Ferrari ist knapp einem versuchten Identitätsbetrug entkommen. Ziel des Angriffs war ein Topmanager des Unternehmens. Per Messenger-Nachrichten von einem gefälschten Profil und Deepfake-Telefonanruf wurde der Ferrari-Chef Benedetto Vigna erstaunlich professionell imitiert. Die KI-Stimmensynthese ist inzwischen so gut, dass auch Dialekte oder Akzente täuschend echt nachgeahmt werden können.
Um den Manager möglichst zu animieren, nicht über den Kontakt zu reden, wurde eine streng vertrauliche Übernahmeaktivität durch Ferrari vorgegeben. Ziel der Täuschung war es, eine kurzfristige Transaktion zur Währungsabsicherung zu erreichen. Zeitdruck und Geheimniskrämerei über dubiose Kanäle – da sollten alle Alarmglocken schrillen. Glücklicherweise kamen dem Manager Zweifel.
Täuschung aufgedeckt
Trotz der raffinierten Täuschung konnte der Manager subtile Unterschiede in der Sprechweise bemerken. Die KI ahmte zwar den süditalienischen Akzent von Benedetto Vigna nach, aber nicht perfekt. Auch kamen alle Kontaktaufnahmen von unbekannten Accounts und Telefonnummern. Zwar versuchten die Betrüger das mit der Vertraulichkeit der angeblichen Übernahme zu begründen, aber es kam trotzdem ein Täuschungsverdacht auf.
Deshalb versuchte der Manager, den Anrufer durch eine persönliche Frage zu verifizieren. Er fragte den Anrufer nach einer Buchempfehlung, die er von Vigna kürzlich gehört hatte. Die Antwort konnte der Anrufer nicht wissen, flog dadurch auf und beendete das Telefongespräch.
Wachsende Bedrohung durch Deepfakes
Vorfälle wie bei Ferrari ereignen sich bereits seit Jahren. Der sogenannte „CEO-Fraud“ hat inzwischen Eingang in Wikipedia gefunden. Je besser die KI-Technologie wird, desto höher ist die Gefahr von beiläufigen Betrügereien. Die Täter müssen nur so geschickt wie möglich versuchen, sich in die Kommunikationsketten einzuschleusen und Geld-Transaktionen auszulösen. Mittlerweile werden sogar Videokonferenzen mit perfekt imitierten Avataren von Führungspersonen live durchgeführt, um Mitarbeiter von Firmen zu überrumpeln.
Konsequenzen für Unternehmen
Für die Sicherheitsabteilungen verantwortungsvoller Unternehmen ist längst klar, dass alle mit Finanzen betraute Mitarbeiter des Unternehmens speziell auf die neuen Cyber-Bedrohungen geschult werden sollten. Die Zeiten, in denen man einfach nur angebliche Rechnungen zugeschickt bekam, sind vorbei. Heute geht es den Betrügern um Millionenbeträge, die sie direkt bei hochrangigen Entscheidungsträgern abgreifen wollen.