14. Dezember 2022
Ein gefälschtes Video des ehemaligen FTX-CEO Sam Bankman-Fried (SBF) kursiert auf Twitter - Betrüger wollen Geld von Nutzern stehlen der zusammengebrochenen Kryptobörselockte die Zuschauer auf eine Website, auf der sie angeblich für ihre Verluste entschädigt werden konnten, indem sie Krypto-Token einschickten und im Gegenzug das Doppelte erhielten.
Die Betrüger nahmen altes Interviewmaterial von Bankman-Fried und benutzten einen Stimmenemulator, um sein Ebenbild zu erfassen. Dies ist nicht das erste Mal, dass ein Deepfake zum Betrug in der Krypto-Branche eingesetzt wird. Im Juli 2022 gelang es einem ausgeklügelten Betrug mit Deepfake-Technologie, die Liquidität der brasilianischen Kryptobörse BlueBenx abzuschöpfen, indem er sich als der COO von Binance ausgab.
Der jüngste aufsehenerregende SBF-Depfake ist nur die Spitze des Eisbergs. Kriminelle haben jetzt Zugang zu der Technologie und den Mitteln, um unglaublich realistische und überzeugende Deepfakes zu erstellen. Und sie nutzen diese Deepfakes, um groß angelegte Angriffe auf Organisationen und ihre Nutzer weltweit zu starten.
Dieser Artikel wird:
- Sehen Sie sich an, wie Kriminelle Deepfakes nutzen, um Unternehmen anzugreifen
- Untersuchen, ob Menschen erfolgreich Deepfakes erkennen können
- Empfehlung von Maßnahmen, die Unternehmen zum Schutz vor der wachsenden Deepfake-Bedrohung ergreifen können.
Wie werden Deepfakes für Angriffe auf Organisationen eingesetzt?
Videokonferenzen
Die weltweite Pandemie beschleunigte den Übergang von persönlichen zu ferngesteuerten Aktivitäten. Dank dieser Entwicklung hat der Markt für Videokonferenzen boomt und wird voraussichtlich weiter wachsen. Da viele Unternehmen heute aus der Ferne mit Kollegen, Benutzern und Bewerbern kommunizieren, nutzen Kriminelle diesen Kanal mit Deepfakes aus.
Sie tun dies auf verschiedene Weise. Zum einen werden Deepfakes eingesetzt, um den traditionellen BEC (Business Email Compromise), auch bekannt als CEO-Betrug, zu verbessern. BEC ist ein gezielter Social-Engineering-Angriff, bei dem sich Kriminelle als Leiter eines Unternehmens ausgeben, um Mitarbeiter zu Aktionen wie Zahlungen, Gehaltsabrechnungen und der Preisgabe vertraulicher Informationen zu bewegen. Durch die Nachahmung der Gesichter und Stimmen von Personen bei Videoanrufen können Deepfakes BEC-Betrügereien viel überzeugender machen.
Und das ist noch nicht alles. Im Jahr 2022 warnte das FBI davor, dass Deepfakes auch für betrügerische Bewerbungen für Stellen im technischen Bereich verwendet werden. Lesen Sie hier mehr darüber, wie Deepfakes bei Fernarbeitsbetrügereien eingesetzt werden.
Gesichtsverifizierung
Die biometrische Gesichtsüberprüfung ermöglicht es den Nutzern, ihre Identität zu überprüfen und Zugang zu einem Online-Dienst zu erhalten, indem sie einen von der Regierung ausgestellten Ausweis und ihr Gesicht scannen. Sie können dann ihr Gesicht jedes Mal verwenden, wenn sie sich authentifizieren und zu dem Dienst zurückkehren möchten.
Die automatisierte Gesichtsüberprüfung ist ein äußerst sicheres und brauchbares Mittel zur Identitätsüberprüfung beim Onboarding. Andere Remote-Methoden, wie z. B. Videoanrufe zwischen Mitarbeitern und Benutzern, erfordern kostspielige Ressourcen und bergen das Risiko menschlicher Fehler. Auch als Authentifizierungsmethode bietet die Gesichtsverifizierung Organisationen die Möglichkeit, die passwortlos und löst die Sicherheits- und Benutzerfreundlichkeitsprobleme, die mit OTP-Authentifizierung.
