Wie raffinierte Deepfake-Betrügereien darauf abzielen, Bauunternehmen Millionen abzuknöpfen

Die Chefs des Ingenieurunternehmens Arup in Hongkong haben das jedenfalls getan. Im Februar erklärten sie, Kriminelle hätten die Technologie in einem ausgeklügelten Betrugsversuch eingesetzt und einen hilflosen Mitarbeiter dazu gebracht, Millionen von Dollar auf Scheinkonten einzuzahlen.

Dies gelang den Kriminellen angeblich, indem sie sich in einem Online-Anruf als mehrere hochrangige Persönlichkeiten des Unternehmens ausgaben. Obwohl die genauen Details des Betrugs nicht bestätigt wurden, wird angenommen, dass die Stimmen der Unternehmensleitung „geklont“ wurden, sodass die Kriminellen für den Mitarbeiter vertraut klangen. Es wird nicht angenommen, dass Videoaufnahmen – für die eine ausgefeiltere Technologie erforderlich ist – im Spiel waren.

Die geklonten Stimmen – falls die mutmaßlichen Kriminellen den Betrug tatsächlich auf diese Weise durchgezogen haben – sind ein Beispiel für die Deepfake-Technologie, die sich Hand in Hand mit künstlicher Intelligenz (KI) in atemberaubendem Tempo weiterentwickelt.

Deepfakes sind synthetische Medien, die digital manipuliert wurden, um das Aussehen einer Person (sei es die Stimme, das Aussehen oder beides) überzeugend durch eine andere Person zu ersetzen. Die Technologie hinter Deepfakes ist komplex.

Neue Technik, alte Tricks

Doch wie die Online-Sicherheitsexperten Richard Hughes und Hodei Lopez vom globalen IT-Dienstleistungsunternehmen A&O IT Group erklären, sind Deepfake-Betrugsmaschen an sich zwar relativ neu, basieren aber auf einer bewährten Formel mit Social Engineering.

E-Mail-Phishing, das den meisten Menschen mittlerweile gut bekannt ist, folgt demselben Format. So wie eine E-Mail, die scheinbar von einem vertrauenswürdigen Unternehmen oder Kontakt stammt, den Empfänger auffordert, auf einen zwielichtigen Link zu klicken oder ein Formular auszufüllen, verstärkt der Deepfake dieses Gefühl der Vertrautheit, indem er eine plausible Nachahmung einer realen Person schafft, die dem Opfer bekannt ist, bevor er dessen Vertrauen und Wohlwollen ausnutzt, um den Kriminellen das zu verschaffen, was sie wollen.

„Wir haben langsam die Fähigkeit entwickelt, Phishing nicht zu vertrauen, weil es heutzutage so allgegenwärtig ist“, sagt Lopez. „Der neueste Ansatz geht also noch einen Schritt weiter.“

Wenn die Vorstellung, dass Kriminelle in der Lage sind, das Aussehen und die Stimme bestimmter Personen in einem Unternehmen herauszufinden und anschließend überzeugende Ähnlichkeiten mit ihnen zu erstellen, weit hergeholt oder schwierig umzusetzen erscheint, dann sollte man bedenken, wie viele Informationen über einzelne Personen mittlerweile online verfügbar sind.

„Unsere Personas sind heutzutage sehr öffentlich, insbesondere wenn Sie in den höheren Führungsetagen tätig sind“, sagt Hughes. „Sie haben wahrscheinlich schon Präsentationen oder Vorträge auf Video gehalten. Ihre Stimme wurde gehört. Je mehr Bilder Sie von einer Person machen können, desto besser ist die Videoqualität. Je mehr Beispiele ihrer Rede, desto besser ist die Audioqualität. Ich könnte ein Gespräch mit Ihnen führen und Ihre Stimme aufnehmen. Das ist nicht allzu schwierig.“

Obwohl Deepfake-Betrügereien nicht unbedingt extrem komplex sind, müssen sie gut organisiert sein, sagt er. „Viele Ransomware-Angriffe werden an eine Million Menschen verschickt und ein oder zwei reagieren vielleicht – sie sind überhaupt nicht zielgerichtet. Bei Deepfakes müssen Kriminelle einen Plan haben, den sie in die Tat umsetzen, und dieser ist sicherlich zielgerichtet. Das ist der Unterschied.“

Bauunternehmen sind ein Ziel

Falls es noch weiterer Beweise bedarf als des Angriffs, dem Arup zum Opfer gefallen ist, liegt die Wahrscheinlichkeit, dass Bauunternehmen ein Ziel von Deepfake-Betrügern sind, mindestens ebenso hoch wie Unternehmen in jedem anderen Sektor.

Kriminelle interessiert eigentlich nur die Erfolgswahrscheinlichkeit ihres Plans und suchen nach Schwachstellen, sagt Lopez.

„Sie werden sich auf Bereiche konzentrieren, die technologisch weniger fortgeschritten sind, wie zum Beispiel das Baugewerbe“, erklärt er. „In diesem Umfeld werden sie versuchen, Menschen zu finden, die möglicherweise älter oder weniger technisch versiert sind, oder sie werden sich auf Regionen konzentrieren, die weniger technologisch versiert sind.“

Und in einer passenden Analogie für diesen Sektor fügt er hinzu: „Wenn Sicherheit eine Ziegelmauer ist, besteht unsere Aufgabe darin, die gesamte Mauer instand zu halten. Das ist schwierig, weil es viele Ziegel gibt – wenn sie nur einen einzigen losen Ziegel finden, ziehen sie ihn einfach heraus.

