Als ein bekanntes indonesisches Finanzinstitut einen Deepfake-Betrugsvorfall meldete, der sich auf seine mobile Anwendung auswirkte, machten sich Threat-Intelligence-Spezialisten der Group-IB daran, genau herauszufinden, was passiert war. Obwohl diese große Organisation über mehrere Sicherheitsebenen verfügt, die jede regulierte Branche benötigen würde, einschließlich Abwehrmaßnahmen gegen Rooting, Jailbreaking und die Ausnutzung ihrer mobilen App, wurde sie Opfer eines Deepfake-Angriffs. Trotz dedizierter Sicherheitsvorkehrungen für mobile Apps wie Anti-Emulation, Anti-Virtual-Umgebungen und Anti-Hooking-Mechanismen wurde die Institution dennoch zum Opfer ein Deepfake-Angriff. Ich habe es mir zum Ziel gesetzt, dies zu wiederholen, da, wie bei vielen Organisationen innerhalb und außerhalb des Finanzsektors, die digitale Identitätsüberprüfung mit Gesichtserkennung und Liveness-Erkennung als sekundäre Verifizierungsebene aktiviert wurde. Dieser Bericht, diese Warnung zeigt, wie einfach es für Bedrohungsakteure wird, Dinge zu umgehen, die bis vor Kurzem als hochmoderne Sicherheitsmaßnahmen galten.
So umgeht KI die biometrische Sicherheit in Finanzinstituten
Das Betrugsermittlungsteam der Group-IB wurde gebeten, bei der Untersuchung eines namentlich nicht genannten, aber „prominenten“ indonesischen Finanzinstituts zu helfen, nachdem eine Flut von mehr als 1.100 Deepfake-Betrugsversuchen zur Umgehung der Sicherheitsprozesse bei Kreditanträgen stattgefunden hatte. Da mehr als 1.000 betrügerische Konten entdeckt wurden und insgesamt 45 spezifische Mobilgeräte identifiziert wurden, die in der Betrugskampagne verwendet wurden, meist mit Android, aber eine Handvoll nutzten auch die iOS-App, konnte das Team die Techniken analysieren, die zur Umgehung der Betrugskampagne verwendet wurden „Know Your Customer“- und biometrische Verifizierungssysteme sind vorhanden.
„Die Angreifer erlangten den Ausweis des Opfers über verschiedene illegale Kanäle, sagte Yuan Huang, ein Cyber-Betrugsanalyst bei Group-IB, „wie Malware, soziale Medien und das Dark Web, manipulierten das Bild auf dem Ausweis und veränderten Merkmale wie Kleidung.“ und Frisur – und nutzte das gefälschte Foto, um die biometrischen Verifizierungssysteme der Institution zu umgehen.“ Der Deepfake-Vorfall habe erhebliche Bedenken für das Betrugsschutzteam der Group-IB hervorgerufen, sagte Huang die daraus resultierende Forschung führte dazu, dass „mehrere Schlüsselaspekte von Deepfake-Betrug“ hervorgehoben wurden.
Wichtige Entdeckungen der Group-IB-Forschung zum KI-Deepfake-Angriff
Die wichtigsten Erkenntnisse der Group-IB-Untersuchung des indonesischen Cyberangriffs waren folgende:
KI-Deepfake-Betrug hat finanzielle und gesellschaftliche Auswirkungen
Die Betrugsermittler der Group-IB stellten fest, dass KI-Deepfake-Betrug, wie er gegen dieses eine Finanzinstitut eingesetzt wurde, ein erhebliches finanzielles Risiko darstellte. „Die potenziellen Verluste allein in Indonesien“, sagte Huang, „wurden auf 138,5 Millionen US-Dollar geschätzt.“ Hinzu kommen die sozialen Auswirkungen, zu denen Bedrohungen der persönlichen und nationalen Sicherheit sowie der Integrität von Finanzinstituten mit allen damit verbundenen wirtschaftlichen Auswirkungen gehören. Um den Betrag von 138,5 Millionen US-Dollar zu erreichen, schätzte Group-IB, dass etwa 60 % der indonesischen Bevölkerung „wirtschaftlich aktiv und für Kreditanträge geeignet“ seien, was etwa 166,2 Millionen Menschen im Alter zwischen 16 und 70 Jahren entspricht. Bei einer festgestellten Betrugsrate von 0,05 % in der analysierten Bank führte dies zu einer Schätzung von 83.100 Betrugsfällen im ganzen Land und bei einer durchschnittlichen betrügerischen Kredithöhe von 5.000 US-Dollar, Group-IB sagte: „Der geschätzte finanzielle Schaden könnte innerhalb von drei Monaten 138,5 Millionen US-Dollar erreichen.“
KI-Deepfakes und fortgeschrittenes App-Klonen im Spiel
Der Bericht betonte, dass die Betrüger in diesem Fall KI-generierte Deepfake-Bilder nutzten, um die biometrischen Verifizierungssysteme zu umgehen, wozu auch die Möglichkeit gehörte, die Schutzmaßnahmen zur Lebenderkennung zu umgehen. „Durch den Einsatz fortschrittlicher KI-Modelle“, erklärte Huang, „ermöglichen Face-Swapping-Technologien Angreifern, das Gesicht einer Person in Echtzeit mit nur einem einzigen Foto durch das einer anderen Person zu ersetzen.“ Dadurch entsteht nicht nur die Illusion einer legitimen Identität einer Person im Video, sondern, so Huang weiter, „diese Technologien können Gesichtserkennungssysteme aufgrund ihres nahtlosen, natürlich aussehenden Wechsels und der Fähigkeit, Gesichtsausdrücke und Bewegungen in Echtzeit überzeugend nachzuahmen, effektiv täuschen.“ .“ Die Betrüger nutzten außerdem Software für virtuelle Kameras, um die biometrischen Daten zu manipulieren, indem sie vorab aufgezeichnete Videos nutzten, um Gesichtserkennung in Echtzeit nachzuahmen. Der Einsatz von App-Klonen ermöglichte es den Betrügern außerdem, mehrere Geräte zu simulieren, was Schwachstellen in herkömmlichen Betrugserkennungssystemen aufzeigte.
KI-Deepfakes haben für Finanzinstitute beispiellose Sicherheitsherausforderungen mit sich gebracht
Es bestehe kein Zweifel, sagte Huang, dass das Aufkommen von KI-Deepfake-Technologien beispiellose Herausforderungen für Finanzinstitute mit sich gebracht habe, „traditionelle Sicherheitsmaßnahmen gestört und Schwachstellen in Identitätsüberprüfungsprozessen aufgedeckt“ habe.
Die Untersuchung der Group-IB hat sicherlich die vielfältigen Probleme von Deepfakes ans Licht gebracht und deckt alles ab, von der Ausnutzung von Emulationen bis hin zum App-Klonen, um diese fortschrittlichen KI-Angriffe der Entdeckung zu entziehen. „Diese Taktiken ermöglichen es Betrügern, sich als legitime Benutzer auszugeben, biometrische Systeme zu manipulieren und Lücken in bestehenden Betrugsbekämpfungsmaßnahmen auszunutzen“, warnte Huang und kam zu dem Schluss, dass „Finanzinstitute über die Verifizierung mit nur einer Methode hinausgehen, Kontoverifizierungsprozesse verbessern und eine multifunktionale Strategie einführen müssen.“ ein mehrschichtiger Ansatz, der fortschrittliche Betrugsbekämpfungslösungen integriert.“