Social Engineering 2.0: KI, Deepfakes, Voice-Phishing und Co

Social-Engineering-Angriffe auf Organisationen sind in den letzten Jahren nicht nur häufiger, sondern auch gezielter geworden. Durch Innovationen im Bereich der künstlichen Intelligenz verschärft sich die Lage zusätzlich. Mitarbeitende müssen nun auf diese neuen Angriffe vorbereitet werden.

Das Versenden von Phishing-Mails gehört nach wie vor zu den beliebtesten Angriffstaktiken von Cyberkriminellen. Dies ist nicht verwunderlich, ist der Weg über den Menschen doch weiterhin einer der effizientesten in die IT-Systeme von Organisationen. Auffällig ist hierbei, dass die Angriffe in den letzten Jahren immer ausgefeilter geworden sind. So richten sich Angriffe zum Beispiel gezielt gegen bestimmte Mitarbeitende in Organisationen, wie beim Spear-Phishing oder CEO-Fraud, oder bauen auf bestehenden Konversationen auf, wie im Falle von Dynamit-Phishing. Hintergrund für die Innovation auf der Seite der Angreifenden ist nicht zuletzt die hohe Lukrativität solcher Angriffe, bei denen schnell hohe achtstellige Millionenbeträge als Lösegeld für verschlüsselte Daten gefordert werden. Künftig ist daher auch mit weiterer Innovation auf der Seite der Angreifenden zu rechnen, zum Beispiel durch den Einsatz neuer Technologien aus dem Bereich der Künstlichen Intelligenz (KI).

Anzeige

Kein Science Fiction: Machine Learning ermöglicht Social Engineering 2.0

Keine Frage: KI-Technologien wie „Text-to-Speech“ oder „Natural Language Processing“ bieten zahlreiche Vorteile für unser Leben. Persönliche Assistenzsysteme nehmen uns lästige Aufgaben ab und Bilderkennungssoftware verbessert industrielle Qualitätskontrollabläufe. Allerdings stehen die zugrundeliegenden Technologien teilweise auch der Öffentlichkeit zur Verfügung und können hierdurch auch für kriminelle Anwendungen genutzt werden. Schon jetzt gibt es verschiedene öffentlich nutzbare KI-Modelle, die zum Beispiel Stimmen existierender Personen täuschend echt imitieren („Voice Mimicry“ bzw. „Voice Cloning“) oder Gesichter austauschen („Deepfakes“) können.

Als im Herbst 2017 die ersten Deepfakes für die breite Öffentlichkeit sichtbar wurden, waren die Fälschungen noch leicht als solche zu erkennen. Zudem benötigten die zugrunde liegenden KI-Modelle sehr viel Rechenkraft und Zeit für das Training. In den letzten Jahren hat sich die notwendige Trainingszeit zur Erstellung sehr überzeigender Deepfakes nun allerdings dramatisch verkürzt. So verwirrte Anfang des Jahres eine Reihe von Videos die Nutzerinnen und Nutzer der Social-Media-Plattform TikTok. Die Videos zeigten einen sehr realistisch aussehenden Tom Cruise in belustigenden Situationen. Der Weg zur kriminellen Anwendung ist von hier aus nicht mehr weit. Die möglichen Folgen sind fatal, denn vielen Nutzerinnen und Nutzern ist nicht bewusst, wie überzeugend KI-basierte Fakes mittlerweile sein können. 

Double-Barrel-Angriffe: Wenn Vorgesetzte persönlich anrufen

Cyberkriminellen bieten die geschilderten Technologien viele Ansatzpunkte für Social-Engineering-Angriffe. Mithilfe der beschriebenen KI-Modelle zur Imitation von Stimmen könnten beispielsweise Anrufe mit der Stimme des CEOs durchgeführt werden, um eine darauffolgende Phishing-Mail vorab zu legitimieren. Ein sogenannter „Double-Barrel“-Angriff dürfte eine wesentlich höhere Erfolgschance haben als ein gewöhnlicher Phishing-Angriff. Durch Video-Plattformen ist für zahlreiche große Unternehmen genügend Trainingsmaterial für die Imitation von Stimmen vorhanden. So gibt es beispielsweise vom ehemaligen CEO von Siemens, Joe Kaeser, über 18.000 Videos. 

Noch vor zwei Jahren beschrieben wir auf dem BSI-Sicherheitskongress diese Möglichkeit eines KI-gestützten „Voice-Phishing-Bots zur Vorlegitimierung einer schadhaften E-Mail“. Nur wenige Monate später wurde der erste echte Fall bekannt: Ein Mitarbeiter eines britischen Energieversorgers wurde vom vermeintlichen CEO des deutschen Mutterkonzerns angerufen und dazu aufgefordert, Geld auf ein ungarisches Bankkonto zu überweisen. Die Angreifenden konnten hierdurch 220.000 Euro erbeuten. 

Es ist davon auszugehen, dass dies erst der Anfang ist. Denn durch die Nutzung von Text-to-Speech-Modellen können personalisierte Angriffe auf eine große Anzahl von Mitarbeitenden durchgeführt werden. Durch die Kombination von KI-basiertem Vishing und Phishing erhöht sich so das Risiko für Organisationen deutlich. Sicherheitsverantwortliche stehen hierdurch vor ganz neuen Herausforderungen, da sie auch Mitarbeitende auf diese neue Generation von Social-Engineering-Angriffen vorbereiten müssen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wie können sich Unternehmen und Organisationen vor Deepfakes schützen?

Verschiedene Unternehmen arbeiten derzeit an der Entwicklung von Software, mit der Deepfakes auf Basis sogenannter Artefakte erkannt und als solche gekennzeichnet werden können. Der Schutz, den solche Software garantieren kann, ist allerdings begrenzt. Grund hierfür ist, dass Cyberkriminelle ihre Angriffe laufend weiterentwickeln, um auch die neuen Schutzmechanismen zu umgehen. Neben technischen Maßnahmen ist es daher essenziell, Mitarbeitende für diese neuen Angriffsmöglichkeiten zu sensibilisieren. Nur wenn alle Mitarbeitenden wissen, welche Social-Engineering-Taktiken von Kriminellen eingesetzt werden, können sie diese frühzeitig erkennen und melden.  

Um nachhaltig ein Bewusstsein für verschiedene Arten von Cyberangriffen zu schaffen, ist die Durchführung von regelmäßigen Awareness-Trainings zu empfehlen, die auch neuartige Angriffsformen thematisieren. Die Kombination von Schulungen (z.B. E-Learnings) und Angriffs-Simulationen ist hierbei besonders effektiv. Die Phishing-Simulationen können dabei ebenfalls verschiedene Kanäle nutzen, also sowohl per E-Mail als auch per Anruf stattfinden. Durch die Konfrontation mit realistischen Angriffen lernen die Mitarbeitenden laufend, diese zu erkennen. So kann der Blick für neuartige Angriffe nachhaltig geschärft und das neu erlernte Wissen im Ernstfall direkt angewendet werden.

Dr. Niklas Hellemann

SoSafe GmbH -

Geschäftsführer

Dr. Niklas Hellemann ist Diplom-Psychologe, langjähriger Unternehmensberater (Boston Consulting Group) und Geschäftsführer der Firma SoSafe Cyber Security Awareness. Als Experte für Social Engineering beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.