„Sie könnten eine Person ins Visier nehmen, die einer Machtposition nahe steht – eine Sekretärin, die vielleicht technisch weniger versiert ist und bei einer Frage dieser Art gerne behilflich ist. Dann nutzen sie diese Empathie, um die Person zu überrollen.“

So bleiben Sie auf der Hut

Wenn es darum geht, Ihr Unternehmen vor Deepfake-Angriffen zu schützen, ist laut Hughes Vorbeugen besser als Heilen.

Lopez weist darauf hin: „Das Problem bei allen diesen Social-Engineering-Versuchen ist, dass sie Sie unter Druck setzen: ‚Das muss jetzt erledigt werden, sonst verlieren wir Aufträge.‘ Wenn man Ihnen sagt: ‚Das muss jetzt erledigt werden‘, verlieren Sie alle Fähigkeiten zum kritischen Denken, die Sie entwickelt haben.“

Mitarbeiter müssen ermutigt werden, die von ihnen verlangten Aufgaben zu hinterfragen. Gleichzeitig muss das Management dafür sorgen, dass es zugänglich genug ist, damit die Mitarbeiter das Gefühl haben, solche Anfragen hinterfragen zu können.

Bild: weerapat1003 über AdobeStock – stock.adobe.com

Zumindest bei Videos können Deepfakes noch verräterische Anzeichen dafür bieten, dass sie nicht echt sind, zumindest im Moment. Da bei einem Deepfake-Video ein falsches Gesicht über eine echte Person vor der Kamera gelegt wird, kommt es zu Unschärfen oder Artefakten, wenn die Person ihren Kopf oder ihr Gesicht berührt.

„Aber für technisch weniger versierte Leute ist es so, dass sie eine Person erkennen und für alles andere ist nichts mehr zu sagen“, sagt Hughes.

Da das Klonen von Stimmen (entweder Text-zu-Stimme oder Live-Stimme-zu-Stimme) ausgereifter und weniger technisch aufwändig ist, werden Betrügereien eher mit Stimmen als mit Live-Videos durchgeführt, was schwieriger umzusetzen ist. Und es ist viel schwieriger zu erkennen, insbesondere bei einem Telefongespräch, bei dem die Tonqualität generell schlechter ist oder Hintergrundgeräusche hinzugefügt wurden.

Hughes empfiehlt regelmäßiges Training, um zu erfahren, worauf man achten muss. „Wir neigen dazu, zu denken, dass sechs Monate ungefähr die längste Zeit sind, die man ohne Verstärkung durchhält“, sagt er. Länger als diese Zeit neigen die Leute dazu, die Risiken zu vergessen, warnt er.

Er empfiehlt außerdem, Plakate in Kantinen und Küchen aufzuhängen, um die Botschaft zu verstärken. Wenn das Unternehmen groß genug ist, um diese zentral zu verwalten, empfiehlt es sich sogar, Botschaften auf den Desktop-Hintergrundbildern der Firmencomputer anzubringen und diese alle paar Wochen zu ändern.

Lopez empfiehlt außerdem, die Unternehmensprozesse im Hinblick auf die Sicherheit zu verstärken. „Wenn Sie beispielsweise eine große Finanztransaktion durchführen, sollte es vielleicht einen zusätzlichen Mechanismus geben, bei dem diese von mehreren Personen überprüft werden muss. Oder vielleicht sollte es einen zusätzlichen Schritt geben, den eine Person in einer Führungsposition ausführen muss, wie etwa eine Bestätigung per SMS, bevor die Transaktion durchgeführt werden kann.“

Wenn Kriminelle ihre Opfer zu Zahlungen auffordern, ist es mit ziemlicher Sicherheit zu spät, sobald das Geld auf dem Konto ist, sagt Hughes. „Diese Typen sind ziemlich gut organisiert. Wenn Sie Bargeld auf ein Bankkonto einzahlen, ist es wahrscheinlich innerhalb von Sekunden weg, nachdem es auf dem Konto eingegangen ist.“

„Es geht also zunächst darum, die Leute darin zu schulen, die Bedrohung zu erkennen, und dann zweitens Ihre Prozesse zu überprüfen, um sicherzustellen, dass es schwieriger ist, Transaktionen durchzuführen, die Ihrer Meinung nach ein wenig fragwürdig sind, wenn Sie dazu ermutigt werden.“

Er kommt zu dem Schluss: „Es wird nur noch schlimmer, je besser die Technologie wird. Jeder, der eine vernünftige Spielkonsole hat, kann einen Deepfake ausführen. Wir haben während der Covid-Pandemie insgesamt einen massiven Aufwärtstrend beim Social Engineering erlebt, und dieser hat sich noch nicht wirklich beruhigt. Letzten Endes ist es ein Geschäft – eines mit einer enormen Kapitalrendite.“

Arup-Mitarbeiter fällt einem Deepfake-Videoanruf-Betrug im Wert von 25 Millionen US-Dollar zum Opfer Das Ingenieurbüro Arup hat bestätigt, dass einer seiner Mitarbeiter in Hongkong Opfer eines Deepfake-Videoanrufs wurde, in dessen Folge er Firmengelder im Wert von 200 Millionen HK-Dollar (25,6 Millionen US-Dollar) an Kriminelle überwies.