Phishing
Videokonferenz mit dem Deep Fake-Chef
Die so genannte Chef-Masche hat ein neues Level erreicht. Der Boss erteilt nun die Zahlungsanweisung „mündliche“ über eine mit Deep Fake erzeugte Videoübertragung. Ist zwar tricky, aber auch hier gibt es Schutzmöglichkeiten – etwa Fragen stellen.
Save to Folio
Der jüngste Fall des Betrugs über die „Chef-Masche“, bei dem laut Hong Kong Free Press ein internationaler Konzern in Hong Kong um fast 24 Millionen € (200 Millionen Hongkong Dollar) gebracht wurde, zeigt eine neue Dimension dieser Art des Verbrechens. Anders als bei der artverwandten E-Mail gestützten Chef-Masche oder BEC Fraud gab es diesmal eine Videoübertragung mit einem KI-generierten Teilnehmer.
Das Prinzip des Vorgehens bleibt aber gleich: Der „Boss“ fordert einen Mitarbeiter auf, vorzugsweise in der Finanzabteilung, Geld, natürlich vertraulich und schnell, zu überweisen. Der aktuelle Fall, bei dem ein so genannter „Deep Fake Boss“ ein Unternehmen um Millionen betrügt, ist nicht der erste. Doch handelt es sich noch um Einzelfälle, bei denen diese Technik eingesetzt wird. Aber wer wollte seinem Boss schon etwas abschlagen, wenn ihn dieser per Videokonferenz dazu auffordert? Genau…
Vertrauen
Die Boss-Masche zählt zu den sogenannten „Confidence-Scams“ Um das Opfer zu überzeugen, müssen Story und Gesamteindruck stimmen. Dazu genügte schon eine Mail, vom Account der Unternehmensleitung aus vorgeblich abgeschickt. Im vorliegenden Fall aber ist ein Deep Fake-Video schon sehr überzeugend, wenn der „Boss“ direkt zu sehen und zusätzlich die Stimme zu hören ist. Ein Mitarbeitender wird die Ansage („Hören Sie zu, ich hab es eilig!“) mit dem Auftrag möglicherweise stillschweigend akzeptieren. So scheint es zumindest im aktuellen Fall gewesen zu sein, denn eine echte Interaktion sei nicht zustande gekommen, heißt es im Artikel. Das genau ist aber entscheidend für den Erfolg der Methode.
Stand der Technik – Deep Fake
Deep Fakes sind Video- und Tonaufnahmen einer Person, die durch künstliche Intelligenz in ein Bild hineingerechnet werden. Derart gefälschte Fotos von Taylor Swift machten erst vor kurzem die Runde. Aber auch ein digital verjüngter Harrison Ford spielte unlängst im Disney-Streifen wieder einen Indiana Jones zur Nazi-Zeit. Die Ergebnisse sind dabei so überzeugend, dass man die betreffende Person praktisch alles sagen lassen kann, was man will. Video und Audio können perfekt aufeinander abgestimmt werden. Um das zu erzeugen, braucht es genügend Aufnahmen einer Person, z.B. beim Interview oder bei Vorträgen sowie Fotos und/oder Tonaufnahmen.
Schwieriger wird es, will man die künstlich erzeugte Person in einer Live-Sitzung auftreten lassen, denn ein künstlich erzeugtes Bild mit einer ebenso erzeugten Stimme soll in einem Format auftreten, das eine direkte Reaktion erfordert. Auch dies ist theoretisch möglich. Allerdings sieht das Ergebnis nicht besonders überzeugend aus. Es kommt zu längeren Pausen, Mimik und Ton stimmen nicht zum gesagten. Es sieht unecht aus und wir fühlen uns seltsam.
Schutz vor dem Fake Boss
Der beste Schutz vor der Boss-Masche (auch vor BEC) besteht darin, die internen Prozesse für Auszahlungen so zu gestalten, dass diese nicht per Bitte oder Anweisung bestimmter Personen möglich sind, sondern einen komplexeren Genehmigungsprozess durchlaufen müssen. In der Vergangenheit nannte man hier auch oft das Prinzip der „doppelten“ Bestätigung. Kam die Anweisung per Mail, rief man an und fragte nach. Kam sie per Telefon, forderte man eine E-Mailbestätigung. Das gilt auch heute noch.
Allerdings sollte man aus dem Deep Fake-Angriff die richtigen Lehren ziehen. Die Video- und Audio-Bestätigung erfolgte – allein, es gab keine Interaktion, der Angestellte hörte und sah nur zu. Dadurch konnte ein zuvor durch Deep Fakes erstelltes Video eingespielt werden. Der Mitarbeiter wurde getäuscht und überwies das Geld. Will man derartige Attacken vermeiden, sollte es den Mitarbeitern erlaubt sein, ja, sie sollten sogar dazu aufgefordert werden, ihre Chefs zu diesen Aktivitäten zu hinterfragen.
Man macht es dadurch den Angreifern schwerer. Ganz auszuschließen ist es nicht, solange grundsätzlich die Möglichkeit bestehen bleiben soll, Geld auf Anweisung des Bosses auszuzahlen.