[datensicherheit.de, 29.08.2024] Weltweit ist laut Medienberichten KI-gestützter Identitätsbetrug auf dem Vormarsch – so auch in der DACH-Region. „Allein in Österreich haben Deepfake-Angriffe, laut einer aktuellen KPMG-Austria-Erhebung, in diesem Jahr um satte 119 Prozent zugelegt“, berichtet Detlev Riecke, „Regional Vice President DACH“ bei Ping Identity, in seiner aktuellen Stellungnahme. Da sei es kein Wunder, dass sich in der kürzlich erschienen Umfrage, an der auch zahlreiche deutsche IT-Entscheider beteiligt gewesen seien, mehr als die Hälfte „sehr besorgt“ über KI-gestützte Bedrohungsszenarien gezeigt habe. Riecke führt aus: „Vor allem in Zusammenhang mit Deepfake-Angriffen sehen viele IT-Entscheider nach wie vor enorme Sicherheitslücken klaffen.“ Annähernd die Hälfte vermutet demnach, dass Deepfake-Angriffe im eigenen Unternehmen nicht rechtzeitig erkannt werden können – auch und gerade dann nicht, wenn die Angreifer Stimme und Bild des eigenen CEOs zum Einsatz bringen.

Foto: Ping Identity

Detlev Riecke: Im Zusammenhang mit Deepfake-Angriffen sehen viele IT-Entscheider nach wie vor enorme Sicherheitslücken klaffen!

Ferrari hat Deepfake-Angriff öffentlich gemacht

Dass solche Angriffe mittlerweile längst keine Ausnahmeerscheinung mehr darstellten, habe vor Kurzem der italienische Autohersteller Ferrari demonstriert, welcher einen solchen Deepfake-Angriff öffentlich gemacht habe: „Ein Manager des Unternehmens hatte per Mail mehrere Nachrichten seines Vorstandsvorsitzenden erhalten. In diesen war er aufgefordert worden, im Rahmen einer angeblichen Konzernübernahme eine Verschwiegenheitserklärung zu unterzeichnen.“

Als er nicht reagiert habe, sei er per Telefonanruf kontaktiert worden – angeblich vom Vorsitzenden selbst. Die Stimme am Telefon sei eine perfekte Imitation gewesen. „Sogar der markante süditalienische Akzent des Vorstandsvorsitzenden passte genau.“ Zum Glück indes für Ferrari habe der Manager aber Verdacht geschöpft und dem Betrüger eine persönliche Frage gestellt, welche nur der echte Vorsitzende hätte beantworten können. Der Angreifer habe sofort aufgelegt und so diesen Deepfake-Angriff abgebrochen.

Deepfake-Angriffe längst in den Alltag der Unternehmen vorgedrungen

Auch wenn der Deepfake-Angriff bei Ferrari letztlich erfolglos geblieben sei, so zeige er doch: „Deepfake-Angriffe sind längst in den Alltag der Unternehmen vorgedrungen!“ Mit einer rasanten Zunahme ihrer Quantität und Qualität sei in den kommenden Jahren fest zu rechnen. Die raschen Fortschritte im Bereich KI-gestützter Technologien, die Möglichkeit der Automatisierung der Abläufe und die wachsende Menge im Netz frei zur Verfügung stehender personenbezogener und personenbeziehbarer Informationen machten solche Angriffe für Cyber-Kriminelle immer unkomplizierter und billiger. Unternehmen müssten sich deshalb besser schützen. Bereits drei präventive Maßnahmen könnten die Chance eines erfolgreichen KI-gestützten Deepfake-Angriffs erheblich mindern:

