Mit künstlicher Intelligenz erstellte Stimmenklone können es Cyber-Angreifern allzu leicht machen, z. B. an Mitarbeitende heranzukommen. Jake Moore, Global Security Advisor bei ESET, hat das nicht nur getestet, sondern auch (fast) am eigenen Leib erfahren.
„Die Qualität der geklonten Stimme, die von einem meiner Kollegen erstellt wurde, überraschte mich so sehr, dass ich beschloss, dieselbe Software für 'dubiose' Zwecke zu verwenden. Ich wollte testen, wie weit ich gehen kann und ob ich in der Lage bin, ein kleines Unternehmen zu betrügen - natürlich mit Erlaubnis“, sagt Jake Moore von der britischen Niederlassung von ESET.
Spoiler-Alarm: Die Ausführung war erstaunlich einfach und dauerte nicht mal lang.
Seit Künstliche Intelligenz in Filmen wie Blade Runner und Terminator populär wurde, warten Menschen gewissermaßen darauf, was diese Technologie als Nächstes "fabrizieren” kann.
Doch erst jetzt, dank leistungsfähigerer Computertechnologie und der Aufmerksamkeit der Medien, erleben wir, wie KI ein globales Publikum in Realität erreicht. Und anhand dieser Technologie wird es mit hoher Wahrscheinlichkeit noch kreativere und ausgeklügelter Angriffe mit sehr schädlichen Folgen geben.
"Überweisen Sie mir Ihr Geld”
Jake Moore hat viele Jahre bei der britischen Polizei als Teamleiter der digitalen Forensik gearbeitet und dabei gelernt, wie ein Krimineller zu denken. Das hat mehrere greifbare und unterschätzte Vorteile: Je mehr jemand wie ein Krimineller denkt oder sogar handelt (ohne einer zu werden), desto besser kann er sich schützen. Dies ist unerlässlich, um mit den neuesten Bedrohungen Schritt zu halten und zukünftige Trends vorauszuahnen.
Damit er mehrere Möglichkeiten testen konnte, die die künstliche Intelligenz derzeit zu bieten hat, musste Jake noch einmal in die Rolle eines digitalen Kriminellen schlüpfen, um ein Unternehmen auf ethische Weise anzugreifen.
Als Erstes fragte er seinen Bekannten - Deckname Harry - ob er dessen Stimme kopieren und für einen Angriff auf dessen eigenes Unternehmen verwenden dürfe. Harry stimmte zu und Jake begann dessen Stimme mit einer leicht erhältlichen Software zu klonen. Es war recht einfach, an Harrys Stimme zu gelangen, da er häufig kurze Werbevideos für sein Unternehmen auf seinem YouTube-Kanal erstellt. Jake musste also nur ein paar dieser Videos kombinieren, und schon hatte er ein gutes Audiobeispiel, mit dem er arbeiten konnte. Innerhalb weniger Minuten kreierte er ein Imitat von Harrys Stimme, dass exakt so klang wie er. Anschließend tippte er alles ein, was mit seiner Stimme vorgelesen werden sollte.
Um den Angriff noch überzeugender zu gestalten, kaperte Jake auch noch Harrys WhatsApp-Konto - mit dessen Erlaubnis natürlich. Durch den Austausch von SIM-Karten verschaffte sich Jake Zugang zum Konto, von dem aus er dann eine Sprachnachricht an die Finanzdirektorin des Unternehmens - alias Sally - schickte. Die Nachricht enthielt eine Aufforderung zur Zahlung von 250 £ an einen „neuen Lieferanten“. Jake führte den Angriff aus, während Harry zu einem Geschäftsessen ging - perfektes Timing also.
In der gefälschten Sprachnachricht gab Harry an, wo er sich befand, und erwähnte, dass er einen „neuen Architekten“ bezahlen müsse. Dabei versprach er, die Bankdaten in der nächsten Nachricht separat zu übermitteln. Zusätzliche Informationen, die nach der WhatsApp-Sprachnachricht gesendet wurden, überzeugten Sally davon, dass die Anfrage echt war. Innerhalb von 16 Minuten nach der ersten Nachricht wurden 250 Pfund auf Jakes persönliches Konto überwiesen.
Jake war sehr erstaunt, wie einfach das ging und wie schnell er Sally davon überzeugen konnte, dass Harrys geklonte Stimme echt war.
Dieser Grad der Manipulation funktionierte aufgrund von mehreren Faktoren:
- Die verwendete Telefonnummer war die von Harry.
- Die erfundene Geschichte passte zu den Ereignissen des Tages.
