Anzeige

Anzeige

Social Engineering

Social-Engineering-Angriffe auf Organisationen sind in den letzten Jahren nicht nur häufiger, sondern auch gezielter geworden. Durch Innovationen im Bereich der künstlichen Intelligenz verschärft sich die Lage zusätzlich. Mitarbeitende müssen nun auf diese neuen Angriffe vorbereitet werden.

Das Versenden von Phishing-Mails gehört nach wie vor zu den beliebtesten Angriffstaktiken von Cyberkriminellen. Dies ist nicht verwunderlich, ist der Weg über den Menschen doch weiterhin einer der effizientesten in die IT-Systeme von Organisationen. Auffällig ist hierbei, dass die Angriffe in den letzten Jahren immer ausgefeilter geworden sind. So richten sich Angriffe zum Beispiel gezielt gegen bestimmte Mitarbeitende in Organisationen, wie beim Spear-Phishing oder CEO-Fraud, oder bauen auf bestehenden Konversationen auf, wie im Falle von Dynamit-Phishing. Hintergrund für die Innovation auf der Seite der Angreifenden ist nicht zuletzt die hohe Lukrativität solcher Angriffe, bei denen schnell hohe achtstellige Millionenbeträge als Lösegeld für verschlüsselte Daten gefordert werden. Künftig ist daher auch mit weiterer Innovation auf der Seite der Angreifenden zu rechnen, zum Beispiel durch den Einsatz neuer Technologien aus dem Bereich der Künstlichen Intelligenz (KI).

Kein Science Fiction: Machine Learning ermöglicht Social Engineering 2.0

Keine Frage: KI-Technologien wie „Text-to-Speech“ oder „Natural Language Processing“ bieten zahlreiche Vorteile für unser Leben. Persönliche Assistenzsysteme nehmen uns lästige Aufgaben ab und Bilderkennungssoftware verbessert industrielle Qualitätskontrollabläufe. Allerdings stehen die zugrundeliegenden Technologien teilweise auch der Öffentlichkeit zur Verfügung und können hierdurch auch für kriminelle Anwendungen genutzt werden. Schon jetzt gibt es verschiedene öffentlich nutzbare KI-Modelle, die zum Beispiel Stimmen existierender Personen täuschend echt imitieren („Voice Mimicry“ bzw. „Voice Cloning“) oder Gesichter austauschen („Deepfakes“) können.

Als im Herbst 2017 die ersten Deepfakes für die breite Öffentlichkeit sichtbar wurden, waren die Fälschungen noch leicht als solche zu erkennen. Zudem benötigten die zugrunde liegenden KI-Modelle sehr viel Rechenkraft und Zeit für das Training. In den letzten Jahren hat sich die notwendige Trainingszeit zur Erstellung sehr überzeigender Deepfakes nun allerdings dramatisch verkürzt. So verwirrte Anfang des Jahres eine Reihe von Videos die Nutzerinnen und Nutzer der Social-Media-Plattform TikTok. Die Videos zeigten einen sehr realistisch aussehenden Tom Cruise in belustigenden Situationen. Der Weg zur kriminellen Anwendung ist von hier aus nicht mehr weit. Die möglichen Folgen sind fatal, denn vielen Nutzerinnen und Nutzern ist nicht bewusst, wie überzeugend KI-basierte Fakes mittlerweile sein können. 

Double-Barrel-Angriffe: Wenn Vorgesetzte persönlich anrufen

Cyberkriminellen bieten die geschilderten Technologien viele Ansatzpunkte für Social-Engineering-Angriffe. Mithilfe der beschriebenen KI-Modelle zur Imitation von Stimmen könnten beispielsweise Anrufe mit der Stimme des CEOs durchgeführt werden, um eine darauffolgende Phishing-Mail vorab zu legitimieren. Ein sogenannter „Double-Barrel“-Angriff dürfte eine wesentlich höhere Erfolgschance haben als ein gewöhnlicher Phishing-Angriff. Durch Video-Plattformen ist für zahlreiche große Unternehmen genügend Trainingsmaterial für die Imitation von Stimmen vorhanden. So gibt es beispielsweise vom ehemaligen CEO von Siemens, Joe Kaeser, über 18.000 Videos. 

Noch vor zwei Jahren beschrieben wir auf dem BSI-Sicherheitskongress diese Möglichkeit eines KI-gestützten „Voice-Phishing-Bots zur Vorlegitimierung einer schadhaften E-Mail“. Nur wenige Monate später wurde der erste echte Fall bekannt: Ein Mitarbeiter eines britischen Energieversorgers wurde vom vermeintlichen CEO des deutschen Mutterkonzerns angerufen und dazu aufgefordert, Geld auf ein ungarisches Bankkonto zu überweisen. Die Angreifenden konnten hierdurch 220.000 Euro erbeuten. 

