Eine neue CEO-Fraud-Variante bedient sich sowohl Künstlicher Intelligenz als auch der Stimmenimitation: Betrügereien mit der Chef-Masche sind zwar schon länger bekannt, doch nun gibt es derartige Angriffe in einer raffiniert veränderten Form. Statt per E-Mail erfolgt die erste Kontaktaufnahme nun per Telefonanruf. Der ist deshalb aussichtsreich, weil die Cyber-Kriminellen die Stimmen der Vorgesetzten mittels neuester KI-Lösungen täuschend echt imitieren.
Betrugsversuche, bei denen sich ein Vorgesetzter bei einem Mitarbeiter per E-Mail meldet und diesen unter einem Vorwand nachdrücklich auffordert, kurzfristig eine größere Geldsumme zu überweisen, sind mittlerweile schon fast alltäglich geworden. Bis heute haben Ganoven mit dieser Chef-Masche, auch CEO-Fraud genannt, immer wieder erhebliche Summen ergaunern können und selbst in größeren Konzernen fiel man auf diese Tricks herein.
Neue Qualität von CEO-Fraud: Angriff per Telefon mit Chef-Stimmenimitation
Wohl auch, weil die Mail-Masche mittlerweile recht bekannt und damit unrentabler geworden ist, haben die Kriminellen jetzt aufgerüstet und den CEO-Fraud durch den Einsatz von KI-Software runderneuert. Dabei setzen die Betrüger nun auf eine erste Kontaktaufnahme durch Telefonanrufe statt durch E-Mail.
Möglich wird dies durch selbstlernende Software zur Imitation von Stimmen. Mit einigen wenigen Audio-Sequenzen einer Person können diese Programme die Sprechweise und den Tonfall relativ gut nachstellen, sodass gerade bei einer Telefonverbindung kaum noch Unterschiede zum echten Sprecher festzustellen sind.
So wird die neue CEO-Fraud-Variante durchgezogen:
- Der Telefonanruf mit der nachgestellten Stimme des Chefs ist dabei meist der erste Schritt zur Kontaktaufnahme und soll der Vertrauensbildung dienen.
- Hier teilt der vermeintliche Vorgesetzte dem Angerufenen mündlich mit, dass er unbedingt eine dringende Überweisung vornehmen müsse.
- Weitere Details wie die genauen Kontodaten werden dann meist noch per E-Mail nachgereicht.
Die KI-Programme zur Sprachimitation arbeiten dabei schon mit erstaunlich hoher Qualität, sodass die Opfer zunächst keinen Verdacht schöpfen. Derzeit gibt es allerdings noch ein kleines Manko, weil die meisten dieser Anwendungen bislang nur die englische Sprache beherrschen.
Neue Betrugsvariante erfordert umfangreiche Vorbereitung
Heise Online berichtet über einen aktuellen Fall, den das Versicherungsunternehmen Euler Hermes jetzt bekannt gemacht hat, und der zeigt, wie genau und sorgsam die Betrüger ihre Coups planen. So hatten die Ganoven aufgrund der erwähnten Beschränkung auf die englische Sprache ihren Angriff gezielt auf ein britisches Tochterunternehmen eines deutschen Unternehmens gerichtet.
Der Chef des Tochterunternehmens erhielt demnach an einem Freitagnachmittag den Anruf seines deutschen Vorgesetzten, der ihm erklärte, dass er selbst eine größere Überweisung veranlassen wollte, dies aufgrund des eben erfolgten Geschäftsschlusses in Deutschland nicht mehr am selben Tag möglich sei. Aufgrund der Zeitverschiebung sei aber noch das Tochterunternehmen in Großbritannien in der Lage den gewünschten Betrag sofort zu überweisen, damit das Geld doch noch termingerecht beim Empfänger ankommen könne.
Der Angerufene, der die Stimme seines Chefs zu erkennen glaubte, hielt diese Begründung für nachvollziehbar und führte die gewünschte Auslandsüberweisung aus, wodurch letztlich ein Schaden in Höhe von rund 220.000 EUR entstand.
Zu erwartende künftige Entwicklung im Bereich der KI-Einsatzes bei Fraud-Attacken
Wenn man die Weiterentwicklung im Bereich von KI sieht, könnten schon in absehbarer Zeit nochmals gefährlichere Betrugsversuche gestartet werden, wenn etwa auch Bewegtbilder mit gefälschten Gesichtsaufnahmen verwendet werden. Mit einfach zu beschaffenden Vorlagen aus Bildern oder Videos im Netz könnten dann sogar Video-Telefonat gefälscht werden, bei denen die Opfer davon ausgehen können, tatsächlich mit ihrem echten Chef zu sprechen, obwohl es sich um ein sogenanntes Deepfake handelt.
Weitere News zum Thema:
Zunehmende Bedrohung durch Social Engineering und sinnvolle Schutzmaßnahmen
Cyber-Crime - eine immer noch unterschätzte Gefahr
Cyberangriffe und Verantwortlichkeit
Hintergrund: Social Engineering, Fraud bzw. CEO-Fraud
Angreifer, die es auf Unternehmensdaten abgesehen haben, verwenden immer öfter Social Engineering, für ihre Ziele. Dieser Begriff umreißt die verschiedenste Tricks, mit denen versucht wird, die Nutzer der anvisierten IT-Systeme so zu manipulieren, dass sie entweder sensible Informationen, wie etwa Zugangsdaten, preisgeben oder ungewollt Schadsoftware installieren, mit denen Daten ausspioniert oder IT-Systeme lahmgelegt werden können.
Fraud ist ein Sammelbegriff für verschiedene Arten von Wirtschaftskriminalität im Allgemeinen und von Unternehmenskriminalität im Besonderen (Ursprung ist lat. fraus, fraudis = Betrug, Täuschung und engl. Betrug, Fälschung, List, Schwindel, Unterschlagung)
Beim CEO-Fraud werden regelmäßig die Mitarbeiter getäuscht. Zuerst sammelt der Täter Informationen über ein Unternehmen. Sind genügend Daten beisammen, gibt er sich z. B. per E-Mail als Geschäftsführer (CEO) aus und veranlasst die Mitarbeiter beispielsweise zum Transfer eines größeren Geldbetrages ins Ausland oder ähnlichen für das Unternehmen nachteiligen Maßnahmen, die ihm Vorteile bringen.