- Die Sprachnachricht klang, als wäre der Chef persönlich dran.
Sally erklärte später, dass all diese Faktoren für sie mehr als ausreichend waren, um der Aufforderung nachzukommen. Seit diesem Vorfall hat das Unternehmen zusätzliche Sicherheitsmaßnahmen ergriffen, um seine Finanzen zu schützen. Und selbstverständlich hat Jake die 250 Pfund zurückgegeben.
Gefälschtes WhatsApp- Business-Konto als Köder
Der Diebstahl des WhatsApp-Kontos einer anderen Person durch einen SIM-Tausch-Angriff kann eine etwas langwierige Methode sein, um eine Attacke glaubwürdiger zu machen, kommt aber häufiger vor als vermutet. Cyberkriminelle müssen allerdings nicht unbedingt so weit gehen, um das gleiche Ergebnis zu erzielen.
Auch Jake wurde schon einmal Ziel eines Angriffs, der zunächst glaubwürdig erschien. Jemand schickte ihm eine WhatsApp-Nachricht, in der er sich als ein Freund ausgab, der eine leitende Position in einem IT-Unternehmen innehat.
Das Interessante an diesem Angriff lag darin, dass Jake zwar gewohnt ist, Informationen zu verifizieren, diese Nachricht aber mit einem verknüpften Kontaktnamen kam, anstatt als Nummer im Display zu erscheinen. Dies war besonders faszinierend, weil die Nummer, von der die Nachricht kam, nicht in Jakes Kontaktliste gespeichert war und er davon ausging, dass sie weiterhin als Handynummer und nicht als Name angezeigt würde.
Anscheinend gelang den Angreifern dieser Trick durch die Erstellung eines WhatsApp-Business-Kontos, bei dem ein beliebiger Name, ein Foto und eine E-Mail-Adresse zum Konto hinzugefügt werden können, um es sofort echt aussehen zu lassen. Hinzu kommt noch das Voice-Cloning mit Hilfe künstlicher Intelligenz, und schon ist die nächste Generation des Social Engineering erreicht.
Glücklicherweise wusste Jake von Anfang an, dass es sich um einen Betrug handelte, aber weniger erfahrene Menschen könnten auf diesen Trick leicht hereinfallen, der in vielen Fällen zu finanziellen Verlusten führen könnte.
Da das maschinelle Lernen und die künstliche Intelligenz sprunghaft voranschreiten und für die breite Masse immer zugänglicher werden, treten wir in ein Zeitalter ein, in der die Technologie Kriminellen effektiver als je zuvor helfen kann. Vor allem, was die Verschleierung von Identität und Aufenthaltsort von Kriminellen angeht, da bestehende Tools so immer weiterentwickelt werden.
Wie man sich vor Voice-Cloning-Betrug schützen kann
- Befolgen Sie Geschäfts- und Genehmigungsprozesse.
- Überprüfen Sie Personen und Prozesse, z. B. alle Zahlungsanträge mit der Person, die (angeblich) den Antrag stellt, wenn nötig sogar zweimal, und lassen Sie Überweisungen von zwei Mitarbeitern Ihres Unternehmens genehmigen.
- Verfolgen Sie die neuesten Trends in der IT Security sowie bei den Technologien und passen Sie die Schulung Ihrer Mitarbeiter und ihren IT-Schutz entsprechend an.
- Richten Sie Ad-hoc-Informationsschulungen für Ihre Mitarbeiter ein.
- Verwenden Sie mehrschichtige Sicherheitssoftware.
Im Folgenden finden Sie einige Tipps, wie Sie sich vor SIM-Kartentausch und anderen Angriffen schützen können:
- Begrenzen Sie die Menge Ihrer persönlichen Daten, die Sie online weitergeben. Vermeiden Sie es nach Möglichkeit, Ihre Adresse oder Telefonnummer zu veröffentlichen.
- Begrenzen Sie die Anzahl der Personen, die Ihre Beiträge und andere Inhalte in sozialen Medien sehen können.
- Geben Sie Acht vor Phishing-Betrug und anderen Versuchen, Ihnen Ihre persönlichen Daten zu entlocken.
- Verwenden Sie eine Multi-Faktor-Authentifizierung (MFA), z. B. eine Authentifizierungs-App oder ein Hardware-Authentifizierungsgerät.
Die Bedeutung der MFA kann nicht genug betont werden - vergessen Sie nicht, sie auch für Ihr WhatsApp-Konto und alle anderen Konten zu verwenden, bei denen der Dienst angeboten wird.