Voice-Cloning: Wenn Kriminelle mit der Stimme des Vorgesetzten anrufen

Zweifelsohne bieten neue Technologien, bei denen Künstliche Intelligenz eingesetzt wird, viele neue Möglichkeiten, die unseren Alltag stark erleichtern können. Assistenztechnologien, wie etwa „Text-to-Speech“ ermöglichen es beispielsweise Blogartikel wie diesen in einen Audio-Blog umzuwandeln, um den Lesern die Möglichkeit zu bieten Inhalte zu hören, anstatt sie zu lesen. Werden zuvor mittels Künstlicher Intelligenz Stimmen geklont (Voice-Cloning), können die Texte theoretisch durch jede beliebige Stimme wiedergegeben werden.

Allerdings ermöglicht Voice-Cloning Betrügern, die Stimmen von Führungskräften, Mitarbeitern oder anderen bekannten Persönlichkeiten zu imitieren. Mit diesen gefälschten Stimmen können sie glaubwürdige Anrufe tätigen und sich als vertrauenswürdige Personen ausgeben. Dies kann zu Identitätsdiebstahl führen, wenn sensible Informationen wie Firmengeheimnisse, Kunden- oder Mitarbeiterdaten gestohlen oder autorisierte Transaktionen durchgeführt werden.

Dass solche Technologien das Potenzial mitbringen, von Angreifern ausgenutzt zu werden, zeigte ein Fall in 2019. Bei diesem Vorfall wurden Voice-Cloning-Technologien erstmals erfolgreich dafür genutzt, um ein britisches Energieunternehmen zu einer Überweisung von 220.000€ zu bewegen. Der CEO der Firma telefonierte zuvor mehrmals mit dem vermeintlichen CEO des deutschen Mutterkonzerns. Dieser bat an einem Freitagnachmittag noch um eine dringliche Überweisung, die bei zu später Durchführung zu Vertragsstrafen führen würde. Die deutsche Muttergesellschaft werde dann am Montag die Rücküberweisung tätigen. Zwar war der britische CEO misstrauisch, da solche Anweisungen üblicherweise via E-Mail getätigt werden, trotzdem überwies er den Betrag – schließlich erkannte er die Stimme des CEOs. Nachdem am Montag keine Rückerstattung eingegangen ist, flog der Schwindel auf, doch zu spät: Die Überweisung wurde über eine ungarische Bank bereits nach Mexiko weitergeleitet, wo sich die Spur verlor.

CEO-Fraud an sich ist kein neues Phänomen, allerdings sorgen neue Technologien dafür, dass das Vorgehen noch professioneller wird, wodurch Opfer von Social Engineering-Angriffen noch eher gefährdet sind, den Wünschen der Angreifer nachzukommen.

Insbesondere die Tatsache, dass mit der Zeit mehr und mehr solcher Voice-Cloning- sowie Text-to-Speech-Technologien entwickelt und vertrieben werden, wird dafür sorgen, dass diese Technologien künftig auch für Angriffe missbraucht werden.

Doch was können Unternehmen gegen diese neue Art Bedrohung tun?

Sensibilisierung und Schulung:

Eine der effektivsten Maßnahmen zur Risikominimierung ist die Sensibilisierung der Mitarbeiter und regelmäßige Schulungen bezüglich Voice-Cloning und anderen Social-Engineering-Methoden. Mitarbeiter müssen über die Gefahren aufgeklärt werden und lernen, wie sie verdächtige Anrufe oder Anfragen erkennen und dagegen vorgehen können. Insbesondere Mitarbeiter in Schlüsselpositionen sollten für die neue Art der Bedrohung sensibilisiert werden.

Starke Authentifizierung:

Unternehmen sollten grundsätzlich auf starke Authentifizierungsmechanismen wie Zwei-Faktor-Authentifizierung (2FA) oder Mehr-Faktor-Authentifizierung (MFA) setzen, um eine zusätzliche Sicherheitsebene einzuführen. So könnten die bisherigen Prozesse für das Tätigen von Überweisungen ab einer Summe „X“ um eine Kontrolle, wie das Abfragen einer Sicherheitsfrage ergänzt werden. Die Antwort auf die Sicherheitsfrage muss den beiden interagierenden Personen zuvor bekannt sein. Im Zweifel müssen Mitarbeiter sicherstellen, dass sie die Identität eines Anrufers über alternative Kommunikationswege überprüfen, bevor sie sensible Informationen freigeben oder Transaktionen genehmigen. Wird ein Mitarbeiter misstrauisch, so hilft vorerst auch das Auflegen und der Rückruf aus dem eigenen Telefonbuch, um sicherzustellen, dass man auch wirklich mit der Person spricht, mit der man sprechen möchte.

Um den neuen Bedrohungen wirksam zu begegnen kann es bereits ausreichen, personelle und organisatorische Maßnahmen zu implementieren, ohne auf technische Maßnahmen zurückgreifen zu müssen, die meist sehr kostspielig sind. Sensibilisierte und geschulte Mitarbeiter werden bei ungewöhnlichen Anrufen eher misstrauisch und laufen deshalb weniger Gefahr, auf Angreifer hereinzufallen.

Wir unterstützen Sie gerne dabei, ein auf Ihr Unternehmen angepasstes Schulungskonzept zu erarbeiten und Ihre Mitarbeitenden für neuartige Bedrohungen zu wappnen. Kontaktieren Sie uns unverbindlich unter Info@DigitalShepherd.de