Da jedoch die die Verwendung der Gesichtsverifikation hat zugenommenhaben sich böswillige Akteure neue Wege ausgedacht, um diese Systeme zu umgehen und sich unbefugten Zugang zu Online-Diensten zu verschaffen. Eine dieser Methoden ist die Erstellung und Verwendung von Deepfakes. Im Folgenden werden wir untersuchen, wie Kriminelle versuchen, dies zu erreichen.
Wie nutzen Kriminelle Deepfakes zur Ausnutzung der Gesichtsverifizierung?
Präsentation Angriffe
Bei einem Präsentationsangriff wird ein Artefakt vor die dem Benutzer zugewandte Kamera gehalten, um sich als rechtmäßiger Bankkunde auszugeben und die Gesichtsauthentifizierungssequenz zu fälschen. Diese Artefakte können in Form von statischen Bildern, Videos (z. B. Wiederholungen früherer Authentifizierungsversuche) und qualitativ hochwertigen Masken auftreten. Ein Deepfake-Video, das auf einem Gerät abgespielt und vor die Kamera gehalten wird, ist ein weiteres Beispiel für einen Präsentationsangriff.
Vorgeführte Deepfakes können realistisch und überzeugend sein. Ein nicht reflektierender Bildschirm auf einem Retina-Display lässt Bilder extrem scharf erscheinen, so dass die Pixel mit bloßem Auge oder aus der Entfernung nicht sichtbar sind. Zur Abwehr von Präsentationsangriffen, einschließlich vorgetäuschter Fälschungen, müssen biometrische Gesichtserkennungssysteme eine Lebendigkeitserkennung beinhalten, auf die wir später noch eingehen werden.
Digitale Injektionsangriffe
Mit Hilfe von digitalem Bildmaterial können Kriminelle Fälschungen von synthetischen oder echten Personen direkt in den Datenstrom oder den Authentifizierungsprozess einspeisen.
Digitale Injektionsangriffe sind die gefährlichste Form der Bedrohung, da sie schwieriger zu erkennen sind als Präsentationsangriffe und schnell repliziert werden können. Sie enthalten keine der Hinweise, die Artefakte bieten, wenn sie der Kamera präsentiert werden, was die Unterscheidung der raffinierteren Angriffe für Systeme schwierig und für Menschen nahezu unmöglich macht.
Diese Angriffe sind auch viel besser skalierbar. Die Erstellung eines Deepfakes und dessen Vorführung vor einer Kamera kann zwar effektiv sein, ist aber in seiner Reichweite begrenzt. Der Kriminelle kann dies immer nur einzeln tun.
Digitale Injektionsangriffe hingegen können vom Computer eines Angreifers aus durchgeführt werden. Oder sie können mit Hilfe von tausend geklonten Geräten in einem von einem kriminellen Netzwerk betriebenen Rechenzentrum durchgeführt werden.
Kann man Menschen bei der Erkennung von Fälschungen vertrauen?
Der SBF-Deefake wurde wegen seiner schlechten Qualität verspottet. Einige Twitter-Nutzer erkannten deutlich, dass es sich nicht um ein echtes Video handelte. Wie dem auch sei, Untersuchungen haben gezeigt, dass Menschen völlig unfähig sind, Deepfakes zu erkennen, vor allem, wenn sie von einer bestimmten Qualität sind.
In einer Studie, die von der IDIAP ForschungsinstitutIn der Studie wurden den Teilnehmern immer überzeugendere Deepfakes gezeigt, die mit echten Videos vermischt wurden, und sie wurden gefragt: "Ist das Gesicht der Person im Video echt oder gefälscht? Nur 24 % der Teilnehmer erkannten erfolgreich ein "gut gemachtes" Deepfake.
Trotz gegenteiliger Untersuchungen sind die Menschen ungerechtfertigt zuversichtlich, dass sie Deepfakes erfolgreich erkennen können. In einer kürzlich von iProov durchgeführten Umfrage waren 57 % der Verbraucher zuversichtlich, dass sie ein echtes Video von synthetischem Bildmaterial unterscheiden können.
