Anzeichen für eine gefälschte E-Mail-Adresse waren früher relativ offensichtlich: Rechtschreibfehler, Grammatikfehler, umständliche Formulierungen und verdächtige Absenderadressen. Aber was passiert, wenn eine E-Mail-Adresse diese offensichtlichen Anzeichen nicht enthält und von einem bekannten Absender mit einer vertrauten Begrüßung und Anfrage stammt? Noch schlimmer, was passiert, wenn diese unzulässige Kommunikation die Form eines Deepfake-Videoanrufs annimmt?
Leider hat die KI-gestützte Bedrohungsaktivität diese Möglichkeit für Unternehmen zur Realität gemacht. Kürzlich berichtete das Threat Intelligence-Team von Okta über IT-Job-Betrug, der von Agenten der Demokratischen Volksrepublik Korea durchgeführt wird, die generative KI auf verschiedene Weise nutzen, einschließlich der Erstellung überzeugender Anschreiben und Lebensläufe, um eine Anstellung in Remote-IT-Rollen zu erlangen und zu behalten.
Der Anstieg der generativen KI-Technologie, die KI verwendet, um originellen Inhalt wie Text, Bilder und Audio zu erstellen, ermöglicht es Angreifern, schnell Multi-Channel-Angriffe zu starten und die Glaubwürdigkeit und Dringlichkeit ihrer Nachrichten zu erhöhen. Anstatt einfach nur eine Phishing-E-Mail zu versenden, kann ein Ziel eine E-Mail-Adresse, ein Deepfake-Video und eine Textnachricht erhalten. KI kann diese Bemühungen potenziell auch verstärken, indem sie die Sammlung öffentlich zugänglicher Daten automatisiert, die zum Erstellen betrügerischer Inhalte verwendet werden.
Nennen Sie es Social Engineering auf Steroiden. Letztes Jahrmeldete das multinationale Ingenieurbüro Arup der Polizei von Hongkong, dass ein Finanzmitarbeiter durch einen Deepfake-Videoanruf dazu verleitet wurde, Millionen aus den Kassen des Unternehmens zu überweisen. Berichten zufolge war der Mitarbeiter zunächst skeptisch, nachdem er eine Nachricht erhalten hatte, die von einer geheimen Transaktion sprach, die durchgeführt werden musste. Jedoch verkaufte der Deepfake-Videoanruf, der digital erstellte Versionen des Finanzchefs des Unternehmens und anderer enthielt, den Betrug. Erst später, als der Mitarbeiter die Hauptverwaltung kontaktierte, wurde der Person klar, dass sie getäuscht worden war.
Es ist nicht nur der Wirtschaftssektor, der ins Visier genommen wird. Am 15. Mai warnte das FBI, dass hochrangige US-Beamte in einer bösartigen Text- und Sprachnachrichtenkampagne imitiert wurden. „Die Kampagne zielte auf Personen ab, von denen viele aktuelle oder ehemalige hochrangige US-Bundes- oder Staatsbeamte und deren Kontakte sind.“
Da KI diese Betrugsmaschen effektiver macht, werden Sicherheitsbewusstseinstraining und Identity-Management immer wichtigere Elemente der vordersten Verteidigungslinie der Enterprise.
Aufbau einer menschlichen Firewall
Wie sollte das Sicherheitsbewusstsein im Zeitalter von KI-gestützten Angriffen aussehen? Wenn Enterprise eine Sicherheitskultur entwickeln, entsteht eine menschliche Firewall, bei der die Mitarbeiter zu einem Schutzschild gegen Cyberangriffe werden.
Laut Ben King, Vice President für Sicherheit, Vertrauen und Kultur bei Okta, besteht der Schlüssel zum Aufbau einer starken Sicherheitskultur darin, diese Angriffe an drei Fronten zu bekämpfen:
Richtlinien – Unternehmen benötigen klare Richtlinien, wie z. B. die obligatorische Multi-Faktor-Authentifizierung, direkte verbale Bestätigungen über bestehende bekannte Kanäle für größere Transaktionen und die Überprüfung digitaler Identity.
