LastPass, ein führender Anbieter von Passwort-Management-Lösungen, berichtete kürzlich über einen versuchten Betrug, bei dem Cyberkriminelle Deepfake-Audio verwendeten, um den CEO des Unternehmens zu imitieren.
In einem ungewöhnlichen Fall von Voice-Phishing wurde ein Mitarbeiter von LastPass Ziel einer Angriffsserie, bei der Betrüger Deepfake-Audio einsetzten, um Karim Toubba, den CEO von LastPass, zu imitieren. Laut Mike Kosak, einem Intelligence Analyst bei LastPass, erhielt der Mitarbeiter mehrere Anrufe und Textnachrichten sowie mindestens eine Voicemail, die alle über WhatsApp geführt wurden – ein Kanal, der unüblich für geschäftliche Kommunikation ist.
Aufmerksamer Mitarbeiter verhindert Schlimmeres
Der Versuch scheiterte glücklicherweise, da der Mitarbeiter misstrauisch wurde und die Kommunikation aufgrund mehrerer Merkmale eines Social Engineering-Versuchs, wie erzwungene Dringlichkeit, nicht weiterverfolgte. Stattdessen meldete er den Vorfall umgehend dem internen Sicherheitsteam von LastPass. Dies ermöglichte es dem Unternehmen, geeignete Maßnahmen zu ergreifen und sowohl intern als auch extern auf die Taktik aufmerksam zu machen.
Deepfake-Technologie im Fokus
Der Vorfall bei LastPass wirft ein Schlaglicht auf die wachsende Bedrohung durch Deepfake-Technologien. Die verwendete Deepfake-Audioaufnahme wurde wahrscheinlich mit Modellen erzeugt, die auf öffentlich zugänglichen Audioaufnahmen des LastPass-CEOs trainiert wurden, wie beispielsweise jene, die auf YouTube verfügbar sind.
Zunahme von Deepfake-Angriffen
Die Warnung von LastPass folgt auf einen Hinweis des U.S. Department of Health and Human Services (HHS) letzte Woche, der auf Cyberkriminelle aufmerksam macht, die IT-Helpdesks mit Social Engineering-Taktiken und AI-Sprachklonwerkzeugen zum Ziel haben. Diese Methoden erhöhen die Schwierigkeit, die Identität des Anrufers aus der Ferne zu verifizieren, insbesondere wenn Führungskräfte oder Unternehmensmitarbeiter imitiert werden.
Empfehlungen für Unternehmen
Nicht nur im Gesundheitssektor, wo spezifische Ratschläge für IT-Helpdesks gegeben wurden, sondern auch bei Betrugsversuchen durch CEO-Imitationen, sollten Unternehmen folgende Maßnahmen erwägen:
- Rückrufanforderungen zur Verifizierung von Mitarbeitern, die Passwortrücksetzungen und neue MFA-Geräte anfordern.
- Überwachung verdächtiger ACH-Änderungen.
- Neubestätigung aller Nutzer mit Zugang zu Zahlungswebsites.
- In-Person-Anforderungen für sensible Angelegenheiten.
- Bestätigung durch Vorgesetzte bei Anfragen.
- Schulung des Helpdesk-Personals zur Identifizierung und Meldung von Social Engineering-Techniken sowie zur Überprüfung der Identität von Anrufern.
Zukünftige Bedrohungen durch Deepfakes
Im März 2021 warnte das FBI in einer Mitteilung an die Privatwirtschaft (PIN) vor der zunehmenden Raffinesse von Deepfakes, die wahrscheinlich weit verbreitet in „Cyber- und ausländischen Einflussoperationen“ eingesetzt werden. Europol ergänzte im April 2022, dass Deepfakes bald routinemäßig von Cyberkriminalitätsgruppen in CEO-Betrug, Beweismanipulation und der Erstellung nicht-einvernehmlicher Pornografie verwendet werden könnten.
Der Vorfall unterstreicht die Notwendigkeit für Unternehmen, robuste Sicherheitsprotokolle zu implementieren und ständig zu aktualisieren, um sich gegen die fortschreitenden und immer ausgeklügelteren Bedrohungen durch Cyberkriminalität zu schützen. LastPass hat diesen Vorfall öffentlich gemacht, um das Bewusstsein für die potenziellen Gefahren von AI-generierten Inhalten zu schärfen und andere Unternehmen zu einer erhöhten Wachsamkeit zu bewegen.