Erfolgreiche Voice-Deepfake-Attacke
09.09.2019

Der technische Fortschritt animiert Kriminelle zu immer raffinierteren Betrugsmethoden. Schon seit einiger Zeit sind Foto- und Video-Deepfakes im Umlauf, die von echtem Bildmaterial kaum noch zu unterscheiden sind. Nun schlug erstmals in größerem Ausmaß ein Voice-Deepfake zu. Mit einer KI-basierten Software und der Imitation der Stimme eines CEO gelang es Angreifern, in den Besitz von 243.000 US-Dollar zu gelangen. Das teilte das IT-Dienstleistungsunternehmen NTT Security in Ismaning mit.

US-Medienberichten zufolge glaubte der CEO eines in Großbritannien ansässigen Energieunternehmens mit seinem Vorgesetzten, dem Geschäftsführer der deutschen Muttergesellschaft, zu telefonieren, als er dessen Anweisung befolgte, 243.000 US-Dollar an einen ungarischen Lieferanten zu überweisen. Tatsächlich habe die Stimme einem Betrüger gehört, der mithilfe KI-basierter Sprachtechnologie die Stimme des Vorgesetzten nachgeahmt habe. 

Große, international aufgestellte Firmen gefährdet

Nach Einschätzung von NTT Security sind solche Angriffe relativ einfach realisierbar. Entweder der Angreifer nutze frei verfügbare Videos vom CEO im Internet, aus denen er die Stimme extrahieren könne. Oder aber er verwende Ausgangsmaterial für ein Voice-Deepfake, das demjenigen des CEOs ähnele. Gefährdet für solche Angriffe seien vor allem große, international aufgestellte Firmen, bei denen ein „Opfer“ meist die Stimme des Gegenübers nicht zu 100 Prozent genau kenne. Angriffe mit einer ähnlich klingenden Stimme seien hier sehr erfolgversprechend. 

Wie es weiter hieß, gibt es durchaus Möglichkeiten derartige Angriffe zu erkennen. Es komme ganz darauf an, wie viel Aufwand in die Deepfake-Erstellung gesteckt werde. Ein nicht so gut vorbereiteter Angreifer könne auffallen, wenn er nicht genug Audiomaterial vorbereitet habe und dieses dann ad hoc generieren müsse. Dabei könne es zu Verzögerungen in den Antwortzeiten kommen, was ein Hinweis darauf sein könne, dass ein Angriff mit Voice-Deepfakes erfolge. Das Problem sei jedoch, dass sich mit vergleichsweise geringem Aufwand schon relativ gute Ergebnisse erzielen ließen.

Im Hinblick auf die Deepfake-Gefahr sollten Firmen einen Prozess aufzusetzen, der bei unternehmenskritischen Aktivitäten wie einer finanziellen Transaktion oder Übermittlung von Forschungs- und Kundendaten eine telefonische Rückversicherung beinhalte. Darüber hinaus seien auch Awareness-Trainings empfehlenswert, die speziell auf das Thema Social Engineering eingehen. (ud)

Bildquelle: iStock.com/Aleksander Gremlin


[zurück]
Weitere interessante News