Phishing-Angriffe – Teil 6 Deepfakes als neue Waffe von Cyberbetrügern
Anbieter zum Thema
Ein raffinierter neuer Ansatz des Cyberbetrugs sind Deepfakes – Videos, die durch den Einsatz von KI Stimme und Aussehen einer Person imitieren und den Angreifern durch Täuschung der Mitarbeiter ein Einfallstor bieten. Noch steckt diese Technologie in den Kinderschuhen, aber Unternehmen sollten bereits jetzt Prozesse und Lösungen entwickeln, wie sie in der Zukunft solche Angriffe erfolgreich abwehren wollen.

Cyberangreifer warten seit jeher mit einem großen Repertoire an Werkzeugen auf, um ihre kriminellen Machenschaften voranzutreiben. Der Versuch, Unternehmen um ihr Geld und ihre Ressourcen zu bringen gestaltet sich dabei oft als ein digitales Katz-und-Maus-Spiel: Die Angreifer entwickeln einen Ansatz um Unternehmen zu infiltrieren, die Sicherheitsteams implementieren Schutzmaßnahmen, woraufhin sich die Kriminellen wieder neue Angriffsstrategien überlegen. Der Kreislauf beginnt von vorne.
:quality(80)/images.vogel.de/vogelonline/bdb/1661700/1661722/original.jpg)
Sicherheitsprognosen 2020
Mehr und gefährlichere Cloud-Angriffe
Während die Unternehmen sich aufgrund steigender Investitionen in die IT-Sicherheit zwar immer besser gegen traditionelle Angriffsarten zu verteidigen wissen, bleibt das für die Angreifer wahrscheinlich am einfachsten zu überlistende Element oft außen vor: Wie wir bereits berichteten ist und bleibt der Mensch selbst die Schwachstelle Nummer eins. Eben diese Schwachstelle machen sich Betrüger zumeist durch Phishing-Mails zunutze, in denen sie Malware in einer Nachricht aus einer scheinbar vertrauenswürdigen Quelle tarnen. Der Grund für die Popularität von Phishing liegt auf der Hand: Für diese Art von Angriff benötigt der Betrüger weder tiefgehendes technisches Verständnis, noch muss er hohe Investitionen oder Aufwand tätigen. Das sorgt für einen attraktiven Kosten-Nutzen-Faktor für Kriminelle. Die Naivität und die Unachtsamkeit von Mitarbeitern werden gnadenlos ausgenutzt, um auf Kosten des Unternehmens Geld zu ergaunern und Schaden anzurichten.
Angelehnt an Phishing treffen wir heutzutage immer öfter auf eine relativ neue Art des Betrugs, die sich ebenfalls anstelle der Maschine den Menschen als äußerst ergiebiges Einfallstor zunutze macht: Deepfakes. Doch was genau versteht man darunter?
Was sind Deepfakes?
Deepfakes sind Videos, die ihr Publikum durch technische Manipulation hinters Licht führen. Der Name dieser oft als Betrugsmasche genutzten Aufnahmen ist ein Portemanteau-Wort aus den beiden englischen Begriffen „Deep Learning“ und „Fake“. Letzteres ist eine Anspielung darauf, dass die Bild- und/oder Audiospur des Videos eine Fälschung ist, in welcher das Gesicht, die Mimik und die Stimme einer Person täuschend echt imitiert werden. Der erste Teil des Kofferwortes, das so genannte Deep Learning, gibt Aufschluss über das „wie?“ der Entstehung dieser gefälschten Aufnahmen.
Der namensgebende Prozess ist ein Teilbereich des Machine Learning, bei dem eine künstliche Intelligenz (KI) mithilfe von maschinellen Lernmethoden auf das Fälschen von Videos trainiert wird. Eine große Menge von Informationen wird in das System gespeist und die KI lernt mit der Zeit von selbst, wie sie neue Informationen am effektivsten verarbeitet. Das Endresultat sind im Falle von Deepfakes gefälschte Aufnahmen, die teilweise kaum von der Realität zu unterscheiden sind. Aktuell sind vor allem Audio-Deepfakes, welche unter anderem für Phishing mittels Manipulation von Stimmen (Vishing) verwendet werden, weit verbreitet. Das liegt daran, dass sie günstiger in der Erstellung und nicht so einfach als Fälschungen zu erkennen sind. Die Technologie hinter Deepfake-Videos ist wesentlich aufwendiger. Aus diesem Grund werden sie zwar ab und zu für Betrugsmaschen wie Phishing genutzt, jedoch bisher noch relativ selten. In der Zukunft könnten technologische Fortschritte jedoch dafür sorgen, dass Deepfakes sowohl ausgefeilter als auch zugänglicher werden, was sie für Betrüger immer attraktiver werden ließe. Besonders gefährlich wird es, sollten Live-Deepfakes möglich sein. Dennoch sollte es noch eine Weile dauern, bis Videomaterial das Auge täuschend echt trügt. Audio-Deepfakes werden zunächst die größte Gefahr darstellen, da sie ohne visuelle Elemente auskommen und ihre Opfer leichter täuschen.
:quality(80)/p7i.vogel.de/wcms/e8/13/e813376ece60d6b7943a8ab0eb8cb6db/87768690.jpeg)
Social Engineering und der Hauptmann von Köpenick
Psychisches Hacking der „Schwachstelle Mensch“
Anwendungsfälle abseits von Betrügereien
Es ist wichtig zu erwähnen, dass die Einsatzmöglichkeiten von Deepfakes äußerst vielfältig sind und über den reinen Cyberbetrug hinaus gehen. Sie können auch für nicht-kriminelle Zwecke genutzt werden, beispielsweise für Kunst und Unterhaltung. Hollywood verwendet ähnliche Technologien schon seit einiger Zeit: Der Star Wars Film „Rogue One“ aus dem Jahr 2016 zeigt eine junge Prinzessin Leia – eine Animation, die kaum als solche zu erkennen ist, basierend auf alten Filmaufnahmen der inzwischen verstorbenen Schauspielerin Carrie Fisher. Bisher arbeitet die Unterhaltungsindustrie jedoch selten mit „echten“ Deepfakes. Stattdessen setzen Filmemacher auf aufwendige Computersimulationen, welche mit hohen Produktionskosten und langen Renderzeiten verbunden sind.
