Neue Phishing-Methoden: Wenn der CEO zum Deepfake mutiert
Mittwoch, 12. April 2023
Mit «Phishing-Simulation per Deepfakes» bietet die Firma Infosec aus Sursee eine neuartige Social-Engineering-Dienstleistung, um Mitarbeitende für eine perfide Angriffsform auf Informationen und Systeme zu sensibilisieren. Den Grundstein legte ein kreativer Mediamatik-Lernender im Rahmen einer Projektarbeit.
Ernst Martin Erni, CEO Easylearn Schweiz AG, hat als Testpersonen im Experiment "Phishing-Simulation per Deepfakes" teilgenommen
Bildquelle: Credits Swiss Infosec AG
Im Bereich Sicherheit bedeutet Social Engineering das Planen und Durchführen von Angriffen auf Informationen und Systeme unter Ausnutzung der «Schwachstelle Mensch». Das Ziel von Social Engineering ist, Mitarbeitende dazu zu bringen, Sicherheitsfehler zu begehen oder sensible Informationen offenzulegen. Sogenannte Phishing-Angriffe, meist via E-Mail und Telefon, sind die bisher bekannteste Form des Social Engineerings und gehören zu den grössten Bedrohungen für Unternehmen. Mit Künstlicher Intelligenz (KI) hergestellten «Deepfakes» entsteht nun eine neue Gefahrenquelle.
Deepfakes nutzen unter anderem digitale Fälschungen von Gesichtern, die mit Künstlicher Intelligenz (KI) erstellt werden. Sie sind mittlerweile so realistisch, dass sie von der echten Person kaum zu unterscheiden sind. Angreifer bedienen sich immer öfter dieser Methode, um an vertrauliche Informationen zu gelangen oder gewünschte Aktionen zu provozieren. Der per digitale Plattform (Teams, Zoom etc.) zugeschaltete Geschäftsführer (CEO), der Überweisungen anordnet, kann, muss aber nicht der echte CEO sein. Im Betrugsfall spricht man bei dieser Masche vom sogenannten «CEO Fraud».
Phishing-Simulation per Deepfakes
Mit «Phishing-Simulation per Deepfakes» hat die Zentralschweizer Firma Swiss Infosec AG eine neue Dienstleistung entwickelt. Damit kann untersucht werden, ob Angriffe per Deepfakes in einem Unternehmen erfolgreich wären. «Wir erstellen für die Videoanrufe ein Deepfake einer bekannten Person des Unternehmens, etwa des CEO oder der Finanzchefin, und bestimmen gemeinsam mit dem Unternehmen den Ablauf der Simulation», erklärt Ken Vogel, Head of Management Services der Swiss Infosec AG in einer Pressemitteilung. Die Resultate einer solchen Simulation können demnach als Grundlage dienen, um die Mitarbeitenden spezifisch für solche und ähnliche Phishing-Angriffe zu sensibilisieren. Infosec geht davon aus, dass die Wahrscheinlichkeit solcher Angriffe in nächster Zukunft deutlich zunehmen dürfte. Denn der Aufwand für einen Deepfake-Angriff sei nur unwesentlich grösser als für einen Phishing-Angriff per E-Mail. Das hat ein Versuch eines Lernenden gezeigt.
Wenn der Lernende zum Innovator wird
Im Rahmen seiner Ausbildung zum Mediamatiker wählte Kai Yu für seine Individuelle Projektarbeit (IPA) das Thema «Deepfakes». Bei seiner Begabung und Begeisterung für alles rund um Film, Video und neue Technologien war das für ihn eine naheliegende Wahl. So konnte er für sein Projekt zwei Unternehmen gewinnen, die bereit waren, an einer Phishing-Simulation mit Deepfakes teilzunehmen. Darunter auch die Easylearn Schweiz AG, deren CEO Ernst Martin Erni sich als Testperson für das Experiment "Phishing-Simulation per Deepfakes" zur Verfügung stellte.
Die gewonnenen Erkenntnisse aus diesen und weiteren Phishing-Simulationen mit Deepfakes fliessen nun in die Dienstleistung «Phishing-Simulation per Deepfakes» der Swiss Infosec AG ein. Denn der Erfolg der Methode überraschte alle Beteiligten und bestärkte die Firma darin, ihre hauseigenen Potenziale gezielt zu fördern.
Abonnieren Sie jetzt Penso und bleiben Sie auf dem Laufenden. Mit 6 Print-Ausgaben pro Jahr und dem vollen Zugriff auf alle Artikel auf penso.ch sind Sie stets gut informiert.
