So wappnen Sie sich gegen KI-gestützten CEO-Betrug

CISOs: Heroes without demonstrable results?

Deepfakes von Managern nehmen zu. Oft mit der Aufforderung Zahlungen freizugeben. Das BACS gibt Tipps zur Gefahrenabwehr.

Social Engineering ist erfolgreich, weil es gezielt menschliche Bedürfnisse und Schwächen ausnutzt. Untersuchungen zeigen, dass Social Engineering bei fast allen Fällen von Internetdelikten eine Rolle spielt. Ein zunehmender Trend ist die Verwendung künstlicher Intelligenz (KI) bei diesen Angriffen. Insbesondere sogenannte «Audio Deepfakes» werden vermehrt in Angriffen gegen Unternehmen beobachtet.

Eine altbewährte Betrugsmasche in neuem Gewand: Die meisten Fälle von CEO-Betrug folgen der klassischen Vorgehensweise. Doch moderne CEO-Betrüger nutzen zunehmend Audio-Deepfakes und auch Deepfake-Videos, um die Stimme des CEO (Chief Executive Officer) oder anderer Schlüsselpersonen zu imitieren. Dadurch steigern die Angreifer ihre Erfolgschancen, Mitarbeitende oder Finanzabteilungen dazu zu bringen, Geld zu überweisen oder vertrauliche Informationen preiszugeben. Klar definierte Prozesse helfen Unternehmen, derartige Betrugsfälle zu minimieren.

Typische Merkmale von Deepfake-Audios sind:

– Metallischer und monotoner Klang der Stimme;

– Merkwürdiger Inhalt des Telefongesprächs;

– Verwendung eines untypischen Wortschatzes.

Typische Merkmale von Deepfake-Videos sind:

– Unlogische Schatten oder unpassende Frisur zum Gesicht;

– Unscharfe Übergänge von Gesichtspartien;

– Unterschiedliche Qualität (Person vs. Hintergrund).

Tipps

Trauen Sie nicht jedem Anrufer oder jeder E-Mail.

Definieren Sie Prozesse bei Finanztransaktionen (Vier-Augen-Prinzip oder Rückfrage über einen alternativen Kommunikationskanal) und halten Sie diese Prozesse auch ein, wenn Sie ein Vorgesetzter unter Druck setzt.

Lassen Sie sich nicht einschüchtern oder unter Druck setzen.

Geben Sie niemals Passwörter oder PIN am Telefon oder per E-Mail bekannt.

Geben Sie gegenüber Unbekannten keine geschäftlichen Informationen preis.

Beenden Sie nicht plausible Anrufe sofort und löschen Sie E-Mails mit obskurem Inhalt umgehend.

Sprechen Sie unbekannte Personen in Ihren Räumlichkeiten an.

Online-Veranstaltung

Um Einblicke in die Möglichkeiten der künstlichen Intelligenz in Zusammenhang mit Social Engineering-Angriffen zu geben, veranstaltet das BACS am 22. Oktober 2024 einen Brownbag Lunch mit Kampagnenbotschafter Ivano Somaini und Brian Ceccato, Technischer Analyst des Bundesamtes für Cybersicherheit BACS.

Interessierte können sich anmelden unter: Online Brownbag Lunch — ECSM
Oder direkt via MS Teams: Anmeldung