1. Maßnahme: Die Führungsetage muss klare Regeln für die interne Kommunikation aufstellen!
Solche müssen helfen, die Kommunikationskanäle sämtlicher Mitarbeiter – auch und gerade die des „CEO“ – abzusichern. „Diese müssen klar formuliert und kontinuierlich kommuniziert und angewandt werden. Hierzu ein Beispiel: Der ,CEO’ gibt bekannt, dass er unter keinen Umständen jemals die Bitte an seine Mitarbeiter herantragen wird, Geschenkkarten – eine beliebte Phishing-Beute von Cyber-Kriminellen – für ihn zu erwerben und an eine Drittpartei weiterzuleiten.“

2. Maßnahme: Für das Stellen interner Anfragen muss im Unternehmen eine einheitliche Struktur geschaffen werden!
Diese Struktur muss gewährleisten, dass Anfragen stets über mehrere Kommunikationskanäle gleichzeitig geleitet werden – eingehende Anfragen können sich dann gegenseitig verifizieren. „Auch hierzu ein Beispiel: Der ,CEO’ versendet eine schriftliche Anweisung nicht allein per Mail, sondern gleichzeitig auch über eine am Arbeitsplatz verwendete Instant-Messaging-Plattform. Erhält der Mitarbeiter nun die Nachricht nur über einen der beiden Kanäle, ignoriert er die Anweisung, fragt über einen dritten Kanal beim CEO nach und kontaktiert im Zweifel das IT-Sicherheitsteam.“ Prozesse wie dieser sollten über die gesamte Organisation hinweg kommuniziert, implementiert und angewandt werden. Wird dann einmal ein Betrugsversuch aufgedeckt, ist es wichtig, diesen innerhalb des Betriebs öffentlich zu machen. So lernen sämtliche Mitarbeiter unterschiedliche Bedrohungen am lebenden Beispiel kennen, können ein Gefühl für die eigene Risikolage sowie ein gesundes Sicherheitsbewusstsein entwickeln.

3. Maßnahme: Unternehmen müssen regelmäßig Schulungen durchführen, um Mitarbeiter über Deepfakes und andere Arten von Identitätsbetrug, wie Phishing, „Spear Phishing“ und „Social Engineering“, auf dem Laufenden zu halten!
Einige Mitarbeiter wissen immer noch nicht, dass mittlerweile nicht nur Briefe und E-Mails, sondern auch Sprach- und Videoanrufe von Cyber-Kriminellen manipuliert und gefälscht werden können. „So hat laut einer aktuellen Bitkom-Studie knapp jeder dritte Deutsche noch nie etwas von Deepfakes gehört. Das muss sich dringend ändern!“

Quantität und Qualität von Deepfake-Angriffen – mittels KI – werden weiter zunehmen

Denn in den kommenden Jahren würden Quantität und Qualität von Deepfake-Angriffen – mittels KI – weiter zunehmen. Sie effektiv aufzuspüren, werde für den Einzelnen immer schwieriger werden. Laut einer Europol-Untersuchung vom vorvergangenen Jahr – 2023 – dürften bereits 2026 rund 90 Prozent aller Online-Inhalte synthetischen Ursprungs sein. „In Sprach- und Videoanrufen die eigenen Kollegen und Mitarbeiter von Betrügern zu unterscheiden, dürfte dann eine immer größere Herausforderung darstellen.“

Unternehmen werden gegensteuern müssen: Mit der neuesten Technik im Bereich des „Identity and Access-Management“ sowie mit der Implementierung sichererer Kommunikationsstrukturen. Riecke abschließend: „Nur so wird es gelingen, die wachsende Gefahr von Deepfake-Angriffen und anderen KI-gestützten Identitätsbetrugsversuchen in den Griff zu bekommen.“

Weitere Informationen zum Thema:

Frankfurter Allgemeine, Maximilian Sachse, 30.07.2024
Wie man KI-Betrüger enttarnt: Ferrari entgeht „Deepfake“-Masche

bitkom, 17.05.2024
Jeder und jede Dritte hat noch nie von „Deepfakes“ gehört

KPMG, 24.04.2024
KPMG Cybersecurity-Studie zeigt: Keine Entspannung für heimische Unternehmen in Sicht / Cybersecurity in Österreich 2024: Jeder sechste Angriff ist erfolgreich