Es ist davon auszugehen, dass dies erst der Anfang ist. Denn durch die Nutzung von Text-to-Speech-Modellen können personalisierte Angriffe auf eine große Anzahl von Mitarbeitenden durchgeführt werden. Durch die Kombination von KI-basiertem Vishing und Phishing erhöht sich so das Risiko für Organisationen deutlich. Sicherheitsverantwortliche stehen hierdurch vor ganz neuen Herausforderungen, da sie auch Mitarbeitende auf diese neue Generation von Social-Engineering-Angriffen vorbereiten müssen.

Wie können sich Unternehmen und Organisationen vor Deepfakes schützen?

Verschiedene Unternehmen arbeiten derzeit an der Entwicklung von Software, mit der Deepfakes auf Basis sogenannter Artefakte erkannt und als solche gekennzeichnet werden können. Der Schutz, den solche Software garantieren kann, ist allerdings begrenzt. Grund hierfür ist, dass Cyberkriminelle ihre Angriffe laufend weiterentwickeln, um auch die neuen Schutzmechanismen zu umgehen. Neben technischen Maßnahmen ist es daher essenziell, Mitarbeitende für diese neuen Angriffsmöglichkeiten zu sensibilisieren. Nur wenn alle Mitarbeitenden wissen, welche Social-Engineering-Taktiken von Kriminellen eingesetzt werden, können sie diese frühzeitig erkennen und melden.  

Um nachhaltig ein Bewusstsein für verschiedene Arten von Cyberangriffen zu schaffen, ist die Durchführung von regelmäßigen Awareness-Trainings zu empfehlen, die auch neuartige Angriffsformen thematisieren. Die Kombination von Schulungen (z.B. E-Learnings) und Angriffs-Simulationen ist hierbei besonders effektiv. Die Phishing-Simulationen können dabei ebenfalls verschiedene Kanäle nutzen, also sowohl per E-Mail als auch per Anruf stattfinden. Durch die Konfrontation mit realistischen Angriffen lernen die Mitarbeitenden laufend, diese zu erkennen. So kann der Blick für neuartige Angriffe nachhaltig geschärft und das neu erlernte Wissen im Ernstfall direkt angewendet werden.

Dr. Niklas Hellemann, Geschäftsführer
Dr. Niklas Hellemann
Geschäftsführer, SoSafe GmbH
Dr. Niklas Hellemann ist Diplom-Psychologe, langjähriger Unternehmensberater (Boston Consulting Group) und Geschäftsführer der Firma SoSafe Cyber Security Awareness. Als Experte für Social Engineering beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung.

Artikel zu diesem Thema

künstliche Intelligenz
Apr 05, 2021

Künstliche Intelligenz: Unterstützung für die Mitarbeiter oder Behinderung?

Die Roboter wollen unsere Jobs – diese und ähnliche Aussagen finden sich immer öfter in…
Security Awareness
Apr 01, 2021

Politiker als Phishing-Opfer: Notwendigkeit von Security Awareness-Trainings

Letzte Woche war bekannt geworden, dass nun eine Reihe von deutschen Politikern Opfer von…
Mär 30, 2021

Umfrage zeigt, wie sich Verbraucher vor Phishing schützen

KnowBe4 untersuchte die Schutzmaßnahmen und die Häufigkeit von verschiedenen…

Weitere Artikel

Hackerangriff

Hacker nutzen Schwachstellen von Pulse Connect Secure aus

Associated Press veröffentlichte die Nachricht, dass Hacker die Schwachstellen von Pulse Connect Secure ausgenutzt haben, um Verizon und die größte Wasserbehörde der USA sowie die New Yorker U-Bahn anzugreifen.
Phishing

Fax- und Scan-Phishing-Attacken nehmen zu

Dank der weltweiten Impferfolge und der sich langsam abschwächenden Fallzahlen kehren immer mehr Mitarbeiter in die ehemals gewohnte Büroumgebung zurück.
Hacker

Neue Welle von Ransom DDoS-Attacken durch Fancy Lazarus

Das Link11 Security Operations Center (LSOC) beobachtet neuerlich eine starke Zunahme von Ransom Distributed Denial of Service (RDDoS bzw RDoS)-Attacken.
Cyber Attacke

Immer wieder Ransomware: Cyberattacken auf kritische Sektoren nehmen zu

Im Jahr 2021 sehen wir weiterhin eine steigende Anzahl von Cyberangriffen auf Unternehmen, Organisationen und Behörden, die quasi wöchentlich in den Schlagzeilen der Medien landen.
Hacker

Plan B der Hacker: Nach dem Angriff ist vor dem Angriff

In den vergangenen Wochen erbeuteten Cyberkriminelle in den aufsehenerregendsten Hackerattacken der vergangenen Jahre mehrere Millionen Dollar.
Social Engineering

Social Engineering-Angriff? Erst Informationen sammeln, dann losschlagen!

Lassen sich Mitarbeitende eines Unternehmens so manipulieren, dass sie Informationen preisgeben, schädliche Links anklicken oder infizierte Anhänge öffnen? Ja, meinen die IT-Sicherheitsexperten der PSW GROUP.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.