Romance-Scams sind eine perfide Form des Online-Betrugs, bei der Betrüger gezielt die romantischen Hoffnungen ihrer Opfer ausnutzen, um Geld zu erbeuten. Besonders auffällig ist, wie oft sich diese Betrugsmaschen um vermeintlich prominente Persönlichkeiten drehen, die angeblich in einer Notlage stecken und finanzielle Unterstützung benötigen. Ein wiederkehrendes Muster: Die Opfer werden manipuliert, den Betrügern nicht nur Geld zu überweisen, sondern auch jeglichen Zweifeln zu widerstehen.
Eine Methode, mit der versucht wurde, Betroffene für die Täuschung zu sensibilisieren, war der Vorschlag, den angeblichen Prominenten um einen Beweis in Form eines spezifischen Fotos zu bitten – etwa mit einer aktuellen Zeitung in der Hand oder in einer bestimmten Situation, die schwer zu fälschen ist. Während dies in der Vergangenheit erfolgreich war, haben technische Fortschritte wie Bildbearbeitungssoftware diesen Ansatz zunehmend wirkungslos gemacht. Betrüger sind heute in der Lage, täuschend echte Bilder zu erstellen, die die Illusion der Authentizität aufrechterhalten.
Dieser Wandel zeigt nicht nur, wie ausgeklügelt die Methoden der Täter inzwischen sind, sondern auch, wie schwer es für Opfer und Außenstehende geworden ist, Wahrheit von Fälschung zu unterscheiden. Der Einsatz von Technologie wird so nicht nur zum Werkzeug der Täuschung, sondern auch zur Barriere für Aufklärung und Schutz.
Mit den heutigen KI-gestützten Deepfakes ist es viel einfacher geworden, Romance-Scams zu begehen. Wie in diesem Artikel beschrieben, dauert es nur wenige Minuten, um ein realistisch aussehendes Deepfake-Bild, -Video oder -Audio von jemandem zu erstellen, der alles Mögliche sagt und tut.
Betrüger nutzen KI-gestützte Deepfake-Tools inzwischen intensiv. iProov, ein Unternehmen, das sich mit Deepfakes beschäftigt, hat mehr als 60 verschiedene Deepfake-Gruppen gefunden, die sich der Erstellung „synthetischer Bilder“ widmen. Eine Gruppe hatte mehr als 114.000 Mitglieder. Es wurden mehr als 100 „Gesichtsaustausch-Repositories“ gefunden.
Es gibt bereits Malware, die die Gesichter von Menschen stiehlt und sie dann verwendet, um ihre Identität gegenüber Banken zu fälschen, die Gesichtserkennung verlangen, um große Geldbeträge zu überweisen. Die Lage ist so ernst, dass das Marktforschungs- und Beratungsunternehmen Gartner prognostiziert, dass bis zum nächsten Jahr 30 Prozent der Unternehmen kein Vertrauen mehr in biometrische Ein-Faktor-Authentifizierungslösungen haben werden. Nun die Frage: Was ist mit den anderen 70 Prozent?
In den neuen NIST Digital Identity Guidelines schreibt die US-Regierung, dass jeder Einsatz von biometrischer Authentifizierung mit einem physischen Authentifizierungstoken gekoppelt sein muss. Daraus lässt sich schließen, dass der physische Authentifizierungstoken hier der wirklich vertrauenswürdige Authentifikator ist, da er von der US-Regierung selbst anerkannt und akzeptiert wird.
Brad Pitt Scams
Natürlich verwenden Betrüger KI-gestützte Deepfakes, um sich als Prominente auszugeben. Ein Prominenter, der häufig von Betrügern benutzt wird, ist Brad Pitt. Eine Frau wurde dazu gebracht, sich von ihrem derzeitigen Ehemann scheiden zu lassen, und schickte dann 850.000 Dollar der Scheidungssumme an den falschen Brad Pitt.
Viele KI-Experten haben darauf hingewiesen, wie schnell sie selbst erkennen können, dass diese Bilder gefälscht sind, aber die meisten Opfer sind keine KI-Experten. Der falsche Brad Pitt schickte dem Opfer auch viele Liebesgedichte, die zweifellos von KI generiert worden waren. Das Opfer gab an, dass der falsche Brad Pitt wirklich wusste, wie man mit Frauen spricht. Wahrscheinlich ist es zutreffender zu sagen, dass die KI, die der Betrüger benutzte, wirklich wusste, wie man mit Frauen spricht.
Man findet in letzter Zeit immer mehr Demos, bei denen die KI in der Lage war, fast in Echtzeit Videoantworten auf die Fragen eines Opfers zu liefern. Es ist nur eine Frage von Monaten, bis diese Art von KI-gestützten Echtzeitdiensten für jedermann verfügbar sein wird, auch für Betrüger.
Die meisten von uns würden niemals auf einen Promi-Betrug hereinfallen. Wir würden nie glauben, dass Brad Pitt oder ein anderer Prominenter in uns verliebt ist UND unser Geld braucht. Aber jeder ist anfällig für irgendeine Art von Betrug, sei es aufgrund des Zeitpunkts, der Umstände oder des Inhalts. Wir können alle betrogen werden.
