Sind Deepfakes Die Neuen Spam-Anrufe? Hier Erfahren Sie, Wie Sie Sich Davor Schützen Können

Wenn Sie ein Deepfake von Ihrem Unternehmens-CEO sehen würden, könnten Sie erkennen, dass es nicht echt ist? Dies ist eine besorgniserregende Herausforderung, mit der Organisationen auf der ganzen Welt häufig konfrontiert sind. Tatsächlich wurde vor kurzem ein Werbegigant Ziel eines Deepfakes seines CEOs. Ein öffentlich verfügbarer Bild des Managers wurde verwendet, um ein Microsoft-Teams-Meeting einzurichten, in dem eine Stimme des Managers – aus einem YouTube-Video – eingesetzt wurde. Obwohl dieser spezifische Angriff erfolglos war, zeigt er ein größeres Bild der neuen Taktiken, die Cyberkriminelle mit öffentlich verfügbaren Informationen verwenden – und das ist nur die Spitze des Eisbergs.

Technologie ist so fortschrittlich geworden, dass nur etwa die Hälfte der IT-Führungskräfte heute großes Vertrauen in ihre Fähigkeit haben, ein Deepfake ihres CEOs zu erkennen. Die Situation wird verschlimmert, da Cyberkriminelle nicht nur CEOs, sondern auch das gesamte Führungsteam nachahmen, wobei CFOs beliebte Ziele werden. Deepfakes werden immer einfacher zu erstellen. Tatsächlich ergibt eine schnelle Google-Suche nach “Wie erstelle ich ein Deepfake” verschiedene Artikel und YouTube-Tutorials, die genau erklären, wie man eines erstellt. Die Kosten werden vernachlässigbar, was bedeutet, dass Deepfakes im Wesentlichen die neuen Spam-Anrufe sind.

Spam-Anrufe sind heute allzu häufig. Tatsächlich behauptet die Federal Communications Commission (FCC), dass US-Verbraucher etwa 4 Milliarden Robocalls pro Monat erhalten, und Fortschritte in der Technologie machen sie extrem billig und sehr lukrativ, sogar bei einer niedrigen Erfolgsrate. Deepfakes folgen diesem Beispiel. Cyberkriminelle werden Deepfake-Technologie nutzen, um ahnungslose Mitarbeiter noch mehr als heute zu täuschen, und Deepfakes werden schließlich zu einem alltäglichen Ereignis für den durchschnittlichen Verbraucher. Lassen Sie uns Strategien erkunden, die Führungskräfte umsetzen können, um ihre Organisation, Mitarbeiter und Kunden vor diesen Bedrohungen zu schützen.

Starke Richtlinien Festlegen

Zunächst müssen Führungskräfte starke Richtlinien innerhalb ihrer Organisation festlegen. Diese Richtlinien müssen von ganz oben kommen, beginnend mit dem CEO, und häufig kommuniziert werden. Zum Beispiel muss der CEO der gesamten Firma klar erklären, dass er niemals eine seltsame oder zufällige Anfrage an einen Mitarbeiter stellen wird, wie zum Beispiel den Kauf mehrerer 100-Dollar-Geschenkkarten – eine häufige Phishing-Taktik. Diese Angriffe sind oft erfolgreich, weil sie von einer Führungsposition kommen und nicht in Frage gestellt werden. Allerdings werden CEO-Deepfakes immer häufiger, und wir werden uns dessen bewusst, dass sie tatsächlich nicht echt sind. Als Ergebnis erwarte ich, dass sie ihren Weg durch die Organisation finden, einschließlich VPs, Direktoren, Front-Line-Managern und sogar Kollegen.

Nur denken Sie daran: Wenn ein Kollege oder Ihr direkter Vorgesetzter eine Anfrage an Sie stellt, ist das ziemlich üblich. Warum sollten Sie einen Grund haben, es in Frage zu stellen? Richtlinien können auch mit der Verwendung dieser Deepfake-Tools innerhalb Ihrer Organisation zusammenhängen, einschließlich des Verbots der Verwendung auf firmeneigenen Technologien. Das Festlegen dieser Richtlinien und Schutzmechanismen ist nur der erste Schritt.

Anfragen Über Mehrere Kanäle Bestätigen

Zweitens sollte es eine Strategie geben, Anfragen über mehrere Kommunikationswege zu bestätigen, wenn Anfragen gestellt werden müssen. Ein Beispiel könnte sein, wenn eine Anfrage vom CEO kommt, dass diese Anfrage per E-Mail gesendet wird und auch eine Nachverfolgung über eine im Unternehmen verwendete Instant-Messaging-Plattform enthält. Wenn es keine Nachverfolgung gibt, sollte der Mitarbeiter die Anfrage entweder ignorieren oder selbst proaktiv über Slack bestätigen und dann die internen Sicherheitsteams per ihrer Sicherheitsrichtlinie benachrichtigen. Ähnlich verhält es sich, wenn eine Anfrage über ein Teams-Meeting gestellt wird, ähnlich der Taktik, die für das Werbeunternehmen-Deepfake verwendet wurde. Diese Anfrage muss dann per E-Mail und/oder Slack-Bestätigung bestätigt werden. Noch besser, per schnellem Telefonanruf, wenn das Gehen zu ihrem physischen Schreibtisch keine Option ist. Diese Prozesse sollten häufig und der gesamten Organisation mitgeteilt werden, um sie im Vordergrund zu halten. Dann, wenn ein Versuch bekannt ist, einen Prozess festzulegen, um das Beispiel umfassend in der gesamten Organisation zu teilen, um Mustererkennung der Arten von Bedrohungen zu schaffen, auf die jeder achten sollte.

Häufige Schulungen Abhalten

Drittens sollten Organisationen häufige firmenweite Schulungen durchführen, um Deepfakes und andere Arten von Identitätsdiebstahl-Angriffen im Vordergrund der Mitarbeiter zu halten. Diese sind hilfreich aus mehreren Gründen. Ein Mitarbeiter weiß möglicherweise nicht, was ein Deepfake ist oder weiß, dass Stimmen und Videos gefälscht werden können. Zusätzlich können Mitarbeiter auf die “Aus den Augen, aus dem Sinn”-Mentalität zurückgreifen – wenn Deepfakes nicht im Vordergrund stehen, können sie leicht Opfer eines Angriffs werden. Forschung zeigt, dass Mitarbeiter, die Cyber-Sicherheitsschulungen erhalten haben, eine deutlich verbesserte Fähigkeit zur Erkennung potenzieller Cyber-Bedrohungen demonstrierten.

Deepfakes werden nicht verschwinden, und sie werden immer häufiger und schwerer zu erkennen. Allerdings können wir, indem wir Richtlinien festlegen, Anfragen über mehrere Wege bestätigen und konsistente Schulungen in unserer Organisation durchführen, besser vorbereitet sein und uns vor diesen Bedrohungen schützen. In einer zunehmend digitalen Welt wird unsere Umsicht, weniger zu vertrauen und mehr zu überprüfen, für die Aufrechterhaltung der Sicherheit und Integrität unserer digitalen Identität unerlässlich sein.