Juli 8, 2022
Im Juni 2022 veröffentlichte das FBI eine öffentliche Bekanntmachung, in der es Unternehmen vor einem neuen Cybersicherheitsrisiko warnte: gefälschte Mitarbeiter. In der Warnung heißt es, dass Cyberkriminelle vermehrt "gefälschte und gestohlene personenbezogene Daten (PII) verwenden, um sich für eine Vielzahl von Fernarbeits- und Heimarbeitsplätzen zu bewerben".
Deepfakes sind Videos oder Bilder, die mithilfe von KI-gestützter Software erstellt werden, um Personen zu zeigen, die Dinge sagen oder tun, die sie nicht gesagt oder getan haben. In diesem Fall nutzten die Angreifer personenbezogene Daten, um Identitäten zu stehlen und Deepfakes zu erstellen, mit dem Ziel, Arbeitsplätze zu sichern.
Das FBI berichtete, dass die Angreifer Deepfakes verwendeten, um sich für Stellen in den Bereichen "Informationstechnologie und Computerprogrammierung, Datenbanken und softwarebezogene Funktionen" zu bewerben.
Warum verwenden Kriminelle Deepfakes, um sich für Jobs zu bewerben?
Cyberkriminelle nutzen zunehmend Deepfakes, um online Straftaten zu begehen. Deepfakes können zum Beispiel dazu verwendet werden, synthetischen Identitäten Glaubwürdigkeit zu verleihen, indem der Kriminelle falsche Personen schafft, die nicht existieren. Deepfakes können auch für die Übernahme von Konten verwendet werden, wobei ein Deepfake einer echten Person verwendet wird, um auf deren Konten zuzugreifen.
In beiden Fällen ist das Ziel in der Regel finanzieller Gewinn - man eröffnet eine Kreditkarte und schöpft sie aus, oder man stiehlt Geld von einem Konto.
Warum also einen Deepfake benutzen, um eine Rolle in der Technik zu bekommen? Es geht nicht nur um einen monatlichen Gehaltsscheck. Die wirkliche Bedrohung besteht darin, dass der Angreifer durch die Sicherung einer technischen Funktion innerhalb des Unternehmens Zugang zu "personenbezogenen Kundendaten, Finanzdaten, IT-Datenbanken des Unternehmens und/oder geschützten Informationen" erhält, so das FBI.
Die Angreifer können diese gestohlenen Daten dann nutzen, um das Unternehmen zu erpressen oder weitere Angriffe auszuführen.
Woher wissen wir von Deepfake-Mitarbeitern?
Das FBI wurde auf diese betrügerischen Vorfälle aufmerksam, als es mehrere IC3-Beschwerden (Internet Crime Complaint Center) von den Organisationen erhielt, die die Interviews durchführten. Die Beschwerdeführer berichteten, dass sie bei den Gesprächen mit den Bewerbern Spoofing- und Deepfake-Videos entdeckt hatten. Während der Gespräche passierten merkwürdige Dinge, z. B. stimmten Mund und Lippen nicht mit den auf dem Bildschirm gesprochenen Worten überein.
Diese Fälschungen scheinen also ziemlich leicht zu erkennen zu sein. Aber wir dürfen nicht vergessen, dass diese Deepfake-Versuche fehlgeschlagen sind. Aus der Ankündigung geht nicht hervor, wie viele erfolgreich waren.
Können Video-Interviews einen Deepfake erkennen?
Die globale Pandemie war zwar nicht die Geburtsstunde der Telearbeit, aber sie hat sie auf jeden Fall weiter verbreitet. Mit der Einführung sozialer Distanzierungsmaßnahmen tauschten Arbeitnehmer auf der ganzen Welt das Büro gegen ihr Zuhause.
In vielen Ländern gehören die Vorschriften zur sozialen Distanzierung zwar der Vergangenheit an, nicht aber die Fernarbeit.
