Betrüger setzen generative KI ein, um Mitarbeiter von Unternehmens zu täuschen und stattliche Geldbeträge zu ergaunern. Deepfakes funktionieren mittlerweile so gut, dass sie für Unternehmen eine ernsthafte Bedrohung sind.
Per CEO-Fraud zum schnellen Geld
Beim CEO-Fraud geht es darum, Mitarbeiter in Schlüsselpositionen zu täuschen und zum Transfer großer Geldbeträge zu bewegen. Angreifer geben sich als Vorgesetzte aus, um Druck auszuüben und die Opfer zum Handeln zu zwingen.
Bisher haben Angreifer beim CEO-Fraud vor allem auf E-Mails und Telefonanrufe gesetzt. Sie sind im Regelfall gut über Hierarchien und Abläufe im Unternehmen informiert, um ihre Opfer täuschen und den notwendigen Druck erzeugen zu können.
Deepfakes sollen Mitarbeiter täuschen
Inzwischen nutzen Cyberkriminelle neue Technologien, um ihre Angriffe noch authentischer wirken zu lassen. Sie setzen beim CEO-Fraud auf generative KI, mit denen sie sogenannte Deepfakes erzeugen. Die so generierten Personen wirken täuschend echt, was Zweifel bei den Opfern schwinden lässt.
Im einem kürzlich bekannt gewordenen Fall hatten es die Angreifer auf den Buchhalter in einem internationalen Unternehmen abgesehen. Einer der Kriminellen gab sich als Finanzvorstand bzw. CFO aus und forderte das Opfer auf, einen Betrag von gut 23 Mio. Euro zu überweisen. Um Zweifel auszuräumen, wurde der in Hongkong ansässige Buchhalter in einen Videocall eingeladen, wo er auf den angeblich in London befindlichen CFO stieß.
Allerdings sprach das Opfer gar nicht mit dem CFO, sondern mit einem Betrüger. Die manipulierte Videosoftware legte über den Angreifer einen Filter, der Aussehen und Stimme in Echtzeit manipuliert. Dies geschieht mittlerweile so gut und zuverlässig, dass andere Teilnehmer auf solche Deepfakes meist mit Leichtigkeit hereinfallen.
Exkurs: Deepfakes
Deepfakes sind computergenerierte Medieninhalte, die mithilfe von künstlicher Intelligenz (KI), insbesondere durch neuronale Netzwerke, erstellt werden. Diese Technologie analysiert und manipuliert vorhandene Daten wie Bilder, Videos und Audioaufnahmen, um täuschend echte Fälschungen zu erzeugen. Durch das Training des neuronalen Netzwerks mit großen Datensätzen lernt es, Gesichter, Stimmen und Bewegungen zu imitieren, was es ermöglicht, Personen in Videos oder Audioaufnahmen so darzustellen, als ob sie Dinge sagen oder tun würden, die sie in Wirklichkeit nicht gesagt oder getan haben.
Wie sich Unternehmen schützen können
Angesichts der zunehmenden Gefahr durch CEO-Fraud und der Verwendung von KI-Deepfakes durch Cyberkriminelle ist es für Unternehmen wichtiger denn je, ihre Mitarbeiter und Vermögenswerte zu schützen.
- Schulung und Sensibilisierung
Unternehmen sollten ihre Mitarbeiter regelmäßig über die Gefahren von CEO-Fraud und die Verwendung von Deepfake-Technologien informieren. Schulungen können dabei helfen, Mitarbeiter für verdächtige Anfragen zu sensibilisieren und sie dazu zu befähigen, betrügerische Aktivitäten zu erkennen. - Überprüfung von Zahlungsanweisungen
Unternehmen sollten klare Richtlinien und Verfahren zur Überprüfung von Zahlungsanweisungen implementieren. Dies kann die Notwendigkeit von mehrstufigen Genehmigungsprozessen und die Überprüfung von Zahlungsanweisungen durch mehrere autorisierte Mitarbeiter umfassen, insbesondere bei großen Geldbeträgen. - Einsatz von Technologie
Unternehmen können auch auf Technologien wie KI-gestützte Analysen und Machine Learning-Algorithmen zurückgreifen, um verdächtige Aktivitäten zu erkennen und präventive Maßnahmen zu ergreifen. Fortschrittliche Sicherheitslösungen können helfen, die Abwehrmechanismen gegenüber neuen Bedrohungen zu stärken. - Kommunikation und Transparenz
Es ist wichtig, eine offene Kommunikationskultur zu fördern, in der Mitarbeiter Bedenken bezüglich verdächtiger Anfragen oder Aktivitäten frei äußern können. Unternehmen sollten klare Kanäle für die Meldung von Betrugsversuchen bereitstellen und sicherstellen, dass Mitarbeiter sich sicher fühlen, diese zu nutzen.
Durch eine Kombination aus Schulung, Technologie und proaktiven Sicherheitsmaßnahmen können Unternehmen ihre Mitarbeiter und Vermögenswerte effektiv schützen und das Risiko von betrügerischen Aktivitäten minimieren.