Deepfake-Betrügereien führen zu einer neuen Betrugswelle

Sep 02, 2023

Computergenerierte Kinderstimmen, so realistisch, dass sie ihre eigenen Eltern täuschen. Mit Fotos aus sozialen Medien erstellte Masken, die in ein durch Gesichtserkennung geschütztes System eindringen können. Sie klingen wie Science-Fiction, aber diese Techniken stehen Kriminellen, die es auf alltägliche Verbraucher abgesehen haben, bereits zur Verfügung.

Die Verbreitung betrügerischer Technologien hat Aufsichtsbehörden, Polizei und Menschen auf höchster Ebene der Finanzbranche alarmiert. Insbesondere künstliche Intelligenz werde genutzt, um Betrug zu beschleunigen, warnte Lina Khan, Vorsitzende der US-Handelskommission, im Juni und forderte eine erhöhte Wachsamkeit der Strafverfolgungsbehörden.

Noch bevor sich die KI durchsetzte und für jeden mit einer Internetverbindung verfügbar wurde, kämpfte die Welt darum, die explosionsartige Zunahme von Finanzbetrug einzudämmen. Allein in den USA haben Verbraucher im vergangenen Jahr fast 8,8 Milliarden US-Dollar verloren, ein Anstieg von 44 % gegenüber 2021, trotz Rekordinvestitionen in Erkennung und Prävention. Finanzkriminalitätsexperten großer Banken, darunter Wells Fargo & Co. und Deutsche Bank AG, sagen, dass der bevorstehende Betrugsboom eine der größten Bedrohungen für ihre Branche darstellt. Abgesehen davon, dass sie die Kosten für die Betrugsbekämpfung trägt, läuft die Finanzbranche auch Gefahr, das Vertrauen ihrer Kunden zu verlieren. „Es ist ein Wettrüsten“, sagt James Roberts, Leiter des Betrugsmanagements bei der Commonwealth Bank of Australia, der größten Bank des Landes. „Es wäre übertrieben zu sagen, dass wir gewinnen.“

Die Geschichte der Betrügereien ist sicherlich so alt wie die Geschichte des Handels und der Wirtschaft. Einer der frühesten bekannten Fälle vor mehr als 2.000 Jahren betraf einen griechischen Seehändler, der versuchte, sein Schiff zu versenken, um eine betrügerische Auszahlung einer Versicherungspolice zu erhalten. Wenn Sie ein beliebiges Zeitungsarchiv durchsehen, werden Sie unzählige Versuche finden, die Leichtgläubigen von ihrem Geld zu befreien. Aber in der dunklen Wirtschaft des Betrugs kommt es – genau wie in der Gesamtwirtschaft – regelmäßig zu destabilisierenden Innovationsschüben. Neue Technologien senken die Kosten für die Durchführung eines Betrugs und ermöglichen es dem Kriminellen, an einen größeren Pool unvorbereiteter Marken zu gelangen. Per E-Mail lernte jeder Computerbenutzer auf der Welt eine Schar zahlungsunfähiger Prinzen kennen, die Hilfe bei der Rettung ihres verlorenen Vermögens brauchten. Krypto brachte eine Blüte von Ponzi-Systemen mit sich, die sich viral über soziale Medien verbreiteten.

Die KI-Explosion bietet nicht nur neue Werkzeuge, sondern auch das Potenzial für lebensverändernde finanzielle Verluste. Und die zunehmende Verfeinerung und Neuheit der Technologie bedeutet, dass jeder, nicht nur die Leichtgläubigen, ein potenzielles Opfer ist. Die Lockdowns aufgrund von COVID-19 beschleunigten die Verbreitung von Online-Banking auf der ganzen Welt, wobei Telefone und Laptops den persönlichen Kontakt in Bankfilialen ersetzten. Dies hat den Finanzunternehmen und ihren Kunden Vorteile in Form geringerer Kosten und höherer Geschwindigkeit gebracht und bietet Betrügern Chancen.

