Inhaltsverzeichnis
Gefährliche Deepfakes – wie sie die Identitätsprüfung aushebeln können
Während die Welt noch darüber nachdenkt, wie sie die enormen Investitionen in generative KI rentabel machen kann, haben Cyberkriminelle diese Technologie bereits für ihre Zwecke adaptiert. Sie nutzen die Technologie beispielsweise zur Erstellung von virtuellen Money Mules – Scheinkonten, die gestohlene Gelder transferieren. Außerdem setzen sie Deepfakes ein, um die Verifizierungsprozesse zur Kundenidentifikation (KYC, Know Your Customer) bei Banken zu umgehen. Dadurch wird der Einsatz realer Mittäter überflüssig. In diesem Blogbeitrag gehen wir etwas genauer auf die Details ein.
KYC – was sich hinter dem Verfahren verbirgt
Das KYC-Verfahren (“Know Your Customer”) wird im Finanzsektor eingesetzt, um die Identität von Kunden zu überprüfen und illegale Aktivitäten wie Betrug, Geldwäsche, Steuerhinterziehung und Terrorismusfinanzierung zu verhindern. Häufig werden im Rahmen von KYC biometrische Identifikationsverfahren genutzt, die vollständig online ablaufen. Kunden registrieren sich digital, ohne direkten Kontakt zu Bankmitarbeitern. In der Regel laden sie dabei Bilder ihrer Ausweisdokumente hoch und erstellen ein Selbstporträt, auf dem sie die Dokumente in die Kamera halten.
Eine neuere Sicherheitsmaßnahme fordert die Aktivierung der Smartphone-Kamera, wobei der Kunde aufgefordert wird, den Kopf in verschiedene Richtungen zu bewegen. Diese Verfahren schützen in erster Linie vor dem Einsatz gestohlener oder statischer Fotos bei der Authentifizierung und werden manchmal auch zur Verifikation von Transaktionen verwendet.
Kriminelle haben jedoch bereits Methoden entwickelt, um diese Sicherheitsvorkehrungen mithilfe von Deepfakes zu umgehen. So werden nicht nur die Cyberkriminellen immer kreativer, die ständig neue Malware entwickeln, die nur durch aktuelle Antivirensoftware gestoppt werden kann.
Cyberkriminelle nutzen zunehmend KI-Tools
Kürzlich hat das auf Deepfake-Erkennung spezialisierte Startup Sensity einen Jahresbericht veröffentlicht, der die gängigsten Methoden aufzeigt, wie Cyberkriminelle künstlich erzeugte Inhalte für schädliche Zwecke nutzen. Dem Bericht zufolge gibt es weltweit 10.206 Tools zur Erstellung von Bildern, 2.298 Tools zur Gesichtsersetzung in Videos und zur Erstellung digitaler Avatare sowie 1.018 Tools zur Stimmgenerierung oder -klonung.
Besondere Aufmerksamkeit widmet der Bericht den 47 spezialisierten Programmen, die gezielt zur Umgehung von KYC-Verfahren entwickelt wurden. Diese Programme ermöglichen es Cyberkriminellen, digitale Klone zu erzeugen, die Identitätsprüfungsprozesse erfolgreich durchlaufen. Dadurch können Betrüger Fernzugangskonten bei Finanzinstituten wie Banken, Kryptowährungsbörsen und Zahlungssystemen eröffnen.
Diese Konten werden später oft als Vehikel für verschiedene kriminelle Aktivitäten genutzt, insbesondere für direkten Finanzbetrug und das Waschen von Geldern aus illegalen Geschäften.
Aktuelle Entwicklung: Der Handel mit speziellen Deepfakes
Journalisten haben entdeckt, dass immer mehr Webseiten entstehen, die sich auf den Verkauf realistischer, mit Künstlicher Intelligenz (KI) erstellter Fotos von gefälschten Dokumenten spezialisieren. Einige dieser Dienste bieten sogar komplette Pakete an, die neben den gefälschten Dokumenten auch Fotos und Videos der vermeintlichen Inhaber umfassen.
Solche KI-Tools und Inhaltssets erleichtern Betrügern ihre Arbeit erheblich. Noch vor einigen Jahren waren echte Personen, sogenannte Money Mules, notwendig, um unrechtmäßig erworbene Gelder zu empfangen, Konten zu eröffnen und Transaktionen durchzuführen. Diese Money Mules waren oft die Achillesferse krimineller Operationen.
Heute sind solche „physischen Maultiere“ zunehmend überflüssig. Kriminelle müssen nicht mehr mit Menschen zusammenarbeiten, die leicht von der Polizei gefasst werden können. Stattdessen erstellen sie digitale Klone, die genutzt werden, um Finanzdienstleister anzugreifen, die die Kontoeröffnung und Transaktionsabwicklung vollständig remote ermöglichen.
Weitere Vorgehensweise – Lehren für die Zukunft
Die derzeitige Leichtigkeit, mit der KYC-Verfahren umgangen werden können, wird voraussichtlich zwei wichtige Konsequenzen haben. Erstens werden Finanzinstitute wahrscheinlich zusätzliche Überprüfungsmechanismen für Fotos und Videos einführen, die von Remote-Kunden eingereicht werden. Dies soll insbesondere dazu dienen, Anzeichen für KI-Manipulationen zu erkennen.
Zweitens könnten Aufsichtsbehörden die Vorschriften für ausschließlich remote durchgeführte Finanztransaktionen verschärfen. Dadurch könnte der Komfort und die Einfachheit, die wir von Online-Finanzdienstleistungen gewohnt sind, durch die fortschreitende Entwicklung der Künstlichen Intelligenz beeinträchtigt werden.
Darüber hinaus warnen Experten, dass die weit verbreitete Verfügbarkeit von KI-Tools zur Erstellung von Foto-, Video- und Audioinhalten das grundlegende Vertrauen in digitale Interaktionen erheblich untergraben könnte. Je ausgefeilter die Kreationen der KI werden, desto schwieriger wird es, den Inhalten zu vertrauen, die wir auf unseren Smartphones und Computern sehen.