Mit KI und ML steigt Gefahr von Deepfake-Angriffen

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: NTT Security
Veröffentlicht von SecuPedia-Redaktion am 24. August 2018.

Ismaning, 24.08.2018 - NTT Security sieht die Gefahr, dass Deepfakes, das heißt manipulierte Medieninhalte wie Bilder, Videos oder Audio-Files, "künftig - spätestens 2019 - deutlich an Bedeutung" gewinnen werden. Die dabei eingesetzten Machine-Learning-Methoden würden weiter optimiert werden und auch die Realisierung von Deepfakes sei keine zeit- und kostenaufwendige Herausforderung mehr, begründete das Unternehmen: „Die dahinterstehenden Technologien wie Künstliche Intelligenz und Machine-Learning-Algorithmen haben sich in letzter Zeit rasant weiterentwickelt, sodass aktuell vielfach kaum mehr Original von Fälschung zu unterscheiden ist.“ Da bisher keine ausgereiften technischen Abwehrmechanismen zur Verfügung stünden, müssten Unternehmen "größte" Vorsicht walten lassen.

So könnten etwa Video-Deepfakes mit im Internet frei verfügbaren Tools wie der Software FakeApp und überschaubaren technischen Kosten erstellt werden. Benötigt werden, so heißt es, lediglich eine Webcam für rund 80 Euro, ein Greenscreen für rund 90 Euro und eine Grafikkarte für rund 1.000 Euro.

Auch ein Audio-Deepfake sei inzwischen einfach zu realisieren. In der Vergangenheit musste ein Modell noch anhand von Sprachdaten mit mindestens fünf Stunden Länge erstellt werden. Heute gebe es öffentlich verfügbare Tools, die das Synthetisieren von neuen Stimmen auf Basis eines vorhandenen Modells mit nur einer Minute an Audiomaterial ermöglichen würden.

"Die Deepfakes werden immer besser, und es wird damit immer schwerer, sie zu erkennen. Auch die Auswirkungen für Unternehmen werden deshalb nicht lange auf sich warten lassen. Das mögliche Angriffsszenario reicht von der Übernahme von Identitäten bis zur Erpressung von Unternehmen", erklärt David Wollmann, Executive Consultant bei NTT Security, dem auf Sicherheit spezialisierten Unternehmen und "Security Center of Excellence" der NTT Group.
 

Beispiele für Deepfake-basierte Angriffsmethoden:

C-Level-Fraud: Damit versuchen Betrüger Firmenmitarbeiter durch einen Anruf davon zu überzeugen, Geld zu überweisen, wobei sich der Anrufende genauso wie der CFO oder CEO anhört.

Erpressung von Unternehmen oder Einzelpersonen: Mit der Deepfake-Technologie können Gesichter und Stimmen in Mediendateien übertragen werden, die Personen dabei zeigen, wie sie fingierte Aussagen treffen. So könnte etwa ein Video mit einem CEO erstellt werden, der bekannt gibt, dass ein Unternehmen alle Kundendaten verloren hat oder dass das Unternehmen kurz vor der Insolvenz steht. Mit der Drohung, das Video an Presseagenturen zu schicken oder es in sozialen Netzwerken zu posten, könnte ein Angreifer eine Firma erpressen.

Manipulation von Authentisierungsverfahren: Ebenso kann die Deepfake-Technologie genutzt werden, um kamerabasierte Authentisierungsmechanismen zu umgehen, etwa die Legitimationsprüfung über Postident.

„Prinzipiell können aber alle Attacken, die darauf basieren, dass ein Angreifer sich virtuell als eine andere Person ausgibt - zum Beispiel am Telefon, per E-Mail oder Videobotschaft -, durch die Deepfake-Technologie erweitert und wesentlich schwerer erkennbar werden. Dadurch ist es durchaus denkbar, dass Deepfakes auch für Angriffe auf Privatpersonen genutzt werden, etwa für den Enkeltrick-Betrug“, so NTT Security.

"Die meisten Unternehmen kennen die Deepfake-Angriffsszenarien noch nicht, da es eine ganz neue, bisher 'unter dem Radar' befindliche Art der Attacke ist", so Wollmann. "Man kann lediglich ein Bewusstsein im Unternehmen schaffen, dass solche Angriffe möglich sind.“

Momentan würden zwar noch keine technischen Abwehrmechanismen zur Verfügung stehen, an Programmen zur Erkennung von Deepfakes werde aber gearbeitet; teilweise, so heißt es, stünden sie kurz vor der Marktreife. (Quelle: Presseinformation von NTT Security vom 24.08.2018)


 

Kategorien E-Mail Service konfigurieren

  • Kriminalität mit IT-Bezug (Malware, Phishing, Identitätsdiebstahl, Cyber-Security)
  • Datenschutz / Datensicherheit

Benutzergruppe

  • Alle Benutzer