Einige der neuen Techniken gehen über das hinaus, was aktuelle Standardtechnologien leisten können, und es ist nicht immer leicht zu erkennen, ob man es mit einem Betrüger aus der Gartenbaubranche oder mit einem Akteur im Nationalstaat zu tun hat. „Wir sehen, dass die Cyberkriminalität immer ausgefeilter wird“, sagt Amy Hogan-Burney, General Managerin für Cybersicherheitsrichtlinien und -schutz bei Microsoft Corp.

Weltweit werden die Kosten für Cyberkriminalität, einschließlich Betrug, in diesem Jahr voraussichtlich 8 Billionen US-Dollar erreichen und damit die Wirtschaftsleistung Japans, der drittgrößten Volkswirtschaft der Welt, übertreffen. Laut dem Forscher Cybersecurity Ventures wird es bis 2025 10,5 Billionen US-Dollar erreichen, nachdem es sich in einem Jahrzehnt mehr als verdreifacht hat.

Im Sydneyer Vorort Redfern verbringen einige von Roberts‘ über 500-köpfigem Team ihre Tage damit, Betrüger zu belauschen, um aus erster Hand zu erfahren, wie KI ihren Kampf neu gestaltet. Eine gefälschte Geldanfrage eines geliebten Menschen ist nichts Neues. Aber jetzt erhalten Eltern Anrufe, bei denen die Stimme ihres Kindes mit KI geklont wird, sodass sie nicht mehr von der echten Stimme zu unterscheiden ist. Diese als Social-Engineering-Betrügereien bekannten Tricks haben in der Regel die höchsten Trefferquoten und generieren für Betrüger einige der schnellsten Erträge.

Das Klonen der Stimme einer Person wird immer einfacher. Sobald ein Betrüger ein kurzes Beispiel eines Audioclips aus den sozialen Medien oder einer Voicemail-Nachricht einer Person herunterlädt – es kann nur 30 Sekunden dauern – kann er mithilfe online verfügbarer KI-Tools zur Sprachsynthese die benötigten Inhalte erstellen.

Über öffentliche Social-Media-Konten lässt sich leicht herausfinden, wer die Verwandten und Freunde einer Person sind, ganz zu schweigen von ihrem Wohn- und Arbeitsort und anderen wichtigen Informationen. Bankchefs betonen, dass Betrüger, die ihre Geschäfte wie Unternehmen betreiben, bereit sind, geduldig zu sein und Angriffe manchmal monatelang planen.

Laut Rob Pope, Direktor der neuseeländischen staatlichen Cybersicherheitsbehörde CERT NZ, ist das, was Betrugsteams bisher sehen, nur ein Vorgeschmack darauf, was KI ermöglichen wird. Er weist darauf hin, dass KI Kriminellen gleichzeitig dabei hilft, das Volumen und die Anpassung von Angriffen zu erhöhen. „Man kann davon ausgehen, dass wir in den nächsten zwei oder drei Jahren mehr kriminelle Angriffe erleben werden, die durch KI generiert werden“, sagt Pope, ein ehemaliger stellvertretender Kommissar der neuseeländischen Polizei, der einige der bekanntesten Kriminalfälle des Landes betreute . „Was die KI bewirkt, ist, dass sie den Grad der Verfeinerung und die Fähigkeit dieser schlechten Menschen, sehr schnell umzuschwenken, beschleunigt. KI macht es ihnen einfacher.“

Hören Sie sich die Podcastfolge „The Big Take“ über KI-Betrug auf iHeart, Apple und Spotify an.

Um einen Eindruck von der Herausforderung zu vermitteln, vor der Banken stehen, sagt Roberts, dass die Commonwealth Bank of Australia derzeit etwa 85 Millionen Ereignisse pro Tag über ein Netzwerk von Überwachungstools verfolgt. Das ist in einem Land mit einer Bevölkerung von gerade einmal 26 Millionen.

