Raffinierte Betrugsmaschen basieren auf maschinellen Lernalgorithmen

Durch maschinelle Lernalgorithmen kann Social Engineering sogar hochrangige Führungskräfte täuschen.

Neue Technologien verändern die Welt, nicht aber die menschliche Psyche. Böse Genies entwickeln daher technologische Innovationen, um auf Schwachstellen im menschlichen Gehirn abzuzielen. Ein anschauliches Beispiel dafür ist die Geschichte einer Gruppe Krimineller, die die Stimme eines internationalen CEO nachahmte, um den Leiter einer Tochtergesellschaft dazu zu bringen, Geld auf zwielichtige Konten zu überweisen.

Was ist passiert?

Die Details des Angriffs sind nicht bekannt, aber das Wall Street Journal, das die Versicherungsgesellschaft Euler Hermes Group SA zitiert, beschreibt den Vorfall wie folgt:

  1. Als der CEO eines britischen Energieunternehmens einen Anruf entgegennimmt, glaubte dieser, mit seinem Chef, dem Geschäftsführer der deutschen Muttergesellschaft des Unternehmens, zu sprechen. Dieser bittet ihn darum, eine Geldsumme in Höhe von 220.000 Euro innerhalb einer Stunde an einen ungarischen Lieferanten zu überweisen, der sich später als fiktiv herausstellt.
  2. Der britische Manager überweist den geforderten Betrag.
  3. Die Angreifer rufen daraufhin erneut bei der britischen Firma an, um die Nachricht zu übermitteln, dass die Muttergesellschaft Geld überwiesen habe, um dem britischen Unternehmen den Betrag zu erstatten.
  4. Später am selben Tag wird ein dritter Anruf im Namen des CEO getätigt, um eine weitere Zahlung zu fordern.
  5. Da die Überweisung, mit der das Geld hätte erstattet werden sollen, zum Zeitpunkt des letzten Anrufs noch nicht eingetroffen ist und dieser von einer österreichischen anstelle einer deutschen Telefonnummer stammt, wird der britische Direktor misstrauisch und weigert sich, eine weitere Überweisung zu tätigen.

Wie wurde diese Falle gestellt?

Die Versicherungsfirma prüft derzeit zwei Möglichkeiten. Entweder durchsuchten die Angreifer eine Vielzahl von Aufzeichnungen des CEO und setzten die Sprachnachrichten manuell zusammen (eine sehr zeitaufwändige und unzuverlässige Aufgabe), oder sie setzten einen auf maschinellen Lerntechnologien basierenden Algorithmus für die Aufzeichnungen ein (was wesentlich wahrscheinlicher ist). Es ist äußerst schwierig, einen logischen Satz aus einzelnen Wörtern zusammenzusetzen, ohne das menschliche Gehör  dabei zu irritieren. Laut dem britischen Opfer war das Gespräch absolut normal, mit einem klar erkennbaren Timbre und einem leichten deutschen Akzent. Als Hauptverdächtiger steht momentan also Künstliche Intelligenz im Raum. Der Erfolg des Angriffs hing jedoch weniger mit dem Einsatz neuer Technologien als mit dem Gehörsam gegenüber der Autorität zusammen.

Psychologisches Postmortem

Sozialpsychologen haben viele Experimente durchgeführt, die zeigen, dass selbst intelligente, erfahrene Menschen ohne Zweifel dazu neigen, Anweisungen von Autoritätspersonen zu befolgen, auch wenn dies ihren persönlichen Überzeugungen, dem gesunden Menschenverstand oder Sicherheitsüberlegungen zuwiderläuft.

Philip Zimbardo erläutert in seinem Buch „Der Luzifer-Effekt: Die Macht der Umstände und die Psychologie des Bösen“ ein Experiment, bei dem Krankenschwestern einen Anruf von einem Arzt erhielten, in dem sie darum gebeten wurden, einem Patienten eine Medizindosis zu injizieren, die doppelt so hoch ist wie die maximal zulässige Menge. Von 22 Krankenschwestern gingen insgesamt 21 den Anweisungen des Arztes nach. Und tatsächlich hat fast die Hälfte aller befragten Krankenschwestern schon einmal die Anweisungen eines Arztes befolgt, die ihrer Meinung nach einem Patienten hätten Schaden zufügen können. All das aufgrund der Überzeugung der Krankenschwestern, weniger Verantwortung als ein Arzt mit gesetzlicher Befugnis zu haben.

Der Psychologe Stanley Milgram erklärte den fraglosen Gehorsam gegenüber der Autorität ebenfalls mit der Theorie der Subjektivität. Wenn Menschen sich als Werkzeuge zur Erfüllung der Willen anderer wahrnehmen, fühlen sie sich für ihre Handlungen nicht verantwortlich.

Wie kann man sich schützen?

Sie können nie mit 100% iger Sicherheit wissen, mit wem Sie gerade telefonieren – vor allem dann nicht, wenn es sich bei Ihrem Gesprächspartner um eine öffentliche Person handelt und Aufzeichnungen ihrer Stimme (Interviews, Reden) öffentlich verfügbar sind. Momentan gelten derartige Vorfälle noch als Seltenheit, doch mit dem Fortschritt der Technologie werden sie vermutlich in Zukunft immer häufiger auftreten.

Wenn Sie Anweisungen, ohne kritisches Hinterfragen, befolgen, können Sie den Cyberkriminellen in die Hände spielen. Natürlich ist es normal, dem Chef zu gehorchen, aber es ist auch wichtig, seltsame oder unlogische Entscheidungen von Führungspositionen in Frage zu stellen.

Wir können den Mitarbeitern nur abraten, Anweisungen blind zu befolgen. Versuchen Sie, keine Befehle ohne eine Begründung zu erteilen. Auf diese Weise hinterfragt ein Mitarbeiter eher eine ungewöhnliche Anordnung, da keine offensichtliche Begründung vorliegt.

Aus technischer Sicht empfehlen wir:

  • Ein klares und vorgeschriebenes Verfahren für die Überweisung von Geldern, damit auch hochrangige Mitarbeiter nicht unbeaufsichtigt Geld aus dem Unternehmen bewegen können. Überweisungen großer Geldsummen müssen von mehreren Managern genehmigt werden.
  • Schulen Sie die Mitarbeiter in den Grundlagen der Cybersicherheit, und bringen Sie ihnen bei, eingehende E-Mails mit einem gesunden Haufen Skepsis zu lesen. Unsere Security Awareness Programme können dabei helfen.
Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.