Phishing mit Deepfakes – Hacker erbeuten 200 Millionen HK$

Diese Hackergeschichte ereignete sich vor nicht allzu langer Zeit in der Hongkonger Niederlassung eines ungenannten multinationalen Unternehmens. Die Hacker haben einen neuartigen Betrug durchgeführt, bei dem eine Phishing-E-Mail als erster Angriffsvektor genutzt wurde, gefolgt von einem gefälschten Videoanruf.

In diesem Fall waren genug Informationen vorhanden, um eine vermeintliche Autorität für einen Finanzmitarbeiter zu schaffen, der in 15 Transaktionen insgesamt 200 Millionen HK$ auf fünf verschiedene Bankkonten in Hongkong überwies, bis der Betrug entdeckt wurde.

Die Polizei in Hongkong berichtete, dass die ursprüngliche Phishing-E-Mail zu einer Online-Sitzung über dringende Finanztransaktionen geführt hatte. Die Betrüger hatten sorgfältig ein Gespräch zwischen mehreren leitenden Angestellten des Unternehmens, einschließlich des Finanzchefs, eingefädelt.

Die einzige echte Person, die sich in diese Sitzung einwählte, war jedoch der Finanzmitarbeiter, der anschließend das Geld überwies. Alle anderen, einschließlich des CFO, waren Deepfakes. Das gesamte Gespräch wurde im Voraus aufgezeichnet und es fand keine natürliche Interaktion statt. Dennoch glaubte der Finanzmitarbeiter, dass er von der Geschäftsleitung den Auftrag für die Überweisung erhalten hatte.

Es sind keine weiteren Einzelheiten über den Vorfall bekannt, aber der Betrug scheint nach dem üblichen Schema abzulaufen. Eine Phishing-E-Mail gibt sich als Geschäftsführer aus und fordert einen Finanzmitarbeiter auf, an einer dringenden Sitzung teilzunehmen, um wichtige Finanztransaktionen zu besprechen.

Während dieser Sitzung erörtern leitende Beamte die Notwendigkeit der Transaktionen, woraufhin der Finanzmitarbeiter zu dem Schluss kommt, dass die Transaktionen ausgeführt werden müssen. Es herrschte ein Gefühl der Dringlichkeit, ein Gefühl der Verpflichtung oder der Notwendigkeit, dem nachzukommen, eine starke Motivation zum Handeln und nur ein einziger Ausweg aus der Situation. Das klassische Social-Engineering-Rezept

Niemand sollte sich zurücklehnen und sagen: „Das wäre in unserem Unternehmen nicht passiert. Unsere Unternehmenskultur ist so, dass wir eine größere Transaktion mit der Führung immer über einen zusätzlichen Kanal prüfen müssen und werden." Und das mag sogar richtig sein. Allerdings sollte man sich nicht zu der Annahme hinreißen lassen, dass geschickte Betrüger nicht an die Daten herankommen werden. Sie sind hervorragend in ihrem Metier, und sie werden einen Weg finden.

Die Verwendung von Deepfakes ist eine geniale Idee, und ehrlich gesagt konnte es die gesamte Cybersecurity-Community kaum erwarten, von der ersten erfolgreichen Verwendung eines Deepfakes für Social Engineering zu hören. Es war nur eine Frage der Zeit. Inzwischen ist die Welt, in der eine gefälschte Person von einer echten anhand einer Roboterstimme oder zuckender Augen in gefälschten Videos unterschieden werden kann, nicht mehr zeitgemäß. Deepfakes sind nahezu perfekte Imitationen herkömmlich aufgenommener Videos.

Es gibt noch eine andere Wahrheit. Dieser Betrug hätte durch eine angemessene Schulung der Mitarbeiter vermieden werden können. Immer innehalten und nachdenken. Vertrauen, aber prüfen, lautet die Devise. Es ist wichtig die Befehlskette zu nutzen, um Transaktionen zu überprüfen, besonders wenn Anfragen unwahrscheinlich oder ungewöhnlich erscheinen

Es steht eine Zukunft bevor, in der nicht mehr zwischen Fälschung und Original unterschieden werden kann. Demokratische Gesellschaften und private Organisationen werden gleichermaßen darunter leiden, wenn das Vertrauen in Bild, Ton und Text grundlegend verloren geht. Auf Vorfälle wie den hier erwähnten muss jeder vorbereitet sein.