Die Industrie hofft, sich zu wehren, indem sie die Verbraucher über die Risiken aufklärt und die Investitionen in Verteidigungstechnologie erhöht. Mit neuer Software erkennt CBA, wenn Kunden ihre Computermaus während einer Transaktion auf ungewöhnliche Weise verwenden – ein Warnsignal für einen möglichen Betrug. Alles Verdächtige, einschließlich des Ziels einer Bestellung und der Art und Weise, wie der Kauf abgewickelt wird, kann das Personal in nur 30 Millisekunden alarmieren und es ihm ermöglichen, die Transaktion zu blockieren.

Laut Thomas Graf, einem leitenden Ingenieur für maschinelles Lernen bei der Deutschen Bank, haben Computeringenieure kürzlich ihr System zur Erkennung verdächtiger Transaktionen namens Black Forest mithilfe der neuesten Modelle zur Verarbeitung natürlicher Sprache umgebaut. Das Tool berücksichtigt Transaktionskriterien wie Volumen, Währung und Zielort und lernt aus Unmengen von Daten automatisch, welche Muster auf Betrug schließen lassen. Das Modell kann sowohl bei Privat- als auch bei Unternehmenstransaktionen eingesetzt werden und hat bereits mehrere Fälle aufgedeckt, darunter einen im Zusammenhang mit organisierter Kriminalität, Geldwäsche und Steuerhinterziehung.

Wells Fargo hat die technischen Systeme überarbeitet, um der Gefahr von KI-generierten Videos und Stimmen entgegenzuwirken. „Wir schulen unsere Software und unsere Mitarbeiter, um diese Fälschungen erkennen zu können“, sagt Chintan Mehta, Leiter für digitale Technologie bei Wells Fargo. Aber das System muss sich weiterentwickeln, um mit den Kriminellen Schritt zu halten. Das Erkennen von Betrügereien kostet natürlich Geld.

Ein Problem für Unternehmen: Bei jeder Verschärfung versuchen Kriminelle, einen Workaround zu finden. Beispielsweise verlangen einige US-Banken von Kunden, dass sie bei der Kontoeröffnung ein Foto eines Ausweises hochladen. Betrüger kaufen jetzt gestohlene Daten im Dark Web, finden Fotos ihrer Opfer in sozialen Medien und drucken Masken in 3D, um mit den gestohlenen Informationen gefälschte Ausweise zu erstellen. „Und diese können wie alles aussehen, von dem, was man in einem Halloween-Laden bekommt, bis hin zu einer äußerst lebensechten Silikonmaske nach Hollywood-Standards“, sagt Alain Meier, Leiter Identität bei Plaid Inc., das Banken, Finanztechnologieunternehmen und andere Unternehmen bei der Betrugsbekämpfung unterstützt mit seiner ID-Verifizierungssoftware. Plaid analysiert die Hautstruktur und die Lichtdurchlässigkeit, um sicherzustellen, dass die Person auf dem Foto echt aussieht.

Meier, der seine Karriere der Aufdeckung von Betrug gewidmet hat, sagt, dass die besten Betrüger, also diejenigen, die ihre Machenschaften als Unternehmen betreiben, Betrugssoftware entwickeln und sie verpacken, um sie im Dark Web zu verkaufen. Die Preise können zwischen 20 und mehreren Tausend Dollar liegen. „Es könnte sich zum Beispiel um eine Chrome-Erweiterung handeln, die Ihnen hilft, Fingerabdrücke zu umgehen, oder um Tools, die Ihnen bei der Generierung synthetischer Bilder helfen können“, sagt er.