PingIdentity, 2024
2024 IT Pro Survey Fighting The Next Major Digital Threat: AI and Identity Fraud Protection Take Priority

EUROPOL, Europol Innovation Lab, 2022
Facing reality? Law enforcement and the challenge of deepfakes

datensicherheit.de, 21.05.2024
Deepfakes: Paragraf zum Persönlichkeitsschutz soll im Strafgesetzbuch Aufnahme finden / Noch können Deepfakes erkannt werden – aber Optimierung schreitet voran

datensicherheit.de, 18.05.2024
Cyber-Angriff mittels Deepfake-Phishing: Mitarbeiter sensibilisieren, CEO-Imitationen zu erkennen! / Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht mit einer per Deepfake-Technologie gefälschten Stimme des CEO

datensicherheit.de, 20.02.2024
Deepfakes: Vielfältige Betrugsversuche / Es gibt aber auch konstruktive Anwendungen für Deepfake-Prinzipien

datensicherheit.de, 19.09.2023
Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI / Deepfake-Wahlwerbespots könnten mit computergenerierten Bildern von Kandidaten erstellt werden

datensicherheit.de, 22.06.2022
Deepfakes bald Standardrepertoire Cyber-Krimineller / Vor allem Soziale Plattformen als neue Spielwiese zur Verbreitung von Deepfake-Material genutzt

[datensicherheit.de, 24.04.2019] Bald wöchentlich hört man von Cyberangriffen, die die Privatsphäre von Nutzern offenlegen oder ganze Webseiten lahmlegen. So geschehen vor kurzem in China. Dort schlossen sich die mobilen Nutzer des meist genutzten Instant-Messaging-Dienstes Tencent QQ unwissentlich zusammen, um eine Webseite innerhalb weniger Stunden mit 70 Millionen Anfragen zu überfluten.

DDoS-Angriff über eine populäres HTML5-Feature

Möglich machte dies ein DDoS-Angriff. Er benutzte dabei ein populäres HTML5-Feature, den <a>-Tag-Ping, um die User dazu zu bringen, sich unbeabsichtigt an dem großen DDoS-Angriff zu beteiligen. Der Angriff beruhte dabei nicht auf einer Schwachstelle im Sicherheitssystem der Webseite; in diesem Fall wandelten die Angreifer eine legitime Funktion in ein Angriffswerkzeug um. Dieser Fall zeigt die Verwundbarkeit von Webseiten – der DDoS-Angriff hätte auch mit anderen Webbrowsern durchgeführt werden können und kann das auch zukünftig, wenn Web-Architekten und IT-Administratoren ihre Sicherheitsmassnahmen nicht entsprechend anpassen.

Die Sicherheitsanalysten von Imperva, die den Angriff untersucht haben, sind davon überzeugt, dass es nicht bei diesem Einzelfall bleibt, sondern diese Art der DDoS-Angriffe weiter zunehmen werden. Imperva erforscht daher unaufhörlich in ihrem Content Delivery Network (CDN) DDoS-Angriffe jeder Art, um Gegenmaßnahmen zu entwickeln und den Angreifern immer einen Schritt voraus zu sein.

Dem Ping-Befehl auf der Spur

Ping ist ein Befehl in HTML5. Er listet URLs, die benachrichtigt werden sollen, wenn der User einem Hyperlink folgt. Klickt er auf diesen, wird eine POST-Anfrage mit dem Text „ping“ an die im Attribut angegebenen URLs gesendet. Die Anfrage enthält auch die Überschriften „ping-from“, „ping-to“ und einen Inhaltstyp „text/ping“. Das Attribut ermöglicht Website-Besitzern, die Klicks auf einen Link zu verfolgen.

