Im Bereich der künstlichen Intelligenz (KI) hat sich in den letzten Monaten viel getan. Vor allem der seit vergangenem November verfügbare Chatbot ChatGPT von OpenAI sorgt für Aufregung. Das textbasierte Dialogsystem basiert auf maschinellem Lernen und beantwortet Fragen in natürlicher Sprache. Das Programm verspricht in vielen Bereichen Vorteile – etwa ein automatisierter Kunden-Support, der Fragen von Endnutzern schnell und effizient beantwortet, schnelle Informationen sowie die vereinfachte Weiterentwicklung von Prototypen zu Konversationsanwendungen.
Im Januar hat Microsoft zudem seine neue KI „Vall-E“ vorgestellt. Das Sprachsynthesemodell kann menschliche Stimmen imitieren. Dafür reicht eine Aufnahme der Originalstimme von nur drei Sekunden. Die KI simuliert die menschliche Stimme sehr genau und kann sogar emotionale Betonungen des Sprechers nachahmen.
Die Entwickler beider Systeme sind sich allerdings bewusst, dass ihre KI-Modelle nicht nur Vorteile bieten. Mit der zunehmenden Beliebtheit solcher Programme steigt auch das Betrugspotenzial. So können insbesondere Chatbots dazu missbraucht werden, Malware-Angriffe zu starten, Phishing-Versuche weiter zu perfektionieren oder Identitäten zu stehlen. Die Möglichkeiten sind vielfältig.
Welche Betrugsszenarien durch den Einsatz von KI-Modellen zukünftig möglich sind, hat BioCatch analysiert.
Phishing und Social Engineering mithilfe von KI
ChatGPT nutzt die Verarbeitung natürlicher Sprache (Natural Language Processing, NLP). Das könnten Cyber-Kriminelle für Phishing- und Social-Engineering-Kampagnen ausnutzen. Es lassen sich beispielsweise E-Mail-Konversationen authentisch nachstellen, ohne dass Grammatik- oder Rechtschreibfehler erkennbar sind. Dabei sorgt ein natürlicher Sprachfluss für Vertrauen bei den potenziellen Opfern: Der vermeintliche Bankmitarbeiter, der den Kunden per E-Mail auffordert, seine Kontodaten zur Verifizierung anzugeben, wirkt durch die natürliche Sprache authentisch. Auf diese Weise können Betrüger problemlos Daten abgreifen oder komplette Konten übernehmen.
Für Banken sind solche Betrugsformen schwer zu erkennen, weil es sich bei den geschilderten Fällen um „echte“ Kunden handelt, die die Überweisung auslösen. Aber nicht nur die vielfältigen Betrugsszenarien werden durch den Einsatz von KI für Banken und Finanzinstitute zunehmend zum Problem.
Um sich vor solchen Risiken zu schützen, müssen Unternehmen über solide Sicherheitsmaßnahmen verfügen. Dazu gehören vor allem regelmäßige Security-Updates sowie eine Multi-Faktor-Authentifizierung. Darüber hinaus sollten sie zusätzliche Maßnahmen ergreifen, um ihre Chatbots vor böswilligen Akteuren zu schützen.
Eine weitere Herausforderung: Geldwäschebekämpfung
Auch die Bekämpfung der Geldwäsche stellt eine Herausforderung dar und ist oft mit hohen Kosten verbunden. Hier bleibt die erste Überweisung meist unentdeckt. Entweder wird sie vom Überwachungssystem übersehen, oder der „Kunde“ beziehungsweise der AML-Analyst (Anti-Money Laundering) bestätigt die Transaktion als unverdächtig. Denn mithilfe von KI-gestützten Chatbots wie ChatGPT können Geldwäscher Gespräche generieren, die scheinbar legitime Geschäftsaktivitäten zum Gegenstand haben. In Wirklichkeit dienen sie jedoch dazu, Geldtransfers zu verschleiern. Dadurch wird es für Finanzinstitute immer schwieriger, die gängigen Muster von Geldwäscheaktivitäten zu erkennen.
Ein weiteres Problem ist die Rekrutierung ahnungsloser Personen zur Geldwäsche. Viele der Konten werden von arglosen Personen eröffnet, die glauben, einen ertragreichen Nebenjob gefunden zu haben. Dabei wissen die Betroffenen oft nicht, dass sie als Geldwäscher agieren und ihr Konto für kriminelle Aktivitäten nutzen, oder es dafür zur Verfügung stellen. Denn die Betrüger geben sich als legitime Unternehmen aus und versprechen schnelles Geld. Und mit ChatGPT lässt sich die vermeintliche Stellenanzeige und der nachfolgende Rekrutierungsprozess noch überzeugender gestalten.
Verhaltensbiometrie schafft Abhilfe
Verhaltensbiometrie kann eine wichtige Rolle beim Aufdecken von Betrugsversuchen und Geldwäsche spielen. Durch die Analyse des Benutzerverhaltens, etwa der Tippgeschwindigkeit, den Tastenanschlägen und Mausbewegungen kann das normale Verhalten eines Benutzers festgelegt werden. Anhand davon kann die Software erkennen, ob es sich tatsächlich um den angemeldeten Benutzer handelt, oder um einen Betrüger. Auch viele andere Betrugsversuche lassen sich so erkennen. Auf diese Weise können auch Konten ausfindig gemacht werden, die zu einem späteren Zeitpunkt für Geldwäsche genutzt werden sollen.
Fachartikel
ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee
Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite
Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS
CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen
Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien
Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum
2023 State of the Cloud Report
Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher
Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper
Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise
Aufkommende Trends in der externen Cyberabwehr
Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen
Aktueller Datenschutzbericht: Risiko XXL am Horizont
Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren
Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS
DDoS – der stille Killer
Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
