next generation phishing - sosafe · 2019-12-09 · next generation phishing socialengineering in...
TRANSCRIPT
![Page 1: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/1.jpg)
Next Generation PhishingSocial Engineering in Zeiten vonVoice Phishing, KI und Deepfake
16. Deutscher IT-Sicherheitskongress –23. Mai 2019Dr. Niklas Hellemann –SoSafe GmbH
![Page 2: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/2.jpg)
Phishing- und Social Engineering-Angriffe
werden immer häufiger und komplexer.
Quellen: Verizon, Mimecast, WIK
Phishing-E-Mails sind das
häufigste Einfallstor
92% aller Cyberangriffe starten
mit einer Phishing-E-Mail
92%SocialEngineering ist lukrativ
und kommt daher oft vor
74% der Unternehmen weltweit
werden mindestens einmal
jährlich Opfer einer gezielten SocialEngineering-Attacke
74%Die Angreifer geben sich
immer mehr Mühe
Gezielte Attacken wie Spear-
Phishing nehmen um über 50%
pro Quartal zu
>50%
![Page 3: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/3.jpg)
Phishing: Die Opfer sind mal mehr
und mal weniger prominent.
![Page 4: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/4.jpg)
Das Prinzip ist nicht neu –
Nur die Kanäle haben sich geändert.
Der spanische Gefangene(18. Jhd.)
![Page 5: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/5.jpg)
Komplexere Angriffe nehmen immer weiter zu.
Beispiel:Spear-Phishing
Beispiel:Double Barrel
Icons made by Iconnice, Gregor Cresna, Smashicons and Freepik from www.flaticon.com
![Page 6: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/6.jpg)
Und auch Automatisierung ist ein Thema –
Beispiel: Dynamite Phishing.
![Page 7: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/7.jpg)
Technische Barrieren sind bei der Abwehr gezielter
Angriffe immer häufiger überfordert.
Quellen: Symantec, McAfee, Verizon
156 MioPhishing-Mails werden
täglich versandt
80% aller Mitarbeiter können differenziertePhishing-Mails nicht erkennen.
16 Miokommen durch
Spam-Filter
Filter
8 Miowerden geöffnet
Nutzer
Jede zweite Phishing-Mail wird geöffnet.
![Page 8: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/8.jpg)
Wo geht die Reise hin?
KI wird unser Leben immer weiter erleichtern.
Text-to-Speech
Google Duplex
Natural Language Processing
+
![Page 9: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/9.jpg)
Das Problem:
Welchem Kanal können wir noch vertrauen?
Text-to-Speech
Lyrebird.ai
Trainingsinput 2016: 5h
Trainingsinput heute: 1 Minute
![Page 11: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/11.jpg)
![Page 12: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/12.jpg)
Das Problem:
Welchem Kanal können wir noch vertrauen?
Text-to-Speech
DeepFakes / Videosynthese
+
AI News Anchor
![Page 13: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/13.jpg)
![Page 14: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/14.jpg)
Das Problem:
Welchem Kanal können wir noch vertrauen?
DeepFakes / Videosynthese
„face2face“
![Page 15: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/15.jpg)
![Page 16: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/16.jpg)
Kriminelle Anwendungen
liegen leider auf der Hand.
CxO-Fraud Erpressung KYC-Betrug
![Page 17: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/17.jpg)
Beispiel CxO-Fraud: Erhöhte Legitimierung im
Rahmen einer “Double Barrel”-Attacke.
Icons made by Iconnice, Gregor Cresna, Smashicons and Freepik from www.flaticon.com
Folge-E-Mail mit schadhafter Aufforderung
Training eines Voice-Bots mit
Stimme des CEOs
Automatisierter Anruf bei einer großen Gruppe
von Mitarbeitern
![Page 18: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/18.jpg)
Das Training von Voice-Bots
wird künftig sehr leicht möglich sein.
Icons made by Iconnice, Gregor Cresna, Smashicons and Freepik from www.flaticon.com
![Page 19: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/19.jpg)
Schon bald könnte ein Voice-Bot dazu dienen,
eine E-Mail-Attacke zu legitimieren.
“Hi, Lukas!
Sorry, very briefly, we are boarding right now: you have to help me with an extremely urgent matter - I'll send you an e-mail with further information
right away!
I have to go, thank you!”
Icons made by Iconnice, Gregor Cresna, Smashicons and Freepik from www.flaticon.com
![Page 20: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/20.jpg)
Was können wir nun tun?
1Technische MethodenDetektion von Artefakten (Blinzeln) und Training von Algorithmen auf die Erkennung –Lösungen sind aber noch nicht marktfähig und immer einen Schritt zurück.
2AufklärungBreite Thematisierung und Information der Bevölkerung über den technischen Stand der KI-Entwicklung.
3Mitarbeiter-SensibilisierungRealistisches Training von Mitarbeitern hinsichtlich der richtigen Reaktion auf Phishing- und Social-Engineering-Methoden.
![Page 21: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/21.jpg)
Thank you very much for your
attention!
“
”
Icons made by Iconnice, Gregor Cresna, Smashicons and Freepik from www.flaticon.com
![Page 22: Next Generation Phishing - SoSafe · 2019-12-09 · Next Generation Phishing SocialEngineering in Zeiten von Voice Phishing, KI und Deepfake 16. Deutscher IT-Sicherheitskongress –23](https://reader034.vdocuments.net/reader034/viewer/2022042916/5f56f940f1b7f833597181dd/html5/thumbnails/22.jpg)
Amateurs hack systems,
professionals hack people.
“
”Bruce Schneier,
Expert on Cryptography andInformation Security,
Harvard University
SoSafe GmbHVenloer Str. 240 50823 Köln