Oft versuchen Betrüger, an der Haustür oder im Internet an Geld zu kommen
Ausgiebig befasste sich der IT-Sicherheitsexperte Sam Mitrovic mit Betrügereien mithilfe Künstlicher Intelligenz am Computer. Die „Ruhr-Nachrichten“ bzw. die Ortsausgabe „Dorstener Zeitung“ berichteten darüber am 20. Oktober 2024. Hier der übernommene Artikel:
Kriminelle nutzen seit Neuestem eine besonders raffinierte Masche, um an private Daten ihrer Opfer zu kommen: Sie arbeiten mit Künstlicher Intelligenz. Dies ist längst kein Einzelfall mehr – doch mit ein paar Tricks lassen sich Betrugsversuche schnell erkennen. – Bislang galt bei vielen Bedrohungen im Netz der gute alte IT-Spruch: Das größte Problem sitzt meist vor dem Rechner. Egal ob schwache oder oft verwendete Passwörter, eine fehlende Zwei-Faktor-Authentifizierung oder das unachtsame Klicken auf Phishing-Links – oft tragen Nutzerinnen und Nutzer durch ihr Verhalten dazu bei, dass sie gehackt, betrogen oder schlimmstenfalls um ihr Geld gebracht werden. In Zeiten von Künstlicher Intelligenz allerdings ist dieser Spruch nicht mehr ganz aktuell – das zeigt ein aktueller Fall.
Denn rund 2,5 Milliarden Nutzerinnen und Nutzer von Google-Konten sind dieser Tage durch eine neue Betrugsmasche bedroht – und diese ist derart raffiniert und perfide, dass selbst ausgewiesene Sicherheitsexperten fast auf sie hereingefallen wären. Der australische Microsoft-Berater Sam Mitrovic berichtet davon in seinem Blog: Mithilfe Künstlicher Intelligenz versuchten demnach Kriminelle, durch das Hacken von Konten an persönliche Daten ihrer Opfer zu kommen.
Ein Anruf – angeblich von Google
Den Ablauf schildert Mitrovic im Detail: Er habe zunächst eine Warn-E-Mail über sein Gmail-Postfach erhalten – eine Anfrage zur Kontowiederherstellung aus den USA, die Mitrovic bestätigen soll. Der IT-Experte ignoriert die Mail zunächst. Etwa 40 Minuten später erhält der IT-Experte dann plötzlich einen angeblichen Anruf von „Google Sydney“, wie auf seinem Mobiltelefon zu lesen ist. Auch den Anruf ignoriert der Experte zunächst und vergisst ihn später. Kurios: Das exakt gleiche Szenario ereignet sich genau eine Woche später erneut. Wieder kommt eine ominöse Mail über einen Kontowiederherstellungsversuch, wieder klingelt 40 Minuten später das Telefon. Diesmal nimmt Mitrovic den Anruf an. Den weiteren Vorgang erklärt der Experte so: Am anderen Ende der Leitung habe eine freundliche Stimme mit amerikanischem Akzent gesprochen – „sehr höflich und professionell“, wie der IT-Fachmann schreibt. Die Stimme habe sich als Google-Mitarbeiter vorgestellt und ihn über verdächtige Anmeldeversuche in seinem Konto informiert. Angeblich schon seit einer Woche habe jemand Fremdes Zugriff auf Mitrovics Google-Konto und habe auch bereits Daten heruntergeladen, wird Mitrovic mitgeteilt. Der Experte erinnert sich an den Anruf von vergangener Woche und googelt die Nummer am anderen Ende der Leitung: Es handelt sich offenbar tatsächlich um eine Google-Nummer in Australien.
Täuschend echte Betrugsmails
Kurz darauf schickt der angebliche Google-Mitarbeiter dem Fachmann eine E-Mail, um den Fall weiter zu bearbeiten. Auch die sieht zunächst täuschend echt aus. Doch irgendwann bemerkt Mitrovic schließlich, dass es sich um einen Betrug handelt. Die Stimme am anderen Ende der Leitung sagt zweimal in ungewöhnlich gleichem Tonfall und gleichen Abständen „Hallo“. Mitrovic bemerkt: Er hat sich die ganze Zeit nicht mit einem echten Menschen unterhalten, sondern mit einer KI-Stimme.
