365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Der britische Security-Experte Jake Moore startete ein Experiment, um zu zeigen, wie leicht sich mit KI-generierten Deepfakes Sicherheitsvorkehrungen überwinden lassen– mit erschreckendem Ausgang.
Kaum ein Gebiet, das noch ohne KI auskommt, aber auch Kriminelle wissen diese Technologie geschickt einzusetzen. Immer häufiger kommen Deepfakes zum Einsatz. Die Schadenssummen sind bereits enorm, in einem Fall waren es 25 Millionen US-Dollar. Der britische Security-Experte Jake Moore wollte herausfinden, wie aufwendig das ist und übernahm mit Leichtigkeit die Identität eines Unternehmenslenkers.
Fast täglich entstehen neue Anwendungsfelder für künstliche Intelligenz (KI). Doch ebenso oft hört man von neuen Missbrauchsmöglichkeiten. Ein bekannter britischer Security-Experte startete dazu ein Experiment. Er wollte wissen, wie weit er mit der aktuellen Technik kommt und ob es ihm sogar gelingen würde, Geld zu erbeuten. In einem Vortrag schildert er den überraschenden Verlauf seines Projekts.
Ein solches Experiment, bei dem finanzieller Schaden entstehen kann, erfordert die Zustimmung des vermeintlichen Opfers, das war Jake Moore sofort klar. Schließlich hatte er 14 Jahre für die britische Polizei im Bereich Computerkriminalität und digitale Forensik gearbeitet, bevor er zum Security-Software-Anbieter ESET wechselte. Heute ist Moore ein viel gefragter Interview-Partner. Moore hatte schon bei vorherigen Experimenten auf Personen aus seinem Umfeld zurückgegriffen und deren SIM-Karten, Whats-App- und Social-Media-Accounts gekapert. Für sein neues Vorhaben suchte er wieder in seinem Bekanntenkreis, doch niemand war bereit, an diesem Versuch teilzunehmen. Letztlich gelang es ihm, Jason Gault zur Mitwirkung zu überreden. Gault leitet in Großbritannien eine florierende Personalvermittlungsagentur mit rund 40 Mitarbeitern.
Zunächst begann alles eher harmlos. Moore wettete, dass es ihm ohne Zugangsberechtigung gelingen würde, in das Büro des Firmenchefs zu gelangen. Gault war von seiner Sicherheitstechnik überzeugt und ging auf die Wette ein. Moore kopierte mithilfe eines Hacking-Tools heimlich den RFID-Code des Mitarbeiterausweises von Jason Gault. Damit gelangte er unbehelligt in die Büros der Firma. Trotz provokantem Posing vor Überwachungskameras fiel niemanden auf, dass sich ein Eindringling im Haus befand. Moore fragte sogar eine Mitarbeiterin, ob sie von ihm ein Foto machen könnte, wie er im Vorstandssitzungsraum die Beine auf den Tisch legt. Das tat sie bereitwillig und Moore sandte das Foto umgehend an den überraschten Jason Gault.
Doch Moore wollte mehr. Er war überzeugt, wenn er mit einfachen Kniffen so weit kommen konnte, dann würde ihm mit intelligenteren Tricks weit mehr gelingen. „Die technischen Möglichkeiten heutzutage sind fantastisch“, schwärmt Moore. Er dachte dabei an KI, hatte er doch schon ein Deepfake-Video von sich selbst als James Bond im Trailer zum letztem Film erstellt.
Also fragte er Gault, ob er versuchen dürfe, dessen LinkedIn-Account zu hacken. Der stimmte zu. Schnell hatte sich Moore Zugang verschafft und bat Gault ihm den Account für 48 Stunden zu überlassen. Gault trat derweil den lang geplanten Urlaub auf Teneriffa an.