Ein weiteres Beispiel, das sich zwar auch in der Sphäre der Kunst bewegt, dem im Gegensatz zu den Animationen in Spielfilmen jedoch echte künstliche Intelligenz zugrunde liegt, ist Samsungs Deepfake AI. Sie ist mitunter in der Lage, verblüffend realistische Videos mit nur einem einzigen Bild als Input zu erzeugen. Wer sich schon einmal gefragt hat, wie Leonardo da Vincis berühmtestes Gemälde in bewegten Bildern aussieht, der kann nun dank der Arbeit der russischen Forscher von Samsung seine Neugier befriedigen.
Doch auch im Falle von Deepfakes die – wie in den oben genannten Beispielen – nicht auf Betrug aus sind, melden sich vermehrt kritische Stimmen, die auf eine ethische Problematik hinweisen. Wären Schauspieler wie Carrie Fischer überhaupt damit einverstanden, dass ihr realitätsgetreues Abbild post mortem auf den großen Leinwänden erscheint? Während man argumentieren kann, dass sich Fragen zum Thema Datenschutz, Urheberrecht und co. in einer rechtlichen Grauzone bewegen, ist eine weitere Möglichkeit der Verwendung von Deepfakes fraglos illegal: Immer häufiger werden manipulierte Videos zum (politischen) Rufmord eingesetzt. Ein Video von BuzzFeed mit über 7 Millionen Aufrufen zeigt am Beispiel einer manipulierten Aufnahme des ehemaligen US-Präsidenten Barrack Obamas, dass die Technologie zur digitalen Täuschung bereits jetzt erstaunlich echt wirkende Videos hervorbringen kann, die zum Identitätsdiebstahl und Rufmord verwendet werden können.
Fazit
Zugegebenermaßen machen Deepfakes zum jetzigen Zeitpunkt nur einen kleinen Teil der Anzahl aller Cyberbetrüge aus. Die Technik ist noch nicht vollständig ausgereift und außerdem aufwendig und kostspielig. Das wird sich aber in der Zukunft ändern: Mit jedem Tag werden die Technologien effizienter und besser darin, reale Personen zu imitieren. Deepfakes werden außerdem immer leichter zugänglicher und einfacher handzuhaben, was es auch weniger technisch-affinen Cyberganoven ermöglicht, diese Technik erfolgreich einzusetzen. Auch die Bundesregierung zeigt sich zum Thema Deepfakes besorgt. So schreibt sie in der Antwort auf eine Anfrage der FDP-Fraktion im Bundestag: „Es kann nicht ausgeschlossen werden, dass aufgrund der schnellen technologischen Fortschritte künftig auch eine Bedrohung demokratischer Prozesse durch Deep Fakes erfolgen kann.“
Wie bei so vielen anderen Technologien bergen Deepfakes sowohl Möglichkeiten als auch Gefahren. Es gilt also der Grundsatz wachsam zu bleiben und neue Informationen und Quellen stets mit kritischem Auge zu überprüfen, um nicht auf Betrugsmaschen oder Falschmeldungen hineinzufallen. Security Awareness Trainings können dabei helfen, Mitarbeiter auf den Umgang mit derartigen Gefahren zu schulen und damit sich selbst und ihr Unternehmen vor Social Engineering-Attacken zu schützen. Des weiteren sollten Unternehmen bereits jetzt Lösungen entwickeln, wie in der Zukunft sichere Kommunikation möglich ist. Deepfakes krempeln die aktuell üblichen Compliance-Richtlinien vollständig um.
:quality(80)/images.vogel.de/vogelonline/bdb/1569900/1569966/original.jpg)
CEO Fraud in vier Akten
Internet-Betrug mit vorgetäuschten Identitäten
In den weiteren Beiträgen der Serie haben wir Beispiele weiterer Phishing-Techniken erläutert und geben Hinweise, wie sich diese Betrugsmaschen erkennen lassen.
:quality(80)/p7i.vogel.de/wcms/80/8e/808e02a3e19ae6c866583e690ea35718/90035314.jpeg)
Phishing-Angriffe – Teil 1
Wie der Mensch zur IT-Schwachstelle wird
:quality(80)/p7i.vogel.de/wcms/f6/21/f621aefaff6345d7c1290a1adbf3a2b1/90035861.jpeg)
Phishing-Angriffe – Teil 2
Phishing setzt auf den Leichtsinn der Opfer
:quality(80)/p7i.vogel.de/wcms/51/bb/51bbb5126f96496565bed5096431a4b9/90128990.jpeg)
Phishing-Angriffe – Teil 3
Smishing oder warum SMS-Betrug nicht ausstirbt
:quality(80)/p7i.vogel.de/wcms/ac/1f/ac1ffb588bffd04c5fcbfea9cad0ff8d/90128971.jpeg)
Phishing-Angriffe – Teil 4
Vishing – Phishing per Sprachanruf
:quality(80)/images.vogel.de/vogelonline/bdb/1721100/1721165/original.jpg)
Phishing-Angriffe – Teil 5
Social Media wird für Phishing-Angriffe missbraucht
Über den Autor: Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.
(ID:46675902)