Später stellt Mitrovic fest, dass die Telefonnummer gar keine Support-Nummer von Google ist, sondern zum Dienst Google Assistant gehört. Auch hat sich nie jemand tatsächlich in seinen Account eingeloggt. Die angeblichen Warnmeldungen waren gefälscht, ebenso die E-Mail, die der angebliche Google-Mitarbeiter ihm während des Telefonats geschickt hatte. Klar wird dem Experten das allerdings nur beim Blick auf die Empfängerzeile – dort sind ominöse Mailadressen eingetragen, die nicht von Google stammen. Mitrovic geht davon aus, dass es sich um einen gezielten Versuch handelte, seinen Gmail-Account zu übernehmen. Wer Zugriff auf einen Mail-Account hat, der kommt auch schnell an alle möglichen weiteren Daten heran – die meisten Onlinekonten sind mit einer E-Mail-Adresse verbunden.
Was den Experten jedoch erstaunt, ist die Professionalität des Betrugsversuchs. Nicht nur die Fälschungen der E-Mails seien täuschend echt gewesen – auch der Einsatz von KI beim Telefonat. Mitrovic schlussfolgert: „Trotz vieler Warnsignale bei näherer Betrachtung ist dieser Anruf geeignet genug, um viele Leute hereinzulegen.“ Die Erfolgsquote des Betrugs sei vermutlich „relativ hoch“.
Betrugsversuche mithilfe Künstlicher Intelligenz und Schockanrufe
Sie sind längst kein unwahrscheinliches Szenario mehr – in vielen Bereichen kann KI Kriminellen mittlerweile helfen, schneller ans Ziel zu kommen. Und dabei geht es nicht nur um das Hacken von E-Mail-Konten. Ein besonders beliebtes Szenario sind etwa sogenannte Schockanrufe, wie sie bei den Polizeibehörden genannt werden. Dabei rufen Betrüger vorrangig ältere Menschen an und geben sich als Familienmitglieder aus. Dann werden zum Beispiel dramatische Geschichten erzählt, dass der Enkel dringend Geld brauche. Schließlich wird das Opfer so lange um den Finger gewickelt, bis es tatsächlich zahlt.
Mussten Betrüger bei einem solchen Szenario früher noch große Überzeugungsarbeit leisten, ist es inzwischen viel einfacher möglich, sich das Vertrauen der Betroffenen zu erschleichen. Mithilfe sogenannter Deepfakes können sogar die Stimmen von Familienmitgliedern imitiert werden. Dafür gibt es längst zahlreiche KI-Programme auf dem Markt, die für jeden zugänglich sind. Die KI kann mit Daten aus den sozialen Netzwerken trainiert werden – etwa wenn Userinnen oder User dort eigene Videos veröffentlicht haben. Bei Deepfakes macht die KI zwar noch Fehler, auch klingt die Stimme oft nicht ganz natürlich oder blechern. Am Telefon gehen solche Artefakte aber schnell verloren, sodass ein Betrug hier leichter möglich ist.
Der „Chef“ bittet um Geld
Wie oft diese Betrugsmasche schon vorgekommen ist, darüber gibt es keine Statistiken. Den Polizeibehörden ist die Methode jedoch bekannt. Im vergangenen Sommer etwa hatte eine KI-Stimme eine Frau aus Ostwestfalen angerufen und sich als deren Sohn ausgegeben, wie die Polizei damals mitteilte. Angeblich habe er einen schweren Verkehrsunfall mit Todesfolge verursacht. Nun brauche er Geld, um auf Kaution freizukommen – satte 100. 000 Euro. Zu einer Geldübergabe kam es nicht: Die Betroffene erkannte den Betrugsversuch und verständigte die Polizei.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt derweil vor weiteren Szenarien des KI-Betrugs. Beim sogenannten CEO-Fraud könnte etwa die KI-Stimme einer Führungskraft Beschäftigte anweisen, große Geldsummen zu transferieren. Doch auch abseits von täuschend echten Deepfakes kann KI zum Betrug eingesetzt werden. Phishing-E-Mails, die früher noch durch ihre oft brüchige Sprache auffielen, können mithilfe von KI hochprofessionell gestaltet werden. Möglich wäre auch, Rezensionen von Betrugssoftware durch KI zu fälschen, sodass ein Schadprogramm bei einer kurzen Internetrecherche wie eine legitime Software wirkt. Auch kann KI im großen Stil gefälschte Profile in den sozialen Medien erstellen, die dann für alle möglichen Betrugsversuche eingesetzt werden könnten. Und schließlich kann Künstliche Intelligenz auch dabei helfen, Schwachstellen in IT-Systemen aufzuspüren und diese auszunutzen. Im Alltag dürften Nutzerinnen und Nutzer jedoch vor allem auf einfache Methoden treffen wie etwa den Betrugsversuch mit Google-Konten.
