Glaub nicht alles, was du hörst und siehst

Speaker 1

00:00

Mr. Ciso und Mr. AI im Gespräch. Der Podcast für sichere und zuverlässige Digitalisierung.

Speaker 2

00:06

Mr. Ciso und Mr. AI im Gespräch

Speaker 3

00:11

Herzlich willkommen zu unserem heutigen Podcast zum Thema KI. Unterstütz die Angriff Focus Social Engineering. Ein Mikrofon heute Dani Schacher, als Mr. Ziso und Tomias Kluge als Mr. AI. Genau. Wir werden heute darüber reden Wie kann man kein E-Tools für Social Engineering Attacken nutzen? Ja, Endlich. Redhead, wie greifen wir an. Genau, hast du hier schon Bereierungspunkt, Tobias? Im Kontext der Sachen, die du auf dem Projekt machst oder eher aus der Sicht Anwender, was ist dir so über den Weg gelaufen in den letzten Monaten? Also es gibt.

Speaker 1

00:53

verschiedene Bezugspunkte, die ich dazu habe. Also eins, was mir jetzt sehr spontan einfällt, ist aus dem Kundenprojekt, wo wir auf einmal einen Anruf bekommen haben: Hey du, Chatbot hat Personendaten drin und da waren gar keine drin. Auch noch spannend, da hatten wir irgendwo in den Trainingsdaten, waren halt irgendwo Daten drin, die nicht unbedingt reingehört haben oder beziehungsweise nicht unbedingt Trainingsdaten, aber Kundendaten, die uns der Kunde gegeben hatte für die Quellen. Also von daher, ja, das war nicht unbedingt ein Angriff in dem Sinne, aber herausgefunden hat in jemand, der halt versucht hat, mit ein bisschen Prompt Injection auszufinden. Was da für Datenquellen in so einem Chatbot drin sein können und das ist sicher auch eine Möglichkeit, wenn man so eigene Applikationen hat oder wenn man Langeweile hat Gibt es da auch so Spielchen, wie man mit Prompt Injections an Inhalte rankommt? Also, der Herr Gandalf glaube ich das so eins von den Sachen, man versuchen muss, mit Prompt-High-Checking, im Prompt irgendwo ein Passwort zu entlocken. Also, das kann man auch selber üben und trainieren. Da können wir dann auch noch einen Link reintun in den Podcast am Schluss. Schaut mal rein.

Speaker 3

01:49

Ja, es hat auch noch kurz was zeigen, was man sich einfach muss bewusst sein. Dass natürlich die Tools, die Kai-Tools, die wir tagtäglich nutzen, auch von Leute genutzt werden mit weniger gutmütigen Überlegungen genutzt. Als Kennzahl, wie gross der Cyberkriminalitätsmarkt beziffert wird. Wenn alle Cyberkriminellen ein Land wären, also das erwirtschaftet wird, was denkst du, wie viel das vom Volumen her? Etwa so gross wie das Pip von welchem Land?

Speaker 1

02:19

Ich weiß es nicht mehr ganz genau. Ich habe es schon mal gehört. Ich habe die Hälfte wahrscheinlich wieder vergessen. Ich glaube, es ist das zweite oder drittgrößte Land irgendwie waren wir in der Erinnerung geblieben.

Speaker 3

02:26

Genau, genau. Also, je nach Statistikum mal ist, aber es war ja etwas drittgrößte Land hinter der. Also, wenn man es noch ein Bip misst, hä? Das drittgrösste Land hinter den USA und China. Es wird unglaublich viel. Es ist ein unglaublich grosser Markt, der hier über Cyberkriminalität, oder Gelder, die über Cyberkriminalität erwirtschaftet werden. Und natürlich auch diese schaffen nach betriebswirtschaftlichen Faktoren und nutzen die keine Tools, um effizienter zu arbeiten können.

Speaker 1

02:55

Ja, ich finde das gut. Also wenn auch nicht, nein, natürlich nicht unbedingt.

Speaker 3

03:01

Der grosse Vorteil, also natürlich, sie mündlich nicht um Compliance und ethische Aspekt. Kümmern und nutze die Tools einfach.

Speaker 1

03:08

Siehst du, du hast halt keinen Job, aber ich hätte sicher einen Kina.

Speaker 3

03:12

Aber den will ich nicht. Und einfach mal so ein Beispiel, was heute schon möglich ist, es geht unglaublich schnell. Und jetzt im Bereich Social Engineering, also manipulieren oder Das Ausnutzen von Menschen über das Social Engineering, also den Faktor Menschen ausnutzen, den Faktor Menschen manipulieren. Und das einfachste Szenario, das man bieten könnte, ist es. Einfach das Phishing Mail, also den Menschen dazu bringen, auf das Phishing Mail, zu klicken und dort noch irgendwelche Aktionen auszuführen. .