Da Betrug immer ausgefeilter wird, wird die Frage, wer für Verluste verantwortlich ist, immer umstrittener. Im Vereinigten Königreich beispielsweise sind Opfer unbekannter Transaktionen – beispielsweise wenn jemand Ihre Kreditkarte kopiert und verwendet – gesetzlich vor Verlusten geschützt. Wenn Sie jemand dazu verleitet, eine Zahlung zu tätigen, ist die Verantwortung weniger klar. Im Juli entschied das oberste Gericht des Landes, dass ein Ehepaar, das dazu verleitet wurde, Geld ins Ausland zu schicken, seine Bank nicht einfach dafür haftbar machen kann, dass es seinen Anweisungen gefolgt ist. Aber Gesetzgeber und Regulierungsbehörden haben Spielraum, um andere Regeln festzulegen: Die Regierung bereitet sich darauf vor, von den Banken zu verlangen, dass sie Betrugsopfern eine Entschädigung zahlen, wenn das Geld über Faster Payments überwiesen wird, ein System zum Geldtransfer zwischen britischen Banken. Politiker und Verbraucherschützer in anderen Ländern drängen auf ähnliche Änderungen und argumentieren, dass es unangemessen sei, von den Menschen zu erwarten, dass sie diese immer ausgefeilteren Betrügereien erkennen.

Banken befürchten, dass eine Änderung der Regeln Betrügern lediglich das Leben erleichtern würde. Führende Vertreter der Finanzbranche auf der ganzen Welt versuchen ebenfalls, einen Teil der Verantwortung auf Technologieunternehmen abzuwälzen. Die am schnellsten wachsende Betrugskategorie ist der Investitionsbetrug, der den Opfern oft über Suchmaschinen vermittelt wird, wo Betrüger leicht gesponserte Werbespots kaufen können. Wenn sich potenzielle Anleger durchklicken, finden sie häufig realistische Prospekte und andere Finanzdaten. Sobald sie ihr Geld überwiesen haben, kann es Monate, wenn nicht Jahre dauern, bis ihnen klar wird, dass sie betrogen wurden, als sie versuchten, von ihrer „Investition“ zu profitieren.

Im Juni sandte eine Gruppe von 30 Kreditgebern im Vereinigten Königreich einen Brief an Premierminister Rishi Sunak, in dem sie Technologieunternehmen aufforderte, sich an den Rückerstattungen für Opfer von Betrug zu beteiligen, der auf ihren Plattformen begangen wurde. Die Regierung sagt, sie plane neue Gesetze und andere Maßnahmen, um gegen Online-Finanzbetrug vorzugehen.

Die Bankenbranche setzt sich dafür ein, die Verantwortung weiter zu verteilen, auch weil die Kosten scheinbar steigen. Auch in der Betrugsökonomie gilt wieder einmal ein aus der Wirtschaftswissenschaft bekanntes Problem. Wie die Umweltverschmutzung durch eine Fabrik verursacht auch die neue Technologie einen externen Effekt oder verursacht Kosten, die anderen auferlegt werden. In diesem Fall besteht eine erhöhte Reichweite und ein erhöhtes Risiko für Betrug. Weder Banken noch Verbraucher wollen die einzigen sein, die den Preis zahlen müssen.

Chris Sheehan war fast drei Jahrzehnte bei der Polizei des Landes tätig, bevor er zur National Australia Bank Ltd. wechselte, wo er für Ermittlungen und Betrug zuständig ist. Mit kontinuierlichen Investitionen der Bank hat er sein Team im vergangenen Jahr um etwa 40 Personen erweitert. Wenn er alle Personal- und Technikkosten zusammenzähle, „erschreckt es mich, wie hoch die Zahl ist“, sagt er.

„Ich bin hoffnungsvoll, denn es gibt technologische Lösungen, aber man löst das Problem nie vollständig“, sagt er. Es erinnert ihn an seine Zeit als Polizist im Kampf gegen Drogenbanden. Es als „Krieg gegen Drogen“ darzustellen, sei „ein großer Fehler“ gewesen, sagt er. „Ich werde es niemals in diesem Rahmen – einem Krieg gegen Betrüger – formulieren, denn die Implikation ist, dass ein Krieg gewinnbar ist“, sagt er. „Das ist nicht gewinnbar.“

BLOOMBERG