Securitywatch: Betrüger fischen mit Deepfakes

Ich bekomme von meiner Familie nicht viele Fragen zu meinem Beruf. Sie interessieren sich verständlicherweise viel mehr für die Entführungen meiner Ratten und meines Hundes. Aber wenn ich nach Sicherheit gefragt werde, wollen die Leute immer wissen, warum das Schlimme passiert. Es gibt viele Antworten auf diese Frage, aber die, auf die ich immer zurückkomme, ist einfach: Geld.

Ransomware? Einfaches Geld für Angreifer. Phishing? Nichts als Bargeld. Spam? Alle Arten von Möglichkeiten zur Monetarisierung von Personen, die auf Links klicken. Datenschutzverletzungen? Das Zeug wird für Betrug verwendet und der Rest wird verkauft (um für mehr Betrug verwendet zu werden). Nationalstaatliche Angriffe? Klar, es gibt eine Ideologie, aber wenn man bedenkt, dass US-Sanktionen zweifellos eine Rolle bei der Motivation Russlands spielten, die Wahlen 2016 anzugreifen, steckt Geld in der Gleichung. Und das ist nicht zu erwähnen, dass nationalstaatliche Hacker für zusätzliches Geld bei Mondschein sind.

Nicht auf dieser Liste stehen Deepfakes, Videos, die manipuliert wurden, im Allgemeinen mit KI-Technologie. Wir haben gesehen, wie die Gesichter von Prominenten auf die Körper von Pornostars gewechselt und die Gesichter und Stimmen von Politikern manipuliert wurden, um sie dazu zu bringen, Dinge zu sagen, die sie nicht wirklich sagten. Manchmal sollen sie wild entzündliche Verschwörungen fördern; heimtückischer sind die Zeiten, in denen sie manipuliert werden, um zu sagen, dass es für den anregenden Betrachter schwierig sein kann, sich von der Wahrheit zu unterscheiden.

Deepfakes wurden in den letzten Monaten viel diskutiert, aus Angst, sie könnten in Kampagnen zur Fehlinformation eingesetzt werden, um die Wähler zu verwirren. Das ist (noch) nicht im großen Stil passiert, aber pornografische Deepfakes haben bereits vielen Menschen geschadet. Warum nennen wir das eine aufkommende Bedrohung? Wahrscheinlich, weil es keinen offensichtlichen Weg gab, sie direkt zu monetarisieren. Dies änderte sich diese Woche, da berichtet wird, dass Deepfakes verwendet wurden, um Unternehmen für Hunderttausende von Dollar zu beschmutzen.

Neue Tools, gleiche alte Con

Im Nachhinein hätte ich es kommen sehen sollen. Social Engineering - eine ausgefallene Redewendung, um Menschen auszutricksen - ist ein altbewährtes Werkzeug, um die digitale Sicherheit zu verletzen oder einfach nur schnell Geld zu verdienen. Die Hinzufügung von Deepfakes in den Trick ist eine perfekte Passform.

Das Wall Street Journal berichtete, dass einige clevere Angreifer ein gefälschtes Sprachmodell erstellt haben, mit dem sie einen anderen Mitarbeiter davon überzeugen konnten, mit dem CEO des Unternehmens zu sprechen. Der Mitarbeiter genehmigte daraufhin eine Überweisung in Höhe von rund 243.000 USD. In ihrer eigenen Berichterstattung schrieb die Washington Post: "Forscher der Cybersicherheitsfirma Symantec haben festgestellt, dass mindestens drei Fälle von Stimmen von Führungskräften vorgekommen sind, die Unternehmen nachgeahmt haben." Der geschätzte Transport wird in Millionen Dollar gemessen.

Zu meiner eigenen Erbauung habe ich mich hingesetzt und versucht, die Geschichte der Deepfakes zu verfolgen. Es ist wirklich ein Konzept für die Ära der gefälschten Nachrichten und begann Ende 2017 in einem auf Reddit geposteten Vize-Artikel über Face-Swap-Pornografie. Die erste Verwendung von "Deepfakes" war der Benutzername der Person, die die pornografischen Videos veröffentlichte, die das Gesicht, aber nicht den Körper von Gal Gadot, Scarlett Johansson und anderen zeigten.

In nur wenigen Monaten verlagerte sich die Sorge um Deepfakes in die Politik. In den Videos wurden politische Persönlichkeiten angeprangert, und hier blieb ich (und der größte Teil der Sicherheitsgemeinschaft) stecken. Angesichts der Fehlinformationen Russlands während der US-Wahlen 2016 war (und ist) die Idee, dass nahezu ununterscheidbare gefälschte Videos den Wahlzyklus 2020 überschwemmen. Es sorgt auch für Schlagzeilen und ist eines jener Projekte für das Gemeinwohl, die Sicherheitsunternehmen wirklich mögen.