Moore wusste, dass Gault ein ambitionierter Rennradfahrer ist. Er ersann die Idee, ein Fake-Video zu erstellen, in dem Gault eine absurde Fahrradkampagne ankündigt. Mit KI-Tools gestaltete er eine anspruchsvolle Kulisse. Darin zu sehen ist eine Gruppe von Rennradfahrern, die zur Pause die Fahrräder abgestellt hat, um in ein spanisches Restaurant auf der kanarischen Insel einzukehren. Nichts und niemand davon war real. Vor dieser Kulisse ließ Moore Gault sagen: „Ihr wisst alle, beim Fahrradfahren liebe ich Herausforderungen. Nun plane ich eine neue Aktion, größer und spektakulärer als alle vorherigen: Ich werde mit dem Fahrrad nach Australien fahren. Nein, ich kaufe kein Flugticket, ich will auf dem Fahrrad dorthin“. Er fügte noch hinzu, dass er wisse, dass sein Vorhaben verrückt sei.
Real oder fake? Mit diesem Deep-Fake-Video konnte Jake Moore via LinkedIn in die Person Jason Gault schlüpfen. Nur seine Tochter realisierte den Betrug; kurz darauf wurde das Experiment beendet.
Auch im Nachgang hatte niemand die Echtheit des Videos infrage gestellt. Moore zeigt sich im Gespräch mit der it-sa immer noch überrascht, wie leicht es war, mit einer völlig absurden Idee sogar Bekannte und Freunde zu täuschen und zigtausend britische Pfund erbeuten zu können.
Gault zog Konsequenzen: Er heuerte Moore für Sicherheitstrainings an. Die Mitarbeiter sollten sensibilisiert und Schwachstellen in der Sicherheitstechnik ausgemerzt werden. Moore hatte sein Ziel erreicht: „Physische Einbrüche bringen Menschen zum Nachdenken“, kommentierte er das Resultat.
„Wenn ich ihnen zeige, wie einfach so etwas geht, dann sind die Leute viel eher bereit, etwas zu ändern“, resümiert Moore.
Doch gefragt, was zur Abwehr von Betrug mit Deepfakes nötig sei, hat auch Moore kein Patentrezept. Er sehe dazu momentan weder Tools noch technische Möglichkeiten. „Die Identität einer Person zu überprüfen, ist eine der großen gegenwärtigen Herausforderungen“, erläutert Moore im Gespräch. Er fügt hinzu: „Hier ist eine Lücke, die hoffentlich bald geschlossen wird“. Vorerst rechnet er mit einer Zunahme von Deepfake-Betrug: „Cyberkriminelle sind gut organisiert, sie werden bestimmt bald deep-fake-as-a-service anbieten“.
Seine Empfehlung lautet: „Zero Trust ist die Basis, das muss auch zwischen Personen gelten und in der persönlichen Kommunikation. Insbesondere, wenn es um Geld geht“. Moore rät: „Man muss sich immer Fragen stellen, wie: Warum passiert das jetzt und warum passiert das mir“. Oftmals liefert das eigene Gefühl, die eigene Intuition entscheidende Anhaltspunkte. „Wenn einem irgendetwas komisch vorkommt, sollten die Alarmglocken schrillen“, mahnt er.
Wie nötig das ist, zeigt ein Fall, über den der US-amerikanische Nachrichtensender CNN berichtete. Ein Mitarbeiter der Finanzabteilung des multinationalen Unternehmens Arup wurde gebeten, an einer Videokonferenz mit Managementvertretern teilzunehmen. Darin wurde ihm erklärt, dass eine wichtige Überweisung in Höhe von 25 Millionen US-Dollar zu veranlassen ist. Doch dabei handelte es sich um Betrug, das Geld war weg, denn der Mitarbeiter war die einzig echte Person in diesem Videogespräch – alle anderen waren Deepfake-Nachbildungen.
Autor: Uwe Sievers
Jake Moore: https://jakemoore.uk/
CNN: British engineering giant Arup revealed as $25 million deepfake scam victim
CNN: Finance worker pays out $25 million after video call with deepfake ‘chief financial officer’
Welivesecurity: What is AI, really? | Unlocked 403: Cybersecurity podcast
Welivesecurity: What happens when AI goes rogue (and how to stop it)