Die menschliche Unfähigkeit, zwischen einer echten Person und einem Deepfake zu unterscheiden, stellt ein Problem für Organisationen dar, die Identitätsüberprüfung über Videokonferenzen. Dies ist ein unangebrachtes Vertrauen, da das menschliche Auge leicht getäuscht werden kann. Unternehmen können kaum sicher sein, dass die Benutzer, denen sie über Videokonferenzen Zugang zu einem Online-Dienst gewähren, auch wirklich echt sind und nicht nur eine Fälschung. Um dieses Maß an Sicherheit zu gewährleisten, ist eine spezielle Software erforderlich.
Wie können sich Organisationen gegen die Deepfake-Bedrohung wehren?
Aktivitätserkennung
Die Lebendigkeitserkennung wird in Gesichtsüberprüfungs- und Authentifizierungssysteme integriert, um zu unterscheiden, ob die Person, die ihre Identität behauptet, eine reale Person ist und nicht ein präsentiertes Artefakt.
Es gibt eine Reihe von Möglichkeiten, wie ein Gesichtserkennungssystem dies erreichen kann. Eine davon ist, den Benutzer aufzufordern, Aktionen auszuführen, z. B. eine Zeichenfolge laut vorzulesen, zu blinzeln oder den Kopf zu bewegen. Deepfakes können jedoch so programmiert werden, dass sie diese Dinge genauso gut tun. Dies wirft auch einige knifflige Fragen auf Fragen zur Zugänglichkeit und Inklusion.
Ein anderer Ansatz ist die passive Erkennung der Echtheit, d. h., der Benutzer wird nicht aufgefordert, Aktionen auszuführen, sondern es werden Hinweise aus dem Bildmaterial verwendet, um zwischen echt und unecht zu unterscheiden. Auf diese Weise übernimmt die Technologie intuitiv die Arbeit für den Nutzer.
Die Technologie zur Erkennung von Aktivitätsfehlern kann daher einen Deepfake erkennen, wenn er als Teil eines Präsentationsangriffs verwendet wird. Aber wie bereits erwähnt, haben Kriminelle nun die Möglichkeit, Deepfakes direkt in den Datenstrom einzuschleusen und so das Authentifizierungssystem zu umgehen.
Einmalige biometrische Daten
Für risikoreiche Anwendungsfälle wie die Eröffnung eines neuen Kontos oder die Überweisung eines hohen Geldbetrags bieten die meisten Technologien zur Erkennung von Echtheit nicht genügend Sicherheit. Deepfakes können eine Person nachahmen, die sich selbst verifiziert, was einige Liveness-Technologien nicht erkennen können. Um sich gegen fortgeschrittene Bedrohungen zu schützen, sind fortschrittliche Methoden erforderlich.
Einmalige biometrische Daten, die sowohl die Lebendigkeit als auch die Echtheit eines Benutzers sicherstellen und in Echtzeit verifiziert werden, sind für die Abwehrstrategie eines Unternehmens gegen Fälschungen von entscheidender Bedeutung.
Ein einmaliges biometrisches Merkmal ist eine Authentifizierungsmethode, die in Echtzeit stattfindet, um sicherzustellen, dass ein Nutzer "live" und wirklich anwesend ist. Ein einmaliges biometrisches Merkmal wird im Leben eines Benutzers nie wiederholt und hat eine begrenzte Zeitdauer, die nicht wiederverwendet oder neu erstellt werden kann und bei Diebstahl wertlos ist.
Eine Möglichkeit, dies mit einem Standardgerät zu erreichen, ist die Verwendung des Bildschirms zur Projektion einer kontrollierten Beleuchtung auf das Gesicht des Benutzers, um ein einmaliges biometrisches Merkmal zu erstellen. Einmal verwendet, kann es von einer Person, die versucht, eine frühere Authentifizierung zu verwenden, um das System zu fälschen, nicht mehr wiedergegeben werden.
Ein weiterer Vorteil ist, dass er im Falle eines Diebstahls wertlos ist, da er einmalig ist und veraltet, sobald er benutzt wurde.
Fordern Sie hier eine Demo an um herauszufinden, wie iProov mit Hilfe von Aktivitätserkennung und einmaliger Biometrie sicherstellt, dass ein Benutzer die richtige Person ist, eine echte Person, und zum Zeitpunkt der Authentifizierung auch wirklich anwesend ist.