Benachrichtigungsdienste mit Ping sind nicht neu. Die Pingback-Funktion im beliebten WordPress CMS benachrichtigt einen Website-Besitzer, wenn ein Link angeklickt wird. Angreifer haben Pingbacks verwendet, um DDoS-Angriffe durchzuführen, indem sie Millionen von Anfragen an anfällige WordPress-Instanzen geschickt haben, um diese zu zwingen, die Pingback-Anfragen auf die Ziel-Website umzuleiten.

Betroffen von diesem aktuellen DDoS-Angriff waren rund 4.000 Benutzer-IPs, die meisten aus China. Sie erzeugten während des vierstündigen Angriffs einen Spitzenwert von 7.500 Anfragen pro Sekunde (RPS) und insgesamt 70 Millionen Anfragen. Die Sicherheitsanalysten von Imperva gehen davon aus, dass der Mastermind dabei die Benutzer der beliebten chinesischen Chat-App WeChat über Social Engineering und Malvertising (bösartige Werbung) dazu brachte, den QQBrowser zu öffnen. Ihn haben die meisten Chinesen als Standard-Browser für ihr Smartphone installiert.

So gelang der DDoS-Angriff mit Ping

1. Der Angreifer injizierte eine bösartige Werbeanzeige, die eine verdächtige Website lädt.
2. Der Link zur legitimen Website mit der bösartigen Werbung wird in einem hochfrequentierten WeChat-Gruppenchat gepostet.
3. Die Nutzer der Chatgruppe besuchen die Website mit der bösartigen Werbung.
4. Jetzt wird der JavaScript-Code ausgeführt und erzeugt einen Link mit dem Attribut „ping“, auf welchen der Benutzer klickt.
5. Daraufhin wird eine HTTP-Ping-Anfrage erzeugt und vom Browser des legitimen Benutzers an die Zieldomäne gesendet.

Die Folge für zukünftige DDos-Angriffe auf Google Chrome oder Apple Safari

Dieses Mal hat der DDos-Angriff „nur“ WeChat-Anwender getroffen. Ping-Angriffe lassen sich aber auch auf andere Webbrowser ausweiten. Grund: Stand heute lassen sich in den neueren Versionen von Google Chrome, Apples Safari und Opera die Hyperlink-Auditierung, bekannt als Ping, nicht mehr vom User deaktivieren.

Für Imperva ein klarer Aufruf an Web-Architekten und Sicherheitsprofis, von vornherein alle Web-Anfragen, die „Ping-To“ und/oder „Ping-From“ HTTP-Header auf den Edge-Geräten (Firewall, WAF, etc.) enthalten, zu blockieren. Das verhindert, dass die Ping-Anfragen jemals auf den Server gelangen. Imperva hat DDoS Protection zum Schutze der Kunden-Websites dahingehend bereits aktualisiert.

Weitere Informationen zum Thema:

Imperva
The Ping is the Thing: Popular HTML5 Feature Used to Trick Chinese Mobile Users into Joining Latest DDoS Attack

datensicherheit.de, 30.0.1.2019
DDoS-as-a-Service: Webstresser-User im Visier der Ermittlungsbehörden

datensicherheit.de, 07.09.2018
Cyberstudie: Fast jeder Service Provider wird zum Ziel von DDoS-Attacken

datensicherheit.de, 29.08.2018
DDoS-Angreifer nutzen verstärkt Cloud-Dienste

datensicherheit.de, 06.08.2018
Link11 DDoS-Report: Gefahr durch Hochvolumen-Angriffe bleibt

datensicherheit.de, 02.05.2018
Bedrohung bleibt: Details von DDoS-Angriffen im Jahr 2017

datensicherheit.de, 27.03.2018
Link11 DDoS-Report für das vierte Quatal 2017 veröffentlicht

datensicherheit.de, 02.03.2018
Akamai: Größte DDoS-Attacke bisher abgewehrt

datensicherheit.de, 24.02.2017
DDoS-Gefahrenlage: Link11-Report meldet Attacken-Wachstum um 117 Prozent