Betrug, Erpressung und Identitätsdiebstahl durch künstliche Intelligenz
Ein Bericht von Trend Micro zeigt, wie generative KI-Anwendungen Schaden durch Deepfakes, Identitätsdiebstahl und Angriffe auf Einzelpersonen sowie Unternehmen verstärken kann. Besonders Unternehmen sollten Maßnahmen gegen Cyberangriffe treffen und Mitarbeiterinnen und Mitarbeiter dahingehend sensibilisieren.

KI-Tools werden zunehmend leistungsfähiger, allgemein verfügbarer und erschwinglicher. Diesen Umstand nutzen auch Cyberbetrügerinnen und Cyberbetrüger aus, um KI-Technologien für illegale Zwecke einzusetzen und damit Unternehmen oder einzelne Privatpersonen zu manipulieren oder zu schädigen. Für Betrugsmaschen durch Deepfakes braucht es kein Expertenwissen mehr. Durch frei verfügbare, nutzerfreundliche und günstige Plattformen lassen sich qualitativ hochwertige Deepfakes erstellen, die nicht nur Menschen täuschen, sondern auch technische Sicherheitsmaßnahmen umgehen können oder Identitätsprüfungen standhalten. Programmiert wurden diese frei zugänglichen Plattformen eigentlich für Content-Entwicklerinnen und -Entwickler zur Bild-, Audio- und Videogenerierung.
defame Fakes ist ein Projekt, das sich mit der Forschung und Entwicklung zur halbautomatischen Erkennung von Deepfakes in Datensätzen befasst.
Interesse an Unternehmensschädigung
Der Einsatz von künstlicher Intelligenz als Waffe ist längst kein Zukunftsszenario mehr, sondern Realität geworden. Ausgefeilte Betrugsmaschen, die vor allem Unternehmen, deren Geschäftsprozesse oder Mitarbeiter/innen als Zielscheibe auswählen, bilden mittlerweile ein kriminelles Ökosystem.
Warum der Faktor Mensch in der Cybersicherheit die größte Sicherheitslücke darstellt, erfahren Sie im Artikel „Der Faktor Mensch in der IT-Sicherheit“.
Innerhalb der „Community“ an Cyberkriminellen werden Anleitungen, Toolkits und sogar Dienstleistungen angeboten, um KI-basierte Cyberangriffe auszubauen oder zu professionalisieren. Das gefährliche daran ist, dass mit detaillierten Anleitungen und Tipps auch Laien Deepfakes erstellen und verbreiten können.
Beispiele für Betrugsmaschen
- CEO-Betrug: Durch Deepfake-Videos oder Deepfake-Audioaufnahmen werden Führungskräfte bei Online-Meetings oder Telefongesprächen imitiert.
- Manipulation bei Bewerbungsprozessen: Fiktive Bewerberinnen oder Bewerber können sich durch künstliche Intelligenz durch den Aufnahmeprozess mogeln und erhalten möglicherweise Zugriff auf interne Daten oder Systeme.
- Geldwäsche durch falsche Identitäten: Durch Deepfakes werden „Know your Costomer“-Prüfungen umgangen, wodurch anonyme Geldwäsche durch Fake-Identitäten möglich sind.
Schutzmaßnahmen gegen Deepfakes-Angriffe
Trend Micro fordert besonders Unternehmen auf sich proaktiv gegen Deepfake-Angriffe zu schützen, sodass Risiken früh erkannt oder minimiert werden können. Empfohlen werden Maßnahmen wie Mitarbeiterschulung zur Erkennung von Social-Engineering, den Einsatz von Detektionssystem zur Erkennung künstlich erstellter Inhalte oder die Überprüfung von Authentifizierungsverfahren.
KI-generierte Spam E-Mails
Eine Studie der US-Universitäten Columbia und Chicago, die sich auf Daten des Cybersicherheitsanbieters Barracuda stützt ergab, dass 51 Prozent aller Spam E-Mails mithilfe von künstlicher Intelligenz generiert werden. Erschreckenderweise nimmt auch die Qualität, hinsichtlich Sprache und Grammatik, der KI-unterstützten Spam-Nachrichten zu. Die Forscherinnen und Forscher erkannten auch einen Zusammenhang seit dem Launch von ChatGPT im Jahr 2022 und dem Anstieg an Spam-E-Mails.
So lässt sich der Spam-Filter einstellen, um den Posteingang vor fragwürdigen Inhalten zu schützen.
Durch KI-Tools können Betrügerinnen und Betrüger wenig komplexe Spam-Nachrichten im großen Stil streuen, E-Mail-Texte inhaltlich verbessern oder auch herausfinden, wie Abwehrmechanismen zu umgehen sind.
Business-E-Mail-Compromise-Angriffe
Der Anstieg an Spam betrifft auch Business-E-Mail-Compromise-Angriffe (BEC). Hier nutzen Cyberkriminelle aber meist keine KI-Tools, sondern verfassen betrügerische E-Mails manuell, um gezielt auf das potenzielle Opfer eingehen zu können.
Bei BEC-Angriffen werden gestohlene oder gefälschte E-Mail-Konten verwendet, um sich als Kollegin oder Kollege eines Unternehmens auszugeben und damit das Vertrauen von Angestellten zu gewinnen bzw. für illegale Aktivitäten auszunutzen.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria