Abwehr von Angriffen auf synthetische Medien durch Sicherheitspolitik

Deepfakes und andere Formen synthetischer Medien werden das Social Engineering revolutionieren und ein neues Paradigma von Cyberangriffen einläuten. Das FBI geht davon aus, dass Social-Engineering-Angriffe mit synthetischen Medien in den nächsten 12 bis 18 Monaten erheblich zunehmen werden. [1] Synthetische Medien werden traditionelle Angriffe wie Vishing um neue Möglichkeiten erweitern, indem sie die Stimmen von Führungskräften imitieren, oder sie können zu völlig neuen Angriffen wie Zishing (Zoom-Phishing) führen. [2]

Wenn die Mitarbeiter jetzt über diese Bedrohungen aufgeklärt werden und gute Sicherheitsrichtlinien eingeführt werden, verringert sich nicht nur die Wahrscheinlichkeit, dass die Angriffe erfolgreich sind, sondern auch die Wirksamkeit herkömmlicher Social-Engineering-Angriffe.

Der Begriff "Deepfakes" bezieht sich auf eine bestimmte Kategorie synthetischer Medien, bei der vorhandene Audio- oder Videoclips wiederverwendet werden, um die synthetische Darstellung (die Syn-Puppe) der verkörperten Person zu imitieren und zu steuern. Diese Technologie ist seit einigen Jahren verfügbar und wird in groß budgetierten Filmen wie Rogue One für die Figur der Prinzessin Leia verwendet.

Deepfakes in freier Wildbahn

Mindestens ein Beispiel für die Audio-Deepfake-Technologie wurde im Rahmen eines Vishing-Angriffs auf ein britisches Unternehmen gemeldet, bei dem Kriminelle die Stimme einer Führungskraft nachahmten, um einen Mitarbeiter zu überzeugen, Geld auf ein nicht autorisiertes Konto zu überweisen. Die Kriminellen waren so überzeugend, dass sie diesen Betrug dreimal erfolgreich wiederholten, bevor sie beim vierten Versuch entdeckt wurden, als der Angestellte misstrauisch wurde. [3]

In den letzten Jahren hat sich diese Technologie immer weiter verbreitet und ist auch für technisch weniger versierte Nutzer zugänglich geworden. Zum Zeitpunkt der Erstellung dieses Artikels wird eine Frau aus Pennsylvania beschuldigt, gefälschte Videos von jugendlichen Cheerleadern erstellt zu haben, die sich verboten verhalten haben, und versucht zu haben, sie aus dem Cheerleader-Programm zu entfernen. [4] Dies ist ein Beispiel dafür, wie eine technisch nicht versierte Person diese Technologie für böswillige Handlungen nutzen kann.

Minimierung der Bedrohung durch eine gute Sicherheitspolitik

Zwar gibt es derzeit mehrere technologiebasierte Methoden zur Erkennung synthetischer Medien, doch sind diese oft nur schwer in Echtzeit auf persönliche Geräte anzuwenden. Glücklicherweise können hier gute "altmodische" Sicherheitsrichtlinien ein wirksames Mittel gegen diese neue und aufkommende Bedrohung sein. Hier sind vier einfach umzusetzende Richtlinien, deren Einführung nur wenig kostet:

• Die Gemeinsame Geheimhaltungspolitik.
• Die "Never Do Policy".
• Die Richtlinie zur Autorisierung mehrerer Personen.
• Die Multi-Faktor (Multi-Channel) Authentifizierungsrichtlinie.

Die Gemeinsame Geheimhaltungspolitik

Dies ist eine schnelle und einfache Möglichkeit, die Person am anderen Ende der Kommunikation zu überprüfen. Spione und ihre Agenten verlassen sich seit Jahrhunderten auf diese Form der Validierung.

Um diese Politik umzusetzen, vereinbaren Sie einfach im Voraus ein Signal (Frage) und ein Gegensignal (Antwort), wobei Sie sich darauf verlassen, dass die andere Partei angemessen reagieren wird, wenn eine der Kommunikationsparteien die Frage hört. Eine Probefrage könnte lauten: "Welches Deckblatt gehört auf diesen Verkaufsbericht?" - worauf der Empfänger mit einer vorher festgelegten Antwort antworten würde, wie z. B. "Die beiden Bobs haben gesagt, dass Verkaufsdeckblätter nicht mehr benötigt werden."

Um die Akzeptanz unter den Mitarbeitern zu fördern, könnte dies sogar in einen Insider-Witz umgewandelt werden. Vermeiden Sie die Verwendung von Frage-Antwort-Paaren (z. B. Filmzeilen, Liedtexte oder Firmenslogans), die von einem Gegner erraten werden könnten. Um die Effektivität zu maximieren, sollte die Frage vermeiden, den Kriminellen auf die Frage aufmerksam zu machen. Wenn in diesem Beispiel Verkaufsberichte Teil der Interaktion sind, würde dieser Austausch normal erscheinen.