Speaker 1

03:41

Ich erinnere mich noch, früher gab es dann so Briefe aus Australien oder Afrika oder Amerika, ich hast gewonnen, irgendein Anwalt, der da Geld verspricht.

Speaker 3

03:50

Genau, die sehen heute etwas komplexer aus. Genau, die Angriffe. Und haben wir uns gewöhnt, nimm alles zu glauben. Was wir lesen, das können wir jetzt schon von der Fishing Messen und wir müssen es jetzt sehr schnell daran können, nicht alles zu glauben. Ja, es ist schon dazu gehört, oder? Nicht mal zu glauben, was wir sehen und gehören.

Speaker 1

04:11

Genau, absolut. Also wir sind echt wirklich, wir beide. Ja, vielleicht, vielleicht auch nicht.

Speaker 3

04:18

Ja, was denkst du? Was brauchst du für einen Abdruck von der Stimme, um kein generiertes Fake herstellen?

Speaker 1

04:26

Also von der Stimme weiss ich. Zufälligerweise, weil mich das Thema auch schon interessiert hat. Da gibt es da auch Kurse, KI und Informationssicherheit und da ist das immer wieder eine Waage. Und mittlerweile sind das, glaube ich, fünf bis zehn Sekunden die Stimme. Also der Podcast hier wäre schon ausreichend, um uns längstens.

Speaker 3

04:39

Hey, komplett Ja, das ist es sonst. Das muss man sich einfach bewusst sein. Also von einigen von euch existiert wahrscheinlich irgendwo ein Footprint, 10 Sekunden Stimmaufnahme. Und wie gesagt, das längt bereits zum Fake-Stimm von euch zugehen. Ich habe das ein bisschen probiert. Mit Schweizerdeutsch ist es tatsächlich noch ein bisschen komplexer als mit Hochdeutsch, weil vielleicht die Modell dita schon. Weil es schon mein Modell gibt, das sich am Hochtüch orientieren kann. Aber wie gesagt, 10 Sekunden Abdruck von euren Stimmenlängen zu Stimmen faken.

Speaker 1

05:11

Und das ist jetzt nicht unbedingt, glaubt, ein teures Programm oder ein Programm, was man umständlich programmieren muss. Das ist eigentlich fertig als Dienstleistung im Internet.

Speaker 3

05:19

Ja, ja, ja, absolut. Und das gleiche gilt für Video. Videoplattformen. Da gibt es auch so Facewaps-Seiten. Also zwar nicht nur Bilder, sondern wirklich Live-Video. Also da gibt es auch Live-Videolösungen. DeepLife Cam steht da es davon, wo man wirklich Während der Media Call das Gesicht einfach wechseln kann, sollte ich keine Lust haben, sich am Morgen zu rasieren. Wenn einfach das Pöpper sich selber super rasiert haben.

Speaker 1

05:52

Genau, genau, genau. Und finde es noch spannend, ich habe da auch schon gehört, dass da glaube ich so vor ein, zwei Jahren, wo Amerika natürlich jetzt dementsprechend da auch viele Leute rekrutiert wurden per Internet. die remote gearbeitet haben und dann Leute, die sich da falsche Identitäten vorgespiegelt haben, falschen Ländern waren. Und die haben sie zum Teil wirklich nicht erkannt in den Interviews, die halt wirklich dann live geführt wurden. Aber entsprechend da auch, dass da andere Leute sich ausgewiesen haben. für eine Bewerbung in einem Job, wo sie hinterher dann herausgefunden haben, das waren gar nicht richtige. Und in ganz vielen Firmen waren die eigentlich schon drin. Und das fand ich schon noch irgendwie verrückt. Und das ist schon älter. Wie sieht es heute aus?

