Deep-Fake-Video: Die nächste Eskalationsstufe des Chef-Betrugs

Fast 24 Millionen Euro mittels vorgetäuschtem Chef in Hongkong ergaunert

[datensicherheit.de, 07.02.2024] Es sei nicht das erste Mal, dass ein „Deep-Fake Boss“ ein Unternehmen um Millionen betrügt: Fast 24 Millionen Euro (200 Millionen Hongkong-Dollar) seien es laut „Hong Kong Free Press“ diesmal. Noch handele es sich um Einzelfälle, anders als die artverwandte E-Mail-gestützte sogenannte Chef-Masche oder „BEC Fraud“ (Business E-Mail Compromise). Richard Werner, „Business Consultant“ bei Trend Micro, kommentiert angesichts des jüngsten Vorfalls die „Deep-Fake Boss“-Masche: „Im Prinzip ist das Vorgehen identisch. Ein Mitarbeiter, vorzugsweise in der Finanzabteilung, wird von der Unternehmensleitung, dem ,Boss’, aufgefordert, Geld zu überweisen. An irgendein Konto und natürlich vertraulich.“ Es gehe um den Abschluss eines Deals, eine Firmenübernahme oder im kleineren Maßstab – auch mal nur um das Budget für Weihnachtsgeschenke. Werner führt weiter aus: „Gemeinsam haben alle, dass es möglichst schnell gehen muss und man es möglichst keinem mitteilen soll. Aber wer wollte seinem Boss schon etwas abschlagen, wenn ihn dieser per Video-Konferenz dazu auffordert? …“

Foto: Trend Micro

Richard Werner: Die Chef-Masche zählt zu den Confidence-Scams – also Betrug, der mit der Überzeugung des Opfers zu tun hat

Chef-Betrug fokussiert auf Überzeugung des Opfers

Die „Chef-Masche“ zählt laut Werner zu den sogenannten Confidence-Scams – also Betrug, der mit der Überzeugung des Opfers zu tun hat. Dazu müssten „Story“ und Gesamteindruck stimmen.

Indes: „Schon eine E-Mail, welche vom Account der Unternehmensleitung abgeschickt wird (oder zu sein scheint), ist oft ausreichend.“ Im vorliegenden Fall sei aber angeblich ein „Deep-Fake“-Video eingesetzt worden. Nun sei es schon sehr überzeugend, die andere Person direkt zu sehen und von ihr, in deren bekannter Stimme zu hören, was zu tun ist.

„Als Mitarbeitender werden Sie auf Ansage (,Hören Sie zu, ich hab’ es eilig!‘) möglicherweise stillschweigend akzeptieren, was ihnen aufgetragen wird.“ So scheine es zumindest im vorliegenden Fall gewesen zu sein, denn eine echte Interaktion sei laut Artikel nicht zustande gekommen – dies genau sei aber entscheidend für den Erfolg besagter Methode.

Chef-Betrug – Abwehr erfordert Unternehmenskultur und klare Richtlinien

Der beste Schutz vor der „Boss-Masche“ (auch BEC) ist laut Werner, die internen Prozesse für Auszahlungen so zu gestalten, dass diese nicht per Bitte oder Anweisung bestimmter Personen möglich sind, sondern einen komplexeren Genehmigungsprozess durchlaufen müssen: „In der Vergangenheit sagte man hier auch oft das Prinzip der ,doppelten’ Bestätigung. Kam die Anweisung per Mail, rief man an und fragte nach. Kam sie per Telefon, forderte man eine E-Mail-Bestätigung.“ Das gelte auch heute noch.

Allerdings sollte man aus diesem „Deep-Fake“-Angriff lernen. „Die Video- und Audio-Bestätigung erfolgte – nur gab es keine Interaktion, der Angestellte hörte und sah nur zu“, berichtet Werner. Dadurch habe ein zuvor durch „Deep Fakes“ erstelltes Video eingespielt werden können. Der adressierte Mitarbeiter sei so getäuscht worden und habe das Geld überwiesen.

Werner rät abschließend dringend: „Will man derartige Attacken vermeiden, sollte man es den Mitarbeitern erlauben, – ja sie sogar dazu auffordern – ihre Chefs zu diesen Aktivitäten zu hinterfragen!“ Man mache es dadurch den Angreifern schwerer. Ganz auszuschließen sei es aber nicht, „wenn die grundsätzliche Möglichkeit bestehen bleiben soll, Geld auf Anweisung des Bosses auszuzahlen“.

Weitere Informationen zum Thema:

HKFP HONG KONG FREE PRESS, 05.02.2024
Multinational loses HK$200 million to deepfake video conference scam, Hong Kong police say / Police received a report of the incident on January 29, at which point some HK$200 million (US$26 million) had already been lost via 15 transfers

datensicherheit.de, 27.05.2021
CEO Fraud laut KnowBe4-Umfrage noch immer weitgehend unbekannt / Beim CEO Fraud gibt sich ein Cyber-Krimineller sich als Chef aus und ordnet Aktionen bzw. Transaktionen an

datensicherheit.de, 29.04.2020
CEO-Fraud: Whitepaper zur Erkennung und Vermeidung des Chefbetrugs / Präventive Maßnahmen gegen eine der erfolgreichsten Phishing-Attacken-Arten empfohlen