Fernarbeit bringt echte Vorteile mit sich. Für Arbeitgeber vergrößert sich der Talentpool. Hindernisse wie die geografische Entfernung sind kein Problem mehr. Personalverantwortliche können die besten Talente rekrutieren, wo auch immer auf der Welt sie sich befinden mögen.
Darüber hinaus wollen die Arbeitnehmer aus der Ferne arbeiten. Laut einer Umfrage des Pew Research Centre gaben 61 % der US-amerikanischen Arbeitnehmer an, dass sie aus freien Stücken aus der Ferne arbeiten.
Doch mit den Chancen kommen auch Gefahren. Es liegt in der Natur der Sache, dass die Fernarbeit eine Distanz zwischen Arbeitgeber und Arbeitnehmer schafft. Sie treffen sich vielleicht nie persönlich. Es wird sehr schwierig, zu überprüfen, ob jemand derjenige ist, der er vorgibt zu sein, wenn er sich für eine Stelle bewirbt.
Man sollte meinen, dass ein Videogespräch mit jemandem dieses Problem lösen würde. Als Menschen sind wir doch sicher erfahren genug, um zwischen einem echten Menschen und einer digitalen Nachahmung zu unterscheiden?
Dies ist jedoch nicht der Fall. Das Aufkommen immer überzeugenderer Deepfakes hat unsere Fähigkeit untergraben, eine reale Person erfolgreich von einem Deepfake zu unterscheiden. Wenn wir uns also auf unsere Fähigkeiten - oder die unserer Kollegen - verlassen, um diese Unterscheidung zu treffen, entsteht ein Risiko. Dies stellt auch die Wirksamkeit jeglicher Art von Videointerviews als Sicherheitsmaßnahme in Frage. Das menschliche Auge kann gefälscht werden. Können wir ganz sicher sein, dass unser Gesprächspartner überhaupt echt ist?
Auch Deepfakes lassen sich immer leichter herstellen. Mit einem einfachen Plug-in können Angreifer ein so genanntes "Echtzeit-Deefake" erstellen . Dabei werden Bilder eingeblendet, um ein Video zu verzerren. Dieses Video kann dann in Kommunikationskanäle für Videokonferenzen gestreamt werden.
Die schnelle, einfache und erschwingliche Art von Deepfakes und Echtzeit-Deepfakes bedeutet, dass sie eine skalierbare Methode zur Begehung betrügerischer Aktivitäten darstellen. Da wir weiterhin aus der Ferne arbeiten und Menschen einstellen, werden Cyberkriminelle immer überzeugendere Fälschungen entwickeln, um Zugang zu Arbeitsplätzen zu erhalten.
Wie kann die biometrische Authentifizierung Arbeitgebern bei der Bekämpfung von Fälschungen helfen?
Arbeitgeber in allen Branchen sollten über diese wachsende Bedrohung besorgt sein. Aber es gibt eine Lösung.
Mit Hilfe der biometrischen Gesichtstechnologie kann überprüft werden, ob eine Person diejenige ist, die sie vorgibt zu sein, wenn sie eine Online-Aktivität durchführt, z. B. die Eröffnung eines Bankkontos oder die Bewerbung um eine Stelle.
In diesem Fall könnte sich ein Antragsteller bei der Einreichung seines Antrags verifizieren. Er könnte ein Ausweisdokument mit Foto einscannen, z. B. einen Führerschein, Reisepass oder Personalausweis, und dann sein Gesicht scannen, um zu beweisen, dass er derjenige ist, der er vorgibt zu sein.
Dies beweist jedoch nicht, dass sie echt sind. Ein Gesicht kann nicht gestohlen werden, was die Biometrie sehr sicher macht, aber ein Gesicht kann mit einem Foto oder einem Deepfake kopiert werden.
Wenn Sie sich gegen Deepfakes schützen wollen, müssen Sie überprüfen, ob eine Person die richtige ist, aber auch, ob sie eine echte Person ist und ob sie sich gerade authentifiziert.
Kann Liveness Deepfake-Mitarbeiter erkennen?
