Next Generation PhishingSocial Engineering in Zeiten vonVoice Phishing, KI und Deepfake

16. Deutscher IT-Sicherheitskongress –23. Mai 2019Dr. Niklas Hellemann –SoSafe GmbH

Phishing- und Social Engineering-Angriffe

werden immer häufiger und komplexer.

Quellen: Verizon, Mimecast, WIK

Phishing-E-Mails sind das

häufigste Einfallstor

92% aller Cyberangriffe starten

mit einer Phishing-E-Mail

92%SocialEngineering ist lukrativ

und kommt daher oft vor

74% der Unternehmen weltweit

werden mindestens einmal

jährlich Opfer einer gezielten SocialEngineering-Attacke

74%Die Angreifer geben sich

immer mehr Mühe

Gezielte Attacken wie Spear-

Phishing nehmen um über 50%

pro Quartal zu

>50%

Phishing: Die Opfer sind mal mehr

und mal weniger prominent.

Das Prinzip ist nicht neu –

Nur die Kanäle haben sich geändert.

Der spanische Gefangene(18. Jhd.)

Komplexere Angriffe nehmen immer weiter zu.

Beispiel:Spear-Phishing

Beispiel:Double Barrel

Icons made by Iconnice, Gregor Cresna, Smashicons and Freepik from www.flaticon.com

Und auch Automatisierung ist ein Thema –

Beispiel: Dynamite Phishing.

Technische Barrieren sind bei der Abwehr gezielter

Angriffe immer häufiger überfordert.

Quellen: Symantec, McAfee, Verizon

156 MioPhishing-Mails werden

täglich versandt

80% aller Mitarbeiter können differenziertePhishing-Mails nicht erkennen.

16 Miokommen durch

Spam-Filter

Filter

8 Miowerden geöffnet

Nutzer

Jede zweite Phishing-Mail wird geöffnet.

Wo geht die Reise hin?

KI wird unser Leben immer weiter erleichtern.

Text-to-Speech

Google Duplex

Natural Language Processing

+

Das Problem:

Welchem Kanal können wir noch vertrauen?

Text-to-Speech

Lyrebird.ai

Trainingsinput 2016: 5h

Trainingsinput heute: 1 Minute

Das Problem:

Welchem Kanal können wir noch vertrauen?

Lyrebird.ai

Das Problem:

Welchem Kanal können wir noch vertrauen?

Text-to-Speech

DeepFakes / Videosynthese

+

AI News Anchor

Das Problem:

Welchem Kanal können wir noch vertrauen?

DeepFakes / Videosynthese

„face2face“

Kriminelle Anwendungen

liegen leider auf der Hand.

CxO-Fraud Erpressung KYC-Betrug

Beispiel CxO-Fraud: Erhöhte Legitimierung im

Rahmen einer “Double Barrel”-Attacke.

Icons made by Iconnice, Gregor Cresna, Smashicons and Freepik from www.flaticon.com

Folge-E-Mail mit schadhafter Aufforderung

Training eines Voice-Bots mit

Stimme des CEOs

Automatisierter Anruf bei einer großen Gruppe

von Mitarbeitern

Das Training von Voice-Bots

wird künftig sehr leicht möglich sein.

Icons made by Iconnice, Gregor Cresna, Smashicons and Freepik from www.flaticon.com

Schon bald könnte ein Voice-Bot dazu dienen,

eine E-Mail-Attacke zu legitimieren.

“Hi, Lukas!

Sorry, very briefly, we are boarding right now: you have to help me with an extremely urgent matter - I'll send you an e-mail with further information

right away!

I have to go, thank you!”

Icons made by Iconnice, Gregor Cresna, Smashicons and Freepik from www.flaticon.com

Was können wir nun tun?

1Technische MethodenDetektion von Artefakten (Blinzeln) und Training von Algorithmen auf die Erkennung –Lösungen sind aber noch nicht marktfähig und immer einen Schritt zurück.

2AufklärungBreite Thematisierung und Information der Bevölkerung über den technischen Stand der KI-Entwicklung.

3Mitarbeiter-SensibilisierungRealistisches Training von Mitarbeitern hinsichtlich der richtigen Reaktion auf Phishing- und Social-Engineering-Methoden.

Thank you very much for your

attention!

“

”

Icons made by Iconnice, Gregor Cresna, Smashicons and Freepik from www.flaticon.com

Amateurs hack systems,

professionals hack people.

“

”Bruce Schneier,

Expert on Cryptography andInformation Security,

Harvard University

SoSafe GmbHVenloer Str. 240 50823 Köln

info@sosafe.de