Garry Tan, Gründer der Risikokapitalgesellschaft und Start-up-Beschleunigungsfirma Y Combinator, berichtet auf der Plattform X von einem ähnlichen Fall in Zusammenhang mit einem E-Mail-Account. Dabei behauptete der angebliche Google-Mitarbeiter, das Unternehmen habe eine Sterbeurkunde erhalten und ein Familienmitglied versuche, das Konto wiederherzustellen. „Das ist ein ziemlich ausgeklügelter Trick, um Sie dazu zu bringen, die Passwortwiederherstellung zuzulassen“, warnt Tan.
Woran KI-Betrug erkennbar ist
Doch auch wenn bei diesen Methoden längst KI zum Einsatz kommt, gibt es noch immer viele Möglichkeiten, den Betrug zu erkennen und zu verhindern – egal, wie perfekt er gemacht ist.
■ Bei US-Techkonzernen wie Google ist es überaus unwahrscheinlich, dass diese Privatnutzer einfach anrufen. Über Probleme mit dem Konto werden Nutzerinnen und Nutzer in der Regel auf digitalem Wege informiert.
■ Bei deutschen Unternehmen sind Anrufe zum Vertrag etwas wahrscheinlicher. Bei unerwarteten Anrufen sollte man am besten direkt auflegen und das Unternehmen über die offizielle Hotline zurückrufen. So lässt sich sicherstellen, dass es sich auch tatsächlich um das Unternehmen handelt.
■ Phishing-Mails werden oft von ominösen E-Mail-Adressen versendet, die nicht dem echten Unternehmen gehören. Manchmal können aber auch diese gefälscht sein oder sehen täuschend echt aus, zum Beispiel wenn Buchstaben wie O in die Zahl Null geändert werden. Keinesfalls sollte man bei merkwürdig wirkenden E-Mails auf Links klicken, persönliche Daten angeben oder Anhänge herunterladen.
■ Fremde Telefonnummern sollte man stets googeln – oft finden sich dann schnell Einträge von anderen Nutzerinnen und Nutzern, die negative Erfahrungen damit gemacht haben. Aber Vorsicht: Auch die Anrufer-ID lässt sich manipulieren, sodass es danach aussieht, als rufe der Betrüger von einer offiziellen Unternehmensnummer an.
■ Im Falle von KI-Schockanrufen empfiehlt der Bundesverband Deutscher Banken, sich am Telefon nicht unter Druck setzen zu lassen. Besser solle man auflegen und den eigenen Enkel oder das jeweilige Familienmitglied unter deren bekannter Nummer zurückrufen.
■ Um KI-Anrufe zu enttarnen, sollten Betroffene laut dem Bankenverband auf „kleine Unstimmigkeiten in der Stimme oder abgehackte Wörter“ achten.
■ Hilfreich kann auch ein Familienpasswort sein, das nur die Familienmitglieder kennen – aber nicht die KI. Im Zweifel kann man auch eine Rückfrage stellen, die ausschließlich das Familienmitglied beantworten kann – auch so könne man sichergehen, dass am anderen Ende tatsächlich eine echte Person ist.
Trotz vieler Warnsignale bei näherer Betrachtung ist dieser Anruf geeignet genug, um viele Leute hereinzulegen.
Siehe auch: Bettler als Betrüger
Kein passender Begriff gefunden.