Training – Mitarbeiter sollten regelmäßig an szenariobasierten Trainings teilnehmen, die gängige, bestehende und sich entwickelnde Bedrohungen zur Sensibilisierung aufzeigen.
Kultur – Führungskräfte müssen eine Kultur des Zweifels schaffen, die das Reporting verdächtiger Aktivitäten fördert und belohnt, um neue Risiken hervorzuheben, sobald sie auftreten.
Das Erkennen von Deepfakes und betrügerischen E-Mail-Adressen ist von Natur aus schwierig. Subtile Unterschiede, wie eine inkonsistente Auflösung, können aufmerksamen Mitarbeitern ermöglichen, ein digital erstelltes Bild zu erkennen. King warnte vor mehreren verräterischen Anzeichen von Angreifern in Echtzeit-Meetings oder Bewerbungsgesprächen. Dazu gehören die Zurückhaltung, vor der Kamera zu erscheinen, verschwommene oder virtuelle Hintergründe, unerwartete Stimmveränderungen oder ungewöhnliche Hintergrundgeräusche sowie Schwierigkeiten, sich auf Smalltalk einzulassen oder persönliche Fragen zu beantworten.
"Das Training sollte die Identifizierung subtiler sprachlicher Hinweise, kontextabhängiger Inkonsistenzen und Verifizierungsprotokolle umfassen, anstatt nur offensichtliche Rechtschreibfehler oder schlechte Grammatik zu erkennen", riet King. "adaptiv Plattformen, die das Training basierend auf individuellen Rollen, Experience und vergangenen Bedrohungen personalisieren, sowie simulierte KI-gesteuerte Angriffe, werden nützlicher sein." Ebenso wird die Sensibilisierung für die Realität von massenproduzierten, standardisierten, KI-gestützten Phishing- und anderen überzeugenden synthetischen Medien im Laufe der Zeit das blinde Vertrauen verringern und die Vorsicht der Mitarbeiter erhöhen.
Abhängig vom Risikoprofil der Person oder der Business Unit der Organisation können zusätzliche Verifizierungsschritte erforderlich sein. Eine bedeutende Finanztransaktion kann beispielsweise mehrere Sicherheitsherausforderungen erfordern, wie etwa die Multi-Faktor-Authentifizierung (MFA) und die Cross-Channel-Kommunikation. Obwohl Social Engineering immer ein Risiko darstellen wird, können kompensierende Maßnahmen, einschließlich Phishing-resistenter MFA wie Okta FastPass, das Risiko einer Kompromittierung durch Phishing erheblich verringern, sagte King.
Diese Verbindung von Technologie und sicherheitsorientierten Einstellungen ist von entscheidender Bedeutung, da die Bedrohungsaktivitäten immer ausgeklügelter werden. Wie immer kann eine gesunde Portion Skepsis den Tag retten. KI-generierte Phishing-E-Mail-Adressen weisen oft noch einige der gleichen Merkmale traditioneller Phishing-Angriffe auf, wie ein Gefühl der Dringlichkeit und eine Aufforderung zur Angabe persönlicher oder geschäftlicher Informationen. Wenn eine Nachricht oder ein Video ungewöhnlich erscheint, könnte das tatsächlich der Fall sein, und die Mitarbeiter sollten es ansprechen.
"Der Umgang mit KI-gesteuerten Angriffen wird aufgrund ihres zunehmenden Realismus und ihrer Fähigkeit, Standardverteidigungen zu umgehen, äußerst herausfordernd sein", sagte King. "Da sie sich in Komplexität und Realismus weiterentwickeln, müssen die Mitarbeiter auf ihr Training zurückgreifen und ihrer Intuition vertrauen können, um bei verdächtigen Vorfällen mit Zuversicht und Klarheit zu handeln."
Mehr erfahren, wie Sie sich, Ihre Mitarbeiter, Ihr Unternehmen und Ihre Kunden vor Phishing-Angriffen schützen können, lesen Sie unseren Ultimativen Leitfaden für Phishing-Schutz.
Dieser Beitrag gibt nicht unbedingt die Position, Strategien oder die Meinung von Okta wieder.
