Es gibt eine Reihe von laufenden Projekten, die sich mit Open-Source-Sprachsynthesemodellen befassen. Darüber hinaus wurden einige der Open-Source-Sprachsynthesemodelle ohne die Zustimmung des Menschen auf „ihre“ Stimmen trainiert.

Diese Modelle können missbraucht werden. Ein Beispiel:

 

Catherine Stupp vom Wall Street Journal berichtete in diesem Blog über etwas, das wir bereits seit langer Zeit kommen sahen. Der Artikel begann mit:

 

“Kriminelle setzten auf künstlicher Intelligenz basierende Software ein, um die Stimme eines Vorstandsvorsitzenden zu verkörpern, und forderten im März eine betrügerische Überweisung in Höhe von 220.000 Euro.

Der Fall wurde von Cyberkriminologen als ungewöhnliche Verwendung künstlicher Intelligenz beim Hacken bezeichnet.“

 

Der CEO eines britischen Energieunternehmens glaubte, er telefoniere mit seinem Chef, dem Geschäftsführer der deutschen Muttergesellschaft des Unternehmens, der ihn aufforderte, die Gelder an einen ungarischen Lieferanten zu senden. Nach Angaben der Versicherungsgesellschaft Euler Hermes Group SA hat die KI den leitenden Angestellten angewiesen, innerhalb einer Stunde zu zahlen, was der gestresste CEO auch sofort tat.

 

Wir haben vorausgesagt, dass Kriminelle KI zur Automatisierung von Cyberangriffen einsetzen würden. Wer auch immer hinter diesem Vorfall steckt, scheint AI-basierte Software verwendet zu haben, um die Stimme der deutschen Führungskraft per Telefon erfolgreich nachzuahmen. Der britische CEO erkannte den leichten deutschen Akzent seines Chefs und die Melodie seiner Stimme am Telefon, sagte Rüdiger Kirsch, Betrugsexperte bei Euler Hermes, einer Tochtergesellschaft des Münchner Finanzdienstleistungsunternehmens Allianz SE.

 

Es ist richtig, dass sich die Sprachsynthese nicht grundlegend von jeder anderen Technologie, die legitime Verwendungszwecke hat aber auch zur Begehung von Straftaten verwendet werden könnte, unterscheidet. Es ist auch nicht so, dass der erzeugte Audio Output die Bank überwältigt hätte – der CEO musste immer noch die vermutlich ungewöhnliche Aufforderung seines Chefs für die Geldüberweisung akzeptieren und danach handeln, ohne seine Legitimität zu überprüfen. Das Ausnutzen dieses Zusammenspiels von, auch organisatorischen, Schwachstellen aus ehemals unterschiedlichen Bereichen ist hingegen in der Form neu.

 

Dies ist im Wesentlichen der nächste Schritt in der Eskalation des Einsatzes von Social Engineering in einem Fall von CEO Fraud. Nur durch Schulungen zum Sicherheitsbewusstsein können solche menschlichen Fehler von ihren Mitarbeitern vermieden werden.

 

Wir müssen alle in der Lage sein, deepfake Medien zu erkennen, genauso wie wir versuchen müssen, betrügerische E-Mails und verdächtige Social-Engineering-Telefonanrufe zu erkennen.

 

Stay safe.