Deepfakes: Vielfältige Betrugsversuche

Es gibt aber auch konstruktive Anwendungen für Deepfake-Prinzipien

[datensicherheit.de, 20.02.2024] Cyber-Kriminelle versuchten immer wieder, Methoden zur Betrugsprävention und Identitätsüberprüfung mit kreativen Methoden zu umgehen. „Dafür müssen oftmals Validierungsschritte außer Kraft gesetzt werden, die garantieren sollen, dass ,Bots’ keinen Zugriff erhalten“, kommentiert Melissa Bischoping, „Director Endpoint Security Research“ bei Tanium, die aktuelle Zuspitzung der Deepfake-Bedrohungen. Beispielhaft hierfür seien sogenannte Captchas, „die zunächst nur die Eingabe von Zahlen und Buchstaben verlangten und schließlich zu komplexeren Aufgaben weiterentwickelt wurden“. Ein getipptes Captcha allein reiche oft nicht aus, um sensible Arbeitsabläufe wie Finanztransaktionen und Marktplätze für „Krypto-Währungen“ zu schützen.

Foto: Tanium

Melissa Bischoping: Aufklärungs- und Sensibilisierungskampagnen müssten erweitert werden, um ein grundlegendes Bewusstsein für Deepfakes zu schaffen!

Cyber-Sicherheit vs. Deepfakes: Ein Katz-und-Maus-Spiel…

Bischoping führt aus: „Deepfake-Apps sind mittlerweile in der Lage, Bilder von realen Menschen in beliebigen Situationen zu produzieren oder sogar legitim aussehende Videos von Personen zu erstellen, die nicht existieren. Plattformen, die auf Identitätsüberprüfung angewiesen sind, werden deshalb gezwungen, komplexere Nachweise zu verlangen, um zu überprüfen, ob Zugriffsanfragen von echten Personen ausgehen.“

Bei der Nutzung von Finanzplattformen müssten Nutzer oftmals eine Video-Aufnahme machen, „in der sie ihren Kopf in einem bestimmten Muster drehen, während sie ihren Ausweis in der Hand halten“. Dies möge albern wirken, erschwere jedoch die Täuschung durch einen Deepfake erheblich. Es bestehe jedoch das Risiko, dass diese Methoden und Daten dazu verwendet werden könnten, bessere Modelle zu trainieren, um Menschen zu erkennen oder nachzuahmen.

Deepfake-Funktionen können der Unterhaltungsindustrie auf legale Weise nützlich sein

Der Begriff „Deepfake“ werde in der Regel mit kriminellen Machenschaften assoziiert. „Es gibt aber einen legitimen Markt für die zugrunde liegende Technologie“, erläutert Bischoping: Einige Software-Unternehmen böten Möglichkeiten zur Nutzung der Deepfake-Funktionen in der Unterhaltungsindustrie an – in der Regel mit dem Einverständnis der verkörperten Person.

„Sie können sogar Ihren Stimmabdruck archivieren, um diesen zu verwenden, wenn sie aufgrund einer Erkrankung nicht selbst sprechen können. Die gleichen Technologien, die für die Erstellung von Deepfakes verwendet werden, sind auch für die Erkennung von deren Missbrauch unerlässlich“, betont Bischoping. Wie bei jeder leistungsstarken Technologie hänge die Rechtmäßigkeit von Absicht, Zustimmung und Offenlegung ab.

Deepfake-Bedrohungen indes unbedingt ernstzunehmen

Die von Deepfakes ausgehenden Bedrohungen seien indes unbedingt ernstzunehmen. „Neben einer gefälschten ID für eine betrügerische Transaktion können diese Fälschungen zu psychologischen Traumata und zur Schädigung des persönlichen Rufs führen.“ Allein im letzten Monat hätten eine Wahlkampfkampagne mithilfe von Deepfakes und die Ausbeutung KI-generierter Bilder von Taylor Swift das öffentliche Interesse geweckt.

Diese Deepfake-Missbräuche seien zwar nicht neu, die Zahl der Opfer dieser Straftaten nehme jedoch in alarmierendem Maße zu. Deepfakes ermöglichten es Kriminellen, Geld zu erbeuten, Psychoterror auszuüben, Karrieren zu ruinieren oder sogar politische Entscheidungen zu beeinflussen. „Es ist offensichtlich, dass Aufklärung, Regulierung und ausgefeilte Präventionsmaßnahmen eine Rolle beim Schutz der Gesellschaft spielen werden“, so Bischoping.

Unternehmen sollten zusätzliche Überprüfungsebenen einsetzen, um Deepfakes zu erkennen

Einige Unternehmen schulten ihre Mitarbeiter bereits darin, Betrugsversuche zu erkennen, die im Arbeitsalltag eine Rolle spielten. Diese Aufklärungs- und Sensibilisierungskampagnen müssten erweitert werden, um ein grundlegendes Bewusstsein für Deepfakes zu schaffen. Gleichzeitig sollten Unternehmen zusätzliche Überprüfungsebenen für sensible Arbeitsabläufe und Transaktionen einsetzen – es reiche nicht mehr aus, einer Textnachricht, einem Telefon- oder sogar einem Video-Anruf als Form der Identitätsüberprüfung zu vertrauen.

Bischoping rät abschließend: „Wenn sich jemand mit Ihnen in Verbindung setzt, um eine private oder berufliche Transaktion durchzuführen, ist es immer besser, eine zusätzliche Verifizierung vorzunehmen, wenn Sie nicht in der Lage sind, die Person am Telefon eindeutig zu erkennen. Oft reicht es schon aus, aufzulegen und eine bekannte, vertrauenswürdige Nummer der Person zurückzurufen, die sich an Sie gewandt hat, um den Betrug zu entlarven.“ Ferner sollten im eigenen Unternehmen Arbeitsabläufe eingerichtet werden, welche sich auf robustere Formen der Authentifizierung stützten, „die von einer KI nicht gefälscht werden können – ,FIDO2‘-Sicherheitstoken, Genehmigungen durch mehrere Personen und Verifizierungen sind ein guter Anfang“.

Weitere Informationen zum Thema:

datensicherheit.de, 07.02.2024
Deep-Fake-Video: Die nächste Eskalationsstufe des Chef-Betrugs / Fast 24 Millionen Euro mittels vorgetäuschtem Chef in Hongkong ergaunert

datensicherheit.de, 19.09.2023
Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI / Deepfake-Wahlwerbespots könnten mit computergenerierten Bildern von Kandidaten erstellt werden

datensicherheit.de, 22.06.2022
Deepfakes bald Standardrepertoire Cyber-Krimineller / Vor allem Soziale Plattformen als neue Spielwiese zur Verbreitung von Deepfake-Material genutzt