Anzeige

Social Engineering

Social-Engineering-Angriffe auf Organisationen sind in den letzten Jahren nicht nur häufiger, sondern auch gezielter geworden. Durch Innovationen im Bereich der künstlichen Intelligenz verschärft sich die Lage zusätzlich. Mitarbeitende müssen nun auf diese neuen Angriffe vorbereitet werden.

Das Versenden von Phishing-Mails gehört nach wie vor zu den beliebtesten Angriffstaktiken von Cyberkriminellen. Dies ist nicht verwunderlich, ist der Weg über den Menschen doch weiterhin einer der effizientesten in die IT-Systeme von Organisationen. Auffällig ist hierbei, dass die Angriffe in den letzten Jahren immer ausgefeilter geworden sind. So richten sich Angriffe zum Beispiel gezielt gegen bestimmte Mitarbeitende in Organisationen, wie beim Spear-Phishing oder CEO-Fraud, oder bauen auf bestehenden Konversationen auf, wie im Falle von Dynamit-Phishing. Hintergrund für die Innovation auf der Seite der Angreifenden ist nicht zuletzt die hohe Lukrativität solcher Angriffe, bei denen schnell hohe achtstellige Millionenbeträge als Lösegeld für verschlüsselte Daten gefordert werden. Künftig ist daher auch mit weiterer Innovation auf der Seite der Angreifenden zu rechnen, zum Beispiel durch den Einsatz neuer Technologien aus dem Bereich der Künstlichen Intelligenz (KI).

Kein Science Fiction: Machine Learning ermöglicht Social Engineering 2.0

Keine Frage: KI-Technologien wie „Text-to-Speech“ oder „Natural Language Processing“ bieten zahlreiche Vorteile für unser Leben. Persönliche Assistenzsysteme nehmen uns lästige Aufgaben ab und Bilderkennungssoftware verbessert industrielle Qualitätskontrollabläufe. Allerdings stehen die zugrundeliegenden Technologien teilweise auch der Öffentlichkeit zur Verfügung und können hierdurch auch für kriminelle Anwendungen genutzt werden. Schon jetzt gibt es verschiedene öffentlich nutzbare KI-Modelle, die zum Beispiel Stimmen existierender Personen täuschend echt imitieren („Voice Mimicry“ bzw. „Voice Cloning“) oder Gesichter austauschen („Deepfakes“) können.

Als im Herbst 2017 die ersten Deepfakes für die breite Öffentlichkeit sichtbar wurden, waren die Fälschungen noch leicht als solche zu erkennen. Zudem benötigten die zugrunde liegenden KI-Modelle sehr viel Rechenkraft und Zeit für das Training. In den letzten Jahren hat sich die notwendige Trainingszeit zur Erstellung sehr überzeigender Deepfakes nun allerdings dramatisch verkürzt. So verwirrte Anfang des Jahres eine Reihe von Videos die Nutzerinnen und Nutzer der Social-Media-Plattform TikTok. Die Videos zeigten einen sehr realistisch aussehenden Tom Cruise in belustigenden Situationen. Der Weg zur kriminellen Anwendung ist von hier aus nicht mehr weit. Die möglichen Folgen sind fatal, denn vielen Nutzerinnen und Nutzern ist nicht bewusst, wie überzeugend KI-basierte Fakes mittlerweile sein können. 

Double-Barrel-Angriffe: Wenn Vorgesetzte persönlich anrufen

Cyberkriminellen bieten die geschilderten Technologien viele Ansatzpunkte für Social-Engineering-Angriffe. Mithilfe der beschriebenen KI-Modelle zur Imitation von Stimmen könnten beispielsweise Anrufe mit der Stimme des CEOs durchgeführt werden, um eine darauffolgende Phishing-Mail vorab zu legitimieren. Ein sogenannter „Double-Barrel“-Angriff dürfte eine wesentlich höhere Erfolgschance haben als ein gewöhnlicher Phishing-Angriff. Durch Video-Plattformen ist für zahlreiche große Unternehmen genügend Trainingsmaterial für die Imitation von Stimmen vorhanden. So gibt es beispielsweise vom ehemaligen CEO von Siemens, Joe Kaeser, über 18.000 Videos. 

Noch vor zwei Jahren beschrieben wir auf dem BSI-Sicherheitskongress diese Möglichkeit eines KI-gestützten „Voice-Phishing-Bots zur Vorlegitimierung einer schadhaften E-Mail“. Nur wenige Monate später wurde der erste echte Fall bekannt: Ein Mitarbeiter eines britischen Energieversorgers wurde vom vermeintlichen CEO des deutschen Mutterkonzerns angerufen und dazu aufgefordert, Geld auf ein ungarisches Bankkonto zu überweisen. Die Angreifenden konnten hierdurch 220.000 Euro erbeuten. 

Es ist davon auszugehen, dass dies erst der Anfang ist. Denn durch die Nutzung von Text-to-Speech-Modellen können personalisierte Angriffe auf eine große Anzahl von Mitarbeitenden durchgeführt werden. Durch die Kombination von KI-basiertem Vishing und Phishing erhöht sich so das Risiko für Organisationen deutlich. Sicherheitsverantwortliche stehen hierdurch vor ganz neuen Herausforderungen, da sie auch Mitarbeitende auf diese neue Generation von Social-Engineering-Angriffen vorbereiten müssen.