Was können Sie tun – Verteidigung
So wie wir gelernt haben, dass wir uns nicht mehr darauf verlassen können, dass eine E-Mail vollständig wahrheitsgemäß ist, und diese Vorsicht auch auf SMS-Nachrichten, Sprachanrufe, soziale Medien, Chat-Apps wie WhatsApp und sogar persönliche Treffen ausgeweitet wurde, gilt dies nun auch für unerwartete Audio-, Bild- oder Videodateien, die wir erhalten.
Ob KI-generiert oder nicht, wenn die Nachricht unerwartet kommt und Sie auffordert, etwas zu tun, was Sie noch nie zuvor getan haben (zumindest nicht für diesen Absender), sollten Sie sie wahrscheinlich mit einer anderen Methode bestätigen, bevor Sie die angeforderte Aktion ausführen oder zu emotional reagieren. Diese Punkte sind unten grafisch dargestellt.
Wenn man nur eine Minute Zeit hätte, um allen zu zeigen, wie man betrügerische Nachrichten jetzt und in Zukunft am besten erkennt, dann wäre es diese: Wenn Sie unerwartet kontaktiert werden und aufgefordert werden, etwas zu tun, was Sie noch nie zuvor getan haben (zumindest nicht für diesen Absender), sollten Sie innehalten und nachdenken, bevor Sie reagieren. Das funktioniert nicht bei jedem Betrug, aber bei den meisten.
Trainieren Sie sich auf diese Weise. Schulen Sie Ihre Familie auf diese Weise. Trainieren Sie Ihre Mitarbeiter so. Wie gut Sie dies vermitteln und wie gut Ihre Mitarbeiter diese Fähigkeit erlernen und anwenden, wird wahrscheinlich darüber entscheiden, ob Ihre Organisation in einem bestimmten Zeitraum erfolgreich gehackt wird oder nicht.
Dieser Rat gilt für jeden Betrug, der Social-Engineering einsetzt, ob KI-gestützt oder nicht.
Es wird argumentiert, dass KI-gestützte Deepfakes mit Tools bekämpft werden können, die KI-gestützte Inhalte erkennen. Diese Abwehrstrategie hat jedoch ein Problem. Man kann dem Rat von Perry Carpenter aus seinem kürzlich erschienenen KI-Buch „ FAIK: A Practical Guide to Living in a World of Deepfakes, Disinformation, and AI-Generated Deceptions“ folgen. Er fasst das Hauptproblem der KI wie folgt zusammen
Praktisch jedes Tool und jeder Dienst, den wir nutzen, wird KI-fähig sein und uns auf die eine oder andere Weise unterstützen. Unsere Social-Media-Kanäle werden KI nutzen, um bessere Versionen von uns selbst mit besseren Texten, Audioinhalten, Bildern und Videos zu erstellen. Jedes Audio-, Bild- und Videotool nutzt KI oder wird KI nutzen, um bessere Ergebnisse zu erzielen, die wir alle gerne nutzen werden. Sie tun es bereits. In einer Welt, in der viele, viele legitime Dinge, die wir alle nutzen werden, KI-gestützt oder KI-generiert sind, macht es keinen Sinn, ein Tool zur Täuschungserkennung zu fragen, ob etwas KI-generiert ist oder nicht.
Die wichtigste Frage, die Sie sich stellen sollten, ist, ob das, was Ihnen erzählt/gezeigt wird, böswillig und mit einer bestimmten Absicht ist, Sie zu täuschen.
Ob der Inhalt echt oder künstlich ist, ist nicht so wichtig wie die Frage, ob versucht wird, Sie böswillig zu täuschen. Konzentrieren Sie sich auf den Inhalt … und nicht darauf, ob das Bild ein bisschen unecht aussieht oder die Finger verschwommen sind.
Konzentrieren Sie sich auf die Nachricht. Jemand, der versucht, Sie zu betrügen, muss Ihnen den Betrug immer noch kommunizieren. Es geht nur darum, wie er den Betrug kommuniziert … per E-Mail, über soziale Medien oder über einen KI-gestützten Deepfake?
Abschluss
Das Zeitalter der einfachen Deepfakes ist angebrochen und wird immer einfacher und alltäglicher werden.
Wir werden nicht tatenlos zusehen, wie wir immer wieder betrogen werden. Alle unsere Cyber-Abwehr-Tools werden KI-fähig sein und uns besser vor KI-fähigen (und echten) Betrügern schützen.
Alles, was wir tun müssen, ist, alle Audio-, Bild- und Videodateien wie E-Mails und Textnachrichten zu behandeln. Konzentrieren Sie sich auf den Inhalt der Nachricht, denn wenn jemand versucht, Sie zu betrügen, wird die Nachricht oder der Inhalt auf die eine oder andere Weise bösartig sein, und das ändert sich nicht, nur weil es aussieht wie jemand, den Sie kennen oder eine Hybridversion von jemandem, den Sie kennen. Sie werden immer noch aufgefordert, Ihr Passwort zu schicken, Geld zu überweisen oder etwas zu tun, das Ihren eigenen Interessen schadet.
Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
#KnowBe4