Speaker 3

06:30

Ja, ich weiss nicht, wer es mitbekommen hat, aber vor kurzem, vor ein paar Wochen, ist im Kanton Schweiz ein Vorfall aufgetaucht, wo genau das Szenario, also CEORAD nennt sich das. Geschäftsführer Betrug, der sich jemand sicher, wie das Szenario genau ist, ob sich jemand als Geschäftsführer ausgeben hat oder ob er den Geschäftsführer dazu motiviert hat, Sachen zu machen. Und das war ein Befreundeter von ihm. grundsätzlich ein Stimm, den er eigentlich können soll. Und sie haben es tatsächlich geschafft, einen Millionenbetrag auf ein anderes Konto zu überweisen. So mit der klassischen Argumentation im Social Engineering, bitte schnell machen, ist dringend. Ein Chef hat es gesagt, eben auch Druck aufbauen. Das Geld war überwiesen und ist dann entsprechend weg, also Millionenbeträge. Einfach aufgrund des Telefongespräuchs mit einer Deepfake-Stimme. Der hat wirklich das Gefühl, ihm gegenüber habe ich der Kollege, den er persönlich kennt, hat jetzt Vertrauen in deine Stimme. und hat einen Millionenbetrag überwiesen. Und das ist einfach eine Realität, die nicht kommt, sondern die hier ist. Das weiss ich noch. Das war ein Tag, wenn ich am Morgen Am Morgen eine Risk Management-Schule gehen und eben genauso mit dem Satz, ja, wir müssten es daran gewöhnen, dass wir nicht alles glauben können, was wir hören und sehen. Es wird Betrug geben. Und wenn ich am Mittag Mittagessen News geckt habe ich diesen Vorfall gesehen. Und wirklich wahnsinnig schnell, respektive ist es schon da, und das muss sich einfach bewusst sein.

Speaker 1

08:02

Was würdest du jetzt sagen, was ich jetzt da als CEO von einem Mittelständler oder einem KMU machen sollte, um mich davor zu schützen?

Speaker 3

08:11

Die üblichen Sachen, also Sensibilisierung der Mitarbeitenden, einfach auch aufzeigen, wie einfach so etwas ist. Das kann man zum Beispiel im Rahmen Live-Hacking, das ist immer sehr cool. Zu veranschaulichen, zum Beispiel mit diesem Face Swap, einfach mal die Leute zu sagen, hey, dein Gesicht kann live in eine Videokonferenz gewechselt werden. Und das ist unglaublich einfach. Das braucht nicht. Das braucht keine technische Expertise mehr. Das kann jeder. Einfach das Bewusstsein schärfen und auch das Sensibilisieren der Entscheidung. Die, weil zum Beispiel grössere finanzielle Transaktionen durchführen können, dort einfach noch zusätzlich investieren in die Sensibilisierung auf das Thema.

Speaker 1

08:51

Und das meistens nicht unbedingt der Geschäftsführer, sondern eher die zwei, drei Leute, die dann die Transaktion freigeben können und dürfen, oder?

Speaker 3

08:57

Genau, genau. Und dort einfach nach einem Vier-Augen-Prinzip oder 6-Augen-Prinzip einfach umfangreichere Transaktionen durchzuführen.

Speaker 1

09:05

Du hast ja auch schon gehört, ob es so ein Codewort vereinbart oder so. Ist das sowas?

Speaker 3

09:09

Genau, also wenn man dort der Verdacht hätte, dass irgendetwas komisch ist, auf einem zweiten Kanal nachfragen. Aber wenn ich jetzt dort im einen Anruf von einer Nummer, wobei ich eben immer schon aufpasse, oder ist je nachdem gespooft. Was heißt das gespooft? Es sieht auf dem Telefon wirklich so aus, als ob es von dieser Nummer käme, der entsprechenden Person kommt es aber nicht, weil die Nummer gestohlen oder überstört worden ist. Das ist auch unglaublich einfach. Und ja, genau auf dem zweiten Kanal rückversichern, zum Beispiel, dass ich die Person, auf der sie mich angerufen hat, noch einmal zurückgriffen. auf einem mir bekannten Kanal und nach einer Frage und die vielleicht etwas auch noch Fragen, die wirklich nur die Person wissen. Und dann so die generellen Verhalten von kein, dass sie doch die Sprache nicht so natürlich tönt, dass sie doch noch recht mechanisch tönt oder wiederholt oder halt lange Pausen oder in einem Gespräch. wo diesen das, was ich jetzt so sagen kann und eingehen etc. einfach sich bewusst sein muss, dass das möglich ist heute und auch auf einem zweiten Kanal versichern, dass die Transaktion wirklich legitim ist. Ja, ein paar Vierragen-Prinzip. Und genau, einfach anerkennen und sich bewusst sein. Wir sind uns schon länger gewöhnt, nicht alles zu gelaufen, was wir lesen. Thema Fishing. Wir müssen uns jetzt wirklich auch Tragbühne, nicht alles zu glauben, was wir hören. Und gesagt.

Speaker 1

10:39

Aufmerksamkeit, in dem Sinne wirklich bewusst, okay, ist irgendwie komisch, ein komisches Bauchgefühl hat, dann einfach nochmal nachfragen, dann einfach wirklich bewusst, genau, wirklich da zu überlegen, Das ist jetzt ein komisches Faktor liegt bei dir nach.