Wie können sich Unternehmen und Organisationen vor Deepfakes schützen?

Verschiedene Unternehmen arbeiten derzeit an der Entwicklung von Software, mit der Deepfakes auf Basis sogenannter Artefakte erkannt und als solche gekennzeichnet werden können. Der Schutz, den solche Software garantieren kann, ist allerdings begrenzt. Grund hierfür ist, dass Cyberkriminelle ihre Angriffe laufend weiterentwickeln, um auch die neuen Schutzmechanismen zu umgehen. Neben technischen Maßnahmen ist es daher essenziell, Mitarbeitende für diese neuen Angriffsmöglichkeiten zu sensibilisieren. Nur wenn alle Mitarbeitenden wissen, welche Social-Engineering-Taktiken von Kriminellen eingesetzt werden, können sie diese frühzeitig erkennen und melden.  

Um nachhaltig ein Bewusstsein für verschiedene Arten von Cyberangriffen zu schaffen, ist die Durchführung von regelmäßigen Awareness-Trainings zu empfehlen, die auch neuartige Angriffsformen thematisieren. Die Kombination von Schulungen (z.B. E-Learnings) und Angriffs-Simulationen ist hierbei besonders effektiv. Die Phishing-Simulationen können dabei ebenfalls verschiedene Kanäle nutzen, also sowohl per E-Mail als auch per Anruf stattfinden. Durch die Konfrontation mit realistischen Angriffen lernen die Mitarbeitenden laufend, diese zu erkennen. So kann der Blick für neuartige Angriffe nachhaltig geschärft und das neu erlernte Wissen im Ernstfall direkt angewendet werden.

Dr. Niklas Hellemann, Geschäftsführer
Dr. Niklas Hellemann
Geschäftsführer, SoSafe GmbH
Dr. Niklas Hellemann ist Diplom-Psychologe, langjähriger Unternehmensberater (Boston Consulting Group) und Geschäftsführer der Firma SoSafe Cyber Security Awareness. Als Experte für Social Engineering beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung.

Artikel zu diesem Thema

künstliche Intelligenz
Apr 05, 2021

Künstliche Intelligenz: Unterstützung für die Mitarbeiter oder Behinderung?

Die Roboter wollen unsere Jobs – diese und ähnliche Aussagen finden sich immer öfter in…
Security Awareness
Apr 01, 2021

Politiker als Phishing-Opfer: Notwendigkeit von Security Awareness-Trainings

Letzte Woche war bekannt geworden, dass nun eine Reihe von deutschen Politikern Opfer von…
Mär 30, 2021

Umfrage zeigt, wie sich Verbraucher vor Phishing schützen

KnowBe4 untersuchte die Schutzmaßnahmen und die Häufigkeit von verschiedenen…

Weitere Artikel

Cyber Attacke

Angriffe auf KRITIS häufen sich und werden immer verheerender

Angriffe auf kritische Infrastrukturen sind nicht neu. Neu und beispiellos ist jedoch die Größenordnung und die Auswirkungen, die der jüngste Ransomware-Angriff auf ein einzelnes Unternehmen hatte, das 45% des an der Ostküste der Vereinigten Staaten…
Hackerangriff

Best of Hacks: Highlights März 2021

Im März rücken unter anderem die Europäische Bankenauf-sichtsbehörde EBA und der PC-Hersteller Acer in den Fokus von Cyberkriminellen. Sicherheitslücken machten zudem unbefugte Zugriffe beim Sicherheitsunternehmen Verkada und bei mehreren Testzentren in…
Hacker Corona

Warnung vor betrügerischer E-Mail Kampagne mit Pfizer-Corona-Impfumfrage

Mit dem vermeintlichen Absender Pfizer und unter dem Vorwand, Umfragen zum Thema Corona-Impfstoffe durchzuführen, haben Betrüger seit April persönliche Daten und möglicherweise auch Geld von mehr als 200.000 Verbrauchern erbeutet.
Bot

Emotet ist tot! ­ Lang lebe Qbot!

Der aktuelle Bedrohungsreport von G DATA zeigt, dass Cyberkriminelle bereits einen Nachfolger für Emotet gefunden haben: Qbot. Bei fast jedem vierten abgewehrten Angriff war die Schadsoftware mit von der Partie. Die Zahlen belegen, dass im ersten Quartal…
Ransomware

Massiver Ransomware-Angriff auf Pipeline-Betreiber

Am Wochenende vermeldeten internationale Medien einen Cyberangriff (Ransomware-Attacke mit einer beute von rund 100 Gigabyte) auf den größten Pipeline-Betreiber in den USA, Colonial Pipeline, der dessen Betrieb lahmlegte.
Phishing

Finanzdienstleister im Visier: 125 Prozent mehr Phishing-Angriffe im Jahr 2020

Lookout, ein Unternehmen für integrierte Endpoint-to-Cloud-Sicherheit, veröffentlicht aktuell einen Bericht, aus dem hervorgeht, dass sich das Risiko für mobiles Phishing bei Finanzdienstleistern und Versicherungen zwischen 2019 und 2020 verdoppelt hat.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.