Der Deep-Fake-Boss ist ein Scam, mit dem Firmen um hohe Geldbeträge gebracht werden. Anders als bei klassischen Betrugsmaschen wie der E-Mail-gestützten Chef-Masche, greift diese Methode auf hochtechnologische Manipulation zurück. Ein Mitarbeiter, oft in der Finanzabteilung angesiedelt, erhält scheinbar von der Unternehmensführung persönlich den Auftrag, Geld zu überweisen. Die Anweisungen erfolgen überzeugend in Form einer Videokonferenz, in der der „Boss“ vermeintlich präsent ist.
Dazu Richard Werner, Business Consultant bei Trend Micro:
Es ist nicht das erste Mal, dass ein so genannter Deep-Fake-Boss ein Unternehmen um Millionen betrügt. Fast 24 Millionen Euro (200 Millionen Hongkong Dollar) sind es laut Hong Kong Free Press. Noch handelt es sich um Einzelfälle, anders als die artverwandte E-Mail-gestützte „Chef-Masche“ oder BEC (Business E-Mail Compromise) Fraud.
Im Prinzip ist das Vorgehen identisch. Ein Mitarbeiter, vorzugsweise in der Finanzabteilung wird von der Unternehmensleitung, dem „Boss“, aufgefordert, Geld zu überweisen. An irgendein Konto und natürlich vertraulich. Es geht um den Abschluss eines Deals, eine Firmenübernahme oder, wenn kleinere Brötchen gebacken werden, auch um das Budget für Weihnachtsgeschenke. Gemeinsam haben alle, dass es möglichst schnell gehen muss und man es möglichst keinem mitteilen soll. Aber wer wollte seinem Boss schon etwas abschlagen, wenn ihn dieser per Videokonferenz dazu auffordert? Genau…
Vertrauenssache
Die „Chef-Masche“ zählt zu den sogenannten „Confidence-Scams“ – also Betrug, der mit der Überzeugung des Opfers zu tun hat. Dazu muss Story und Gesamteindruck stimmen. Schon eine E-Mail, welche vom Account der Unternehmensleitung abgeschickt wird (oder zu sein scheint), ist oft ausreichend.
Im vorliegenden Fall sei aber angeblich ein Deep-Fake-Video eingesetzt worden. Nun ist es schon sehr überzeugend, die andere Person direkt zu sehen und von ihr, in ihrer Stimme, zu hören, was zu tun ist. Als Mitarbeitender werden Sie auf Ansage („Hören Sie zu, ich hab es eilig“) möglicherweise stillschweigend akzeptieren, was ihnen aufgetragen wird. So scheint es zumindest im vorliegenden Fall gewesen zu sein, denn eine echte Interaktion sei nicht zustande gekommen, heißt es im Artikel. Das genau ist aber entscheidend für den Erfolg der Methode.
Schutz vor der Boss-Masche
Der beste Schutz vor der „Boss-Masche“ (auch BEC) ist, die internen Prozesse für Auszahlungen so zu gestalten, dass diese nicht per Bitte oder Anweisung bestimmter Personen möglich sind, sondern einen komplexeren Genehmigungsprozess durchlaufen müssen. In der Vergangenheit sagte man hier auch oft das Prinzip der „doppelten“ Bestätigung. Kam die Anweisung per Mail, rief man an und fragte nach. Kam sie per Telefon, forderte man eine E-Mailbestätigung. Das gilt auch heute noch.
Allerdings sollte man aus dem Deep-Fake-Angriff lernen. Die Video- und Audiobestätigung erfolgte – nur gab es keine Interaktion, der Angestellte hörte und sah nur zu. Dadurch konnte ein zuvor durch Deep Fakes erstelltes Video eingespielt werden. Der Mitarbeiter wurde getäuscht und überwies das Geld. Will man derartige Attacken vermeiden, sollte man es den Mitarbeitern erlauben, ja sie sogar dazu auffordern ihre Chefs zu diesen Aktivitäten zu hinterfragen. Man macht es dadurch den Angreifern schwerer. Ganz auszuschließen ist es nicht, wenn die grundsätzliche Möglichkeit bestehen bleiben soll, Geld auf Anweisung des Bosses auszuzahlen.