Liveness ist eine Form der Gesichtsüberprüfung, die erkennen kann, ob das Gesicht, das der Kamera präsentiert wird, ein echter, lebender Mensch ist. Es wird auch erkannt, ob es sich um die richtige Person handelt.
Mit der Aktivitätserkennung kann also erkannt werden, ob jemand der Kamera ein Bild, eine Aufnahme oder eine Maske des Opfers vorlegt. Sie kann auch einen Deepfake erkennen, wenn er der Kamera vorgelegt wird.
Was Liveness jedoch nicht leisten kann, ist der Schutz vor digital injizierten, skalierbaren Angriffen. Diese Angriffe können die Gerätesensoren vollständig umgehen. Sehen Sie, wie digital injizierte Angriffe funktionieren.
Wie lassen sich mit Dynamic Liveness Deepfakes erkennen?
Dynamic Liveness ist die einzige Möglichkeit zu überprüfen, ob eine entfernte Person, die ihre Identität behauptet, die richtige Person ist, eine echte Person, und ob sie sich gerade jetzt authentifiziert.
Dynamic Liveness ist in der Lage zu erkennen, ob eine Person, die ihre Identität behauptet, ein echter Mensch ist. Es ist aber auch in der Lage, digital eingeschleuste Angriffe zu erkennen - solche, die häufig Deepfakes verwenden, um die Gerätesensoren zu umgehen und das System zu täuschen.
Während einfache Liveness-Lösungen vor bekannten Bedrohungen schützen können - vor allem vor Präsentationsbedrohungen (physische und digitale Artefakte, die auf einem Bildschirm angezeigt werden) - bietet die dynamische Liveness Schutz vor bekannten, neuen und sich entwickelnden synthetischen digitalen Injektionsangriffen.
Erreicht wird dies durch die Flashmark™-Technologie von iProov, die das Gesicht des Fernanwenders mit einer einzigartigen, zufälligen Farbfolge beleuchtet. Dies mindert das Risiko von Wiederholungen oder synthetischen Manipulationen und verhindert Spoofing.
Die Deepfake-Bedrohung: Ein Wettrüsten
Da die Fälschungen immer ausgefeilter werden, sollte auch die biometrische Sicherheit, die zu ihrer Bekämpfung eingesetzt wird, verbessert werden.
Bei iProov setzen wir Technologien des maschinellen Lernens, Menschen und Prozesse ein, um Cyberangriffe, einschließlich Deepfakes, zu erkennen und abzuwehren. Auf diese Weise lernen wir ständig aus diesen Angriffen. Dies hilft, Betrug, Diebstahl, Geldwäsche und andere schwere Online-Kriminalität zu verhindern - heute und morgen.
Deepfake-Bewerbungen: Eine Zusammenfassung
- Das FBI hat davor gewarnt, dass Kriminelle Deepfakes verwenden, um sich für Remote-Tech-Jobs zu bewerben.
- Indem er sich eine Position innerhalb eines Unternehmens sichert, erhält der Kriminelle Zugang zu Systemen und personenbezogenen Daten, was zu Datendiebstahl und Lösegeldzahlungen führen kann.
- Die Fernarbeit wird sich durchsetzen. Die Durchführung von Videointerviews ist jedoch keine wirksame Methode zur Erkennung von Fälschungen, da das menschliche Auge getäuscht werden kann.
- Wenn Unternehmen weiterhin Mitarbeiter aus der Ferne einstellen wollen, sollten sie Sicherheitsvorkehrungen treffen, um zu überprüfen, ob die Bewerber auch wirklich die sind, für die sie sich ausgeben.
- Die Dynamic Liveness von iProov und das Engagement bei der Bekämpfung von Deepfakes und anderen synthetischen oder digital eingeschleusten Angriffen mindern diese Risiken.
Wenn Sie mehr darüber erfahren möchten, wie iProov Ihnen helfen kann, sich mit Hilfe biometrischer Gesichtsdaten vor Deepfake-Kriminalität zu schützen, laden Sie noch heute unseren vollständigen Bericht Work From Clone herunter: