Gefahr durch Deepfakes
Gefälschte E-Mails: Sogenannte Business-E-Mail-Compromise-Attacken (BEC) richten sich vor allem gegen
Chief Executive Officers.
(Quelle: Trend Micro "2019 Midyear Security Roundup" )
Nichtsdestoweniger ist die Erkennung von Angriffen auf Führungskräfte wie dem eingangs beschriebenen keine leichte Aufgabe. Gefährdet sind auch nach Meinung von David Wollmann, Executive Consultant beim Sicherheitsanbieter NTT Security, vor allem große, international aufgestellte Unternehmen, bei denen die Zielperson die Stimme des Gegenübers nicht 100-prozentig genau kenne. Angriffe mit einer zumindest ähnlich klingenden Stimme seien hier besonders vielversprechend.
Wollmann rechnet damit, dass die „Anzahl der Social-Engineering-Angriffe mittels Deepfakes, sei es Voice oder auch Video, stark zunehmen“ wird. Mit vergleichsweise geringem Aufwand könnten die Angreifer hier relativ gute Ergebnisse erzielen. Bei einer zu schlampigen Vorbereitung könne es jedoch zu Verzögerungen in den Antwortzeiten kommen, die sich als Hinweis auf einen Angriff nutzen ließen. Es gebe aber noch keine technischen Abwehrmaßnahmen, die dafür geeignet seien.
„Ist ein Deepfake gut gemacht, wird er mit dem menschlichen Gehör nur sehr schwer oder gar nicht zu erkennen sein“, so Wollmann. „Man könnte höchstens auf komische Geräusche in der Leitung achten, die ein Deepfake-Indiz sein können.“ Der Experte empfiehlt gefährdeten Unternehmen, einen Prozess aufzusetzen, der bei kritischen Aktivitäten wie einer finanziellen Transaktion oder Übermittlung von Forschungs- und Kundendaten eine telefonische Rückversicherung beinhaltet. Darüber hinaus seien Awareness-Trainings empfehlenswert, die sich speziell mit dem Thema Social Engineering befassen.
Angriffe per E-Mail
Bei all der Aufregung um fortgeschrittene Angriffe auf Führungskräfte darf die Bedrohung durch ganz gewöhnliche gefälschte
E-Mails nicht vernachlässigt werden. So hat der japanische Sicherheitsanbieter Trend Micro eine Analyse auf Basis seiner „Smart Protection Network“-Daten veröffentlicht, laut der die Zahl der BEC-Versuche (Business E-Mail Compromise) in der ersten Hälfte dieses Jahres auf über 8500 angestiegen ist. Im Vergleichszeitraum des Vorjahrs lag die Zahl noch bei unter 7000 Attacken. Bei mehr als 40 Prozent dieser Betrugsversuche per E-Mail stand der CEO des jeweiligen Unternehmens im Fokus.
Nach Angaben von Trend Micro werden inzwischen längst nicht mehr nur Firmen der Privatwirtschaft angegriffen. Bei einer BEC-Attacke gegen eine Kirche im US-Bundesstaat Ohio sei diese um rund 1,75 Millionen Dollar betrogen worden. Zuerst hackten die Angreifer mehrere E-Mail-Accounts von Mitarbeitern der Organisation. Diese wurden dann genutzt, um Kollegen dazu zu bewegen, die genannte Summe auf das Konto eines angeblichen Geschäftspartners zu überweisen.
Dem auf E-Mail-Security spezialisierten Anbieter FireEye zufolge richten sich weitere Angriffe gegen die Lohnbuchhaltung in Unternehmen oder gegen ihre Lieferketten. So werde etwa versucht, die Kontodaten von Mitarbeitern im Auftrag des CEOs zu ändern, um auf diese Weise Gehaltszahlungen auf andere Konten umzuleiten. Oder es werden die E-Mails eines Lieferanten gefälscht, um so ebenfalls illegale Zahlungen auszulösen. Das Problem bei dieser Art von Attacken ist nach Angaben von Ken Bagnall, Vice President of Email Security bei FireEye, dass „nicht jeder Mitarbeiter darauf vorbereitet ist oder nicht über das notwendige Wissen verfügt, dass es sich dabei um einen Angriff handelt“.
Sensibilisierung der Mitarbeiter
Aufgrund der zunehmenden Attacken fordert nun auch der E-Commerce-Verband eco, die Mitarbeiter in den Unternehmen besser vorzubereiten. „Viele Mittelständler unterschätzen nach wie vor das Risiko, ins Visier von Cyberkriminellen zu geraten“, erklärt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco-Verband. Nur 41 Prozent der für seine aktuelle IT-Sicherheitsstudie befragten Unternehmen schulen ihre Mitarbeiter laut Dehning regelmäßig, 38 Prozent unregelmäßig, 7 Prozent planen Schulungen und 14 Prozent schulen oder sensibilisieren nie.
„Die Zahlen sind angesichts der wachsenden Bedrohungslage noch immer zu niedrig“, kritisiert Dehning. Regelmäßig die Mitarbeiter zu sensibilisieren, sollte in jedem Unternehmen selbstverständlich sein. Zudem fordert er die Einführung von Sicherheits-Notfallplänen. Solche Pläne hätten bislang aber nur 57 Prozent der befragten Firmen. „Jedes Unternehmen sollte früh genug überlegen, wie es bei einem gravierenden Sicherheitsvorfall reagiert, um den Schaden im Fall der Fälle möglichst gering zu halten“, so Dehning. Dem ist nichts hinzuzufügen.
Evolutionsstufe |
Methode |
Vorgehen |
Frühstadium |
E-Mail |
E-Mail teils mit Schreib- und/oder Grammatikfehlern, schlecht getarntem Absender, abweichenden E-Mail-Adressen |
Stufe 1 |
Social Engineering |
Korrekte Rechtschreibung, gut getarnte Absender mit zum Beispiel kleinen Fehlern und Buchstaben- oder Zahlendrehern |
Stufe 2 |
Gehacktes Intranet |
Betrüger hacken das Intranet und verweilen dort für einige Tage. Sie spionieren Zuständigkeiten und Gepflogenheiten wie Umgangston und E-Mail-Stil aus |
Stufe 3 |
Telefonanruf |
Ein Betrüger ruft einen Mitarbeiter in der Buchhaltung an, um ihm zum zehnjährigen Firmenjubiläum zu gratulieren. Wenige Wochen später ruft er für den CEO-Betrug erneut an – der Mitarbeiter erkennt die Stimme und führt gemäß der Aufforderung per E-Mail eine Überweisung aus |
Stufe 4 |
Falscher IT-Security-
Mitarbeiter |
Kurz nach der E-Mail mit der Zahlungsaufforderung ruft ein falscher IT-Mitarbeiter in der Buchhaltung an, um dem Kollegen mitzuteilen, dass bei ihm ein CEO-Betrugsversuch entdeckt worden sei. Alles sei unter Kontrolle und der Mitarbeiter solle „zum Schein“ mitspielen, damit man die Betrüger auf frischer Tat ertappen könne. Es werde keine echte Zahlung ausgelöst, weil man mit der Hausbank kooperiere |
Stufe 5 |
Stimm-Imitation |
Aktueller Fall mit Stimm-Imitations-Software: Das Programm ahmt Sprachmelodie und Akzent nach, sodass der Mitarbeiter nach dieser telefonischen Bestätigung denkt, die Anweisung per E-Mail käme tatsächlich vom echten Chef |
Künftige Stufen |
Deepfake, Video, WhatsApp |
Weitere technische Fortschritte, etwa beim Machine Learning, machen diese Angriffsvektoren praxistauglich |