Speaker 3

10:53

Die Social Engineering Classics wie Druck aufbauen, als man schnell gehen, was man sofort sein kann, es ist dringend oder was auch häufig kommt, es ist streng vertraulich, du darfst mit niemandem darüber reden. Ja, das ist sicher alles das Thema. Das ist übrigens nichts Neues. Wenn man sich einfach so grössohnt vorstellt, es hat vor einigen Jahren. in Frankreich oder einen angeblichen französischen Hochendiplomat hat vermögende Leute angeschrieben und gesagt, sie hätten hier ein streng geheimes französische Staatsprojekt . Sie haben wirklich Millionäre und Milliardäre angeschrieben und sagen, das strengcam das Projekt, ob sie sich dort beteiligen. Und das hat einen mega. . Du bist die Gummisken über den Kopf mit Knopfaugen. Also du hast doch das Gefühl, du siehst es sofort, dass das nicht die Person ist. Aber die haben einen Abguss gemacht für eine Person als Gummimaske. Von diesem französischen Diplomaten und die haben es tatsächlich geschafft, dort Millionen zu erbeuten. Und das war nach vorne KI so wieder. Das war eine Visa. Und eben wenn man sich die Dimensionen heute vorstellt, wie einfach, dass es. Heute schon doch meinigen Auffang die Maske herzustellen. Die Fotos dort mit den Knopffragen ausgeschnitten in dieser Maske und denkst du. geht jetzt nie etwas rein. Aber ja, wie gesagt, das ist eine neue Realität, die wir damit auseinandersetzen müssen. Die Bilder Und eben dort nochmal, es ist wirklich sehr niederschwellig, sehr einfach. Und auch eben so Phishings sind natürlich da viel professioneller aufgesetzt. Der Klassiker, wo man sagt: Ja, acht auf Schreibfehler, acht auf schlechtes Deutschen, das ist vorbei. Ja, absolut. Das ist verwirrend. Also die Qualität der Fishings sind heute hervorragend.

Speaker 1

12:38

Was ich auch noch wichtig finde, ich glaube, bisher hat man gedacht, ja, das trifft mich ja nicht, ich habe ja kein Geld oder ich bin ja nicht wichtig oder so. Also früher waren es die Millionäre. Ja, aber mit KI Man kann ja das Zeug so einfach auf andere Leute ausrollen, skalieren, oder? Man kann das auch auf dich personalisieren und auf mich entsprechen, wenn man genau weiß, ja gut. Die Person kennt die andere Leute und kann dementsprechend von den Leuten was suchen. Und das macht ja halt kein Mensch mehr. Das macht Fei, oder? Dann kann das alles automatisieren. Das muss sich wirklich bewusst sein. Im Mode kann mich genauso treffen, oder? Jemand aus meinem Umfeld und ich bin dann das Ziel. Also man muss Ich glaube, das denken mich trifft es nicht.

Speaker 3

13:11

Ja, da kommen wir zurück zum ersten Punkt, den ich beim Intro gesagt habe, die selber kriminellen schaffen nach betriebswirtschaftlichen Faktoren. Das heisst, der Angriff wird für Sie wesentlich günstiger. Das heisst, auch weniger rentable Ziele werden interessanter. Genau. So schließt sich. Ich weiß, aber auch Effizienz gehen bei selber kriminellen. Das heisst, kleinere Zielwerten auch.

Speaker 1

13:34

Das heisst, als KMU, wenn ich viel Geld in Security investiere und die größeren machen das? Dann bin ich viel interessanter, weil ich ja keine Sicherheitsmechanismen habe, oder?

Speaker 3

13:43

Das sowieso, ja. Wie gesagt, schauen, dass du nie das langsamste genug der Härte bist. Genau. Spannend die Session gesehen.

Speaker 1

13:54

Ja, weiß ich dann nicht. Cool. Also, wir gucken, dass wir nicht das letzte genuseln heute. Genau. Ja, auch nicht. Also denkt dran, wenn ihr irgendwelche komischen Mails bekommt, guckt nochmal genau hin und versichert euch, es wird entsprechend bei der Person.

Speaker 4

14:06

Glaube ich nicht alles, was ihr gehört und gesagt.

Speaker 5

14:08

Außer unserem Podcast, der ist echt gemacht.

Speaker 4

14:10

Genau.

Speaker 5

14:11

Also, macht's gut, schönen Tag.

Speaker 4

14:13

Danke zusammen.