Es wäre mir ein Rätsel, wenn ich nicht auf die Grenzen von Deepfakes hinweisen würde. Zum einen benötigen Sie Audioclips der Person, deren Identität Sie annehmen möchten. Aus diesem Grund sind Prominente und Politiker im nationalen Rampenlicht offensichtliche Ziele für Deepfakery. Forscher haben jedoch bereits gezeigt, dass nur etwa eine Minute Audio erforderlich ist, um eine überzeugende Audio-Deepfake zu erstellen. Ein öffentliches Investorengespräch, ein Nachrichteninterview oder (Gott helfe Ihnen) ein TED-Gespräch zu hören, wäre wahrscheinlich mehr als genug.

Ich frage mich auch, wie gut Ihr Deepfake-Modell überhaupt funktionieren muss, um effektiv zu sein. Beispielsweise hat ein Angestellter auf niedriger Ebene möglicherweise keine Ahnung, wie der CEO klingt (oder wie er sogar aussieht), was mich fragt, ob eine vernünftige plausible und maßgebliche Stimme ausreicht, um die Aufgabe zu erledigen.

Warum ist das Geld wichtig?

Kriminelle sind schlau. Sie wollen so viel Geld wie möglich verdienen, schnell, einfach und mit dem geringsten Risiko. Wenn jemand einen neuen Weg findet, um diese Dinge zu tun, folgen andere. Ransomware ist ein gutes Beispiel. Verschlüsselung gibt es schon seit Jahrzehnten, aber als die Kriminellen begannen, sie für einfaches Geld zu waffen, führte dies zu einer Explosion von Ransomware.

Deepfakes, die erfolgreich als Werkzeug für einen spezialisierten Spearfishing-Angriff eingesetzt werden, sind ein Beweis für ein neues Konzept. Vielleicht klappt es nicht wie Ransomware - es ist immer noch sehr aufwändig und es funktioniert einfacher. Aber Kriminelle haben bewiesen, dass Deepfakes auf diese neuartige Weise funktionieren können, daher sollten wir zumindest mit weiteren kriminellen Experimenten rechnen.

• So schützen Sie US-Wahlen, bevor es zu spät ist So schützen Sie US-Wahlen, bevor es zu spät ist
• Wahlbeeinflussungskampagnen: Zu billig, damit Betrüger darüber hinwegsehen Wahlbeeinflussungskampagnen: Zu billig, damit Betrüger darüber hinwegsehen
• Russische Intel-Agenturen sind ein Gift für Wettbewerb und Sabotage Russische Intel-Agenturen sind ein Gift für Wettbewerb und Sabotage

Anstatt auf CEOs abzuzielen, könnten Betrüger auf normale Leute abzielen, um kleinere Auszahlungen zu erhalten. Es ist nicht schwer, sich einen Betrüger vorzustellen, der auf Facebook oder Instagram gepostete Videos verwendet, um gefälschte Sprachmodelle zu erstellen, um Menschen davon zu überzeugen, dass ihre Familienmitglieder viel Geld per Überweisung benötigen. Oder vielleicht bekommt die florierende Robocall-Industrie eine Deepfake-Schicht für zusätzliche Verwirrung. Möglicherweise hören Sie die Stimme eines Freundes zusätzlich zu einer bekannten Telefonnummer. Es gibt auch keinen Grund, warum diese Prozesse nicht bis zu einem gewissen Grad automatisiert werden können, indem Sprachmodelle ausgetauscht und vorab festgelegte Skripte durchlaufen werden.

Nichts davon soll den potenziellen Schaden von Wahlfälschungen oder das Geld, das bei diesen Operationen gebunden wird, mindern. Wenn Kriminelle mit Deep-Fake-Tools besser umgehen können und diese Tools besser werden, kann ein Markt für Deep-Fakes-for-Hire entstehen. So wie Bösewichte für schändliche Zwecke Zeit für Botnets leihen können, können kriminelle Unternehmen auftreten, die Deepfakes auf Vertragsbasis erstellen.

Glücklicherweise schafft ein monetärer Anreiz für die Bösen einen für die Guten. Der Aufstieg der Ransomware führte zu einer besseren Anti-Malware, um böswillige Verschlüsselung zu erkennen und die Übernahme von Systemen zu verhindern. Es wird bereits daran gearbeitet, Deepfakes aufzuspüren, und hoffentlich werden diese Bemühungen erst durch das Eintreffen von Deepfake-Phishing beschleunigt. Das ist wenig Trost für die Leute, die bereits betrogen wurden, aber es ist eine gute Nachricht für den Rest von uns.