Die "Never Do"-Politik

Nach einer Reihe von Geschenkkartenbetrügereien, in die Mitarbeiter verwickelt waren, erklärte der Direktor einer Organisation nachdrücklich und unmissverständlich, dass er seine Mitarbeiter unter keinen Umständen um den Kauf von Geschenkkarten bitten würde. Klare Anweisungen darüber, was eine hochrangige Führungskraft verlangen wird (oder niemals verlangen wird), helfen den Mitarbeitern zu verstehen, was "normale" Anfragen sind.

Außerdem sollte diese Art von klarer Anweisung Anweisungen enthalten, wie ein Mitarbeiter mit einer fragwürdigen Kommunikation umgehen sollte. Im vergangenen Jahr habe ich sechs E-Mails erhalten, von denen ich überzeugt war, dass es sich um Phishing-E-Mails handelte. Nachdem ich diese an mein Security Incident Response Team (SIRT) gemeldet hatte, erfuhr ich, dass sie in Wirklichkeit echt waren. Falsche Alarme wie diese sind vorprogrammiert, aber das ist nichts Schlechtes. Ganz im Gegenteil: Mitarbeiter, die auf der Hut vor Social Engineering-Versuchen sind, sind für Ihr Unternehmen von unschätzbarem Wert. Stellen Sie sicher, dass Sie den Nutzen dieser Cyber Resilience Stewards maximieren, indem Sie sie wissen lassen, wie sie angemessen reagieren können.

Die Mehr-Personen-Authentifizierungsrichtlinie

Auch wenn die Mitarbeiter für ihre Arbeit Autonomie benötigen, sind bestimmte Situationen am besten mit mehreren Autorisierungsebenen zu bewältigen. BIC-Betrug könnte erheblich reduziert werden, indem einfach mehrere Personen zur Autorisierung von Transaktionen verpflichtet werden.

Ein jüngerer Angestellter ist möglicherweise weniger geneigt, einen Vorgesetzten zu befragen, was ihn anfälliger für Betrüger macht, die sich als hochrangige Führungskräfte ausgeben. Im Fall des britischen Unternehmens hätte ein Vorgesetzter, der mit der Führungskraft, als die er sich ausgab, vertraut war, mehrere Opfer verhindern können. Indem sie sich auf ein gemeinsames Geheimnis verlassen und auf gleicher Augenhöhe sind, wären sie eher bereit, die Probefrage zu stellen.

Die Multi-Faktor (Multi-Channel) Verifizierungspolitik

Die Verwendung mehrerer Authentifizierungsformen ist wohl die effektivste Methode, um BIC-Betrug zu vereiteln. Wichtig dabei ist, dass der zweite Faktor (oder Kanal) nicht mit dem primären Kanal identisch sein muss, der verwendet wird. Wenn eine Anfrage beispielsweise per E-Mail (der erste Kanal) eingeht, sollte die Bestätigung per Telefon (der zweite Kanal) erfolgen.

Ein Opfer, das ich befragte, erzählte mir, dass es eine E-Mail an die Adresse geschickt hatte, von der es die erste Anfrage erhalten hatte, um zu fragen, ob die erste E-Mail rechtmäßig sei. Leider war dieses Konto kompromittiert worden, und der Kriminelle schickte eine Antwort an das Opfer, in der er erklärte, dass die ursprüngliche Anfrage legitim sei und sie mit der Geldüberweisung fortfahren sollten.

Die Quintessenz

Die größte Herausforderung bei der Umsetzung dieser Maßnahmen besteht darin, die menschliche Tendenz zu überwinden, sie aus Zeitdruck, Bequemlichkeit oder Mitgefühl für eine Person in Not zu umgehen. Die Umsetzung dieser Maßnahmen ist nur ein Teil der Lösung; sie zur regelmäßigen Gewohnheit zu machen, ist eine weitere (möglicherweise größere) Herausforderung, um diese Angriffe abzuwehren.

[1] " Benachrichtigung der Privatwirtschaft ," FBI

[2] " Deepfake Social Engineering: Schaffung eines Rahmens für Social Engineering in synthetischen Medien", Matthew Canham

[3] " Betrüger nutzen KI, um die Stimme des CEO in einem ungewöhnlichen Fall von Cyberkriminalität zu imitieren ," Wall Street Journal

[4] " Pennsylvania Frau beschuldigt, Deepfake-Technologie zur Belästigung von Cheerleadern eingesetzt zu haben ," New York Times