Finance-Phishing – Neuer KI-gestützter Phishing-Kit ermöglicht Fake-Sprachanrufe bei Bank-Kunden

84 Prozent aller in betrügerischer Absicht versandten E-Mails haben einen Phishing-Angriff zum Hintergrund – so zumindest der Ende letzten Jahres erschienene BSI-Report Die Lage der IT-Sicherheit in Deutschland 2023. Bei Phishing-Angriffen versuchen Cyberkriminelle, sich durch digitale Kontaktaufnahme mit ihren Opfern in den Besitz ihrer Identitäts- und Authentisierungsdaten zu bringen und diese dann für weitere Angriffe zu nutzen oder an andere Cyberkriminelle weiterzuverkaufen. Vor allem im Bereich des Online-Bankings werden sie immer aktiver, geben sich als vermeintliche Mitarbeiter von Banken und Finanzdienstleistern aus, um Finance-Phishing zu betreiben. Immer häufiger, so der BSI-Report, kommt dabei auch künstliche Intelligenz zum Einsatz.

Was dies konkret bedeutet, haben nun vor kurzem Forscher des Cybersicherheits-Anbieters Group-IB in einem exklusiven Blogbeitrag vorgestellt. Ins Visier hatten sie hierzu die Cyberaktivitäten der spanischen kriminellen Gruppe GXC Team genommen. Die Gruppe betreibt eine Phishing-as-a-Service-Plattform, mit der Anmeldedaten von Bankkunden kompromittiert und entwendet werden können. Das Besondere: Die Plattform operiert unter Zuhilfenahme einer KI, die es ihren Nutzern unter anderem ermöglicht, ferngesteuert Fake-Telefonanrufe zu generieren. Als ‚Upgrade‘ ist zudem eine SMS-OTP-Stealer-Malware erhältlich, mit der, sollten ihre Opfer sie installieren, von ihrer Bank versandte Einmalpasswörter eingesehen werden können. Der Preis für das Phishing-Kit allein liegt zwischen 137 und 824 Euro, der für das ‚Upgrade‘-Paket, bestehend aus Phishing-Kit und Malware, bei etwa 457 Euro – pro Monat, denn Plattform und Malware werden als as-a-Service-Lösung vertrieben.

Die bevorzugten Opfer der KI-gestützten Phishing-Plattform: Online-Kunden von mindestens 36 spanischen Banken sowie Nutzer der Online-Angebote von Steuer- und Regierungsbehörden, von E-Commerce-Plattformen und Krypto-Währungsbörsen in den Vereinigten Staaten, dem Vereinigten Königreich, der Slowakei und Brasilien.

Über die zentrale Oberfläche der Plattform lassen sich Angriffe problemlos planen, umsetzen und – wichtig für den Erfolg von Phishing-Angriffen – nachjustieren. Um seinen ‚Kunden‘ die Nutzung der Plattform so unkompliziert wie nur möglich zu gestalten, hat GXC Team diese zudem mit einer KI ausgestattet. Ein besonderes Highlight: die KI ermöglicht die Generierung von Fake-Sprachanrufen. Opfer erhalten automatisiert Fake-Telefonanrufe – angeblich von Mitarbeitern ihrer Bank – in denen sie zum Beispiel angewiesen werden, den Code ihrer Zwei-Faktor-Authentifizierung (2FA) anzugeben, die bereits erwähnte Malware – angeblich ein reguläres Programm ihrer Bank – zu installieren, oder eine andere – angeblich seriöse, in Wirklichkeit aber bösartige – Aktion online durchzuführen.

Das Beispiel GXC Team zeigt: die offiziellen Warnungen des BSI und anderer Behörden vor der zunehmenden Nutzung von KI zur Optimierung von Phishing-Angriffen sind wohl begründet. Das Automatisierungspotential, das in KI-Tools schlummert, führt nicht nur zu einer Steigerung der Quanti- und Qualität von Phishing-Angriffen, es ermöglicht auch die Einführung ganz neuer Phishing-Ansätze, wie es sie so – analog – bislang noch nicht gegeben hat.

Wie erfolgreich diese KI-gestützten Fake-Sprachanrufe am Ende tatsächlich sein werden, wird die Zukunft zeigen. Allerdings kann schon heute davon ausgegangen werden, dass ihre sprachliche Qualität über kurz oder lang ein überzeugendes Niveau erreichen werden – wenn sie dieses denn nicht schon längst erreicht haben.

Banken werden sich deshalb neue Sicherungsmaßnahmen überlegen und bei ihren Kunden verstärkt Aufklärungsarbeit leisten müssen. Auch die Möglichkeit zusätzlicher Security Awareness-Trainings – für Mitarbeiter, wie für Kunden – wird dabei ernsthaft ins Auge gefasst werden müssen. Die Zeit drängt. Bis auch erste deutsche Banken und Bankkunden von KI-gestützten Fake-Bankanrufen berichten, wird es sicherlich nicht mehr allzu lange dauern.

Statement von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4