind immer öfter dem Risiko ausgesetzt, Opfer eines CEO-Fraud zu werden. (gemeinfrei)

In den weiteren Beiträgen der Serie haben wir Beispiele weiterer Phishing-Techniken erläutert und geben Hinweise, wie sich diese Betrugsmaschen erkennen lassen.