Die neue Ära des Betrugs: Eine zunehmende Bedrohung durch gefälschte KI-E-Mails
Im digitalen Zeitalter haben sich Betrügereien, insbesondere im Finanzsektor, durch den Einsatz von Künstlicher Intelligenz drastisch weiterentwickelt. Diese Entwicklung hat die Art und Weise, wie Betrüger vorgehen, verändert und stellt sowohl Unternehmen als auch Verbraucher vor neue Herausforderungen. Doch mehr dazu im folgenden Beitrag.
Zunehmende Betrugsvorfälle durch generative KI
Die zunehmende Verbreitung generativer KI-Technologien wie ChatGPT und dessen dunkles Gegenstück im Dark Web, FraudGPT, hat die Landschaft der digitalen Sicherheit und des Betrugs maßgeblich verändert, wie CNBC in einem Online-Beitrag berichtet. Diese fortschrittlichen Technologien ermöglichen es Betrügern, Phishing- und Spear-Phishing-Kampagnen mit bisher unerreichter Präzision und Überzeugungskraft durchzuführen. Phishing-E-Mails, die sich als Mitteilungen von vertrauenswürdigen Quellen wie Banken oder bekannten Online-Plattformen ausgeben, locken Nutzer auf gefälschte Websites, um ihnen sensible Informationen zu entlocken. Spear-Phishing hingegen zielt mit spezifischen, personalisierten E-Mails auf einzelne Personen oder Unternehmen ab, oft unter Verwendung von Informationen wie Berufsbezeichnungen und Namen von Kollegen, um Glaubwürdigkeit zu suggerieren. Die E-Mails sind dabei so gestaltet, dass sie von vertrauenswürdigen Quellen kaum zu unterscheiden sind, indem sie deren Design, Tonfall und sogar spezifische Sprachmuster nachahmen, wie es weiter heißt. Eine Umfrage der Association of Financial Professionals offenbart die erschreckende Realität: 65 Prozent der befragten Unternehmen waren 2022 von Betrugsversuchen betroffen, wobei 71 Prozent der erfolgreichen Betrugsfälle über E-Mail abgewickelt wurden. Unternehmen mit einem Jahresumsatz von über eine Milliarde US-Dollar erwiesen sich als besonders anfällig.
Ein besonders gravierender Vorfall ereignete sich in Hongkong, wo ein Finanzmitarbeiter durch einen scheinbar legitimen Videoanruf dazu verleitet wurde, 25,6 Millionen US-Dollar zu überweisen. Die Täuschung war so überzeugend, dass selbst die anfänglichen Zweifel des Mitarbeiters zerstreut wurden - ein Beweis für die verführerische Macht von KI-generierten Deepfakes, so CNBC weiter.
Der Finanzsektor ist am anfälligsten für Betrugsversuche
Die Bedrohungslandschaft im Finanzsektor hat sich durch die fortschreitende Digitalisierung und die damit einhergehende Automatisierung signifikant verändert. Die Einführung und Verbreitung von Webseiten und mobilen Applikationen, die eine Vielzahl von Finanztransaktionen ermöglichen, hat nicht nur den Komfort für Nutzer erhöht, sondern auch eine Vielzahl neuer Angriffsvektoren für Betrüger geschaffen, wie CNBC weiter berichtet. Ein wesentlicher Faktor, der zur Verwundbarkeit beiträgt, ist die verstärkte Nutzung von Application Programming Interfaces (APIs) im Finanzwesen. APIs ermöglichen die nahtlose Integration verschiedener Systeme und Dienste, bieten jedoch gleichzeitig neue Einfallstore für kriminelle Aktivitäten. Durch den Missbrauch dieser Schnittstellen können Betrüger Zugang zu sensiblen Daten erlangen oder unbefugte Transaktionen durchführen, wie es weiter heißt.
Die Statistiken, die von Netacea, einem Cybersicherheitsunternehmen mit Schwerpunkt auf automatisierten Bedrohungen, bereitgestellt wurden, unterstreichen die Dringlichkeit des Problems. Laut der Umfrage sind 22 Prozent der befragten Unternehmen branchenübergreifend von Bot-Angriffen betroffen, die auf die Erstellung gefälschter Konten abzielen. Dieses Risiko verstärkt sich im Finanzdienstleistungssektor erheblich, wo der Anteil der betroffenen Unternehmen auf 27 Prozent ansteigt. Die Umfrageergebnisse deuten zudem darauf hin, dass die Bedrohungslage dynamisch ist und sich im Laufe der Zeit verschärft hat. Eine überwältigende Mehrheit von 99 Prozent der Unternehmen, die solche automatisierten Angriffe festgestellt haben, berichtet von einer Zunahme dieser Betrugsversuche im Jahr 2022.
Besorgniserregend ist der Befund, dass größere Unternehmen, definiert durch einen Jahresumsatz von fünf Milliarden US-Dollar oder mehr, besonders stark betroffen sind. Hier gaben 66 Prozent der Unternehmen an, einen signifikanten oder moderaten Anstieg der Bot-Angriffe zu verzeichnen, wie es weiter heißt. Darüber hinaus legen die Daten offen, dass die Finanzdienstleistungsbranche besonders vulnerabel gegenüber der Schaffung gefälschter Konten ist. 30 Prozent der im Finanzsektor angegriffenen Unternehmen berichteten, dass zwischen sechs und zehn Prozent der neuen Konten als betrügerisch identifiziert wurden, so die Ergebnisse von Netacea.
Schutzmaßnahmen und Handlungsempfehlungen
Um sich vor den zunehmend raffinierten Angriffen durch KI-gestützte Betrügereien zu schützen, empfehlen Experten verschiedene Schutzmaßnahmen, die Unternehmen implementieren können. Cyril Noel-Tagoe, leitender Sicherheitsforscher bei Netacea, hebt hervor, dass Kriminelle zwar sehr raffiniert vorgehen können, jedoch oft nicht über detaillierte Kenntnisse der internen Abläufe eines Unternehmens verfügen. Auf dieser Erkenntnis basierend, können Unternehmen ihre Sicherheitsstrategien entsprechend anpassen.
Dabei betont Noel-Tagoe die Bedeutung einer detaillierteren Identitätsanalyse, um echte von gefälschten Identitäten zu unterscheiden. Er schlägt vor, dass Unternehmen spezielle Verfahren für Geldtransfers etablieren sollten, die über die üblichen Kommunikationskanäle wie E-Mail oder Messaging-Plattformen hinausgehen. Wenn beispielsweise Anfragen für Überweisungen normalerweise über eine dedizierte Rechnungsstellungsplattform erfolgen, sollten Mitarbeiter skeptisch gegenüber Anfragen sein, die über alternative Kanäle eingehen, und einen verifizierten Kontaktweg nutzen, um die Anfrage zu überprüfen.
Eine weitere empfohlene Maßnahme ist die Verbesserung des Authentifizierungsprozesses. Unternehmen, die digitale Identitäten verwalten, setzen derzeit häufig auf die Vorlage eines Ausweises oder die Erstellung eines Echtzeit-Selfies. In der Zukunft könnte dieser Prozess durch die Anforderung weiterer Aktionen, wie das Blinzeln, das Aussprechen des Namens oder das Durchführen spezifischer Gesten während eines Videoanrufs, ergänzt werden, wie es weiter heißt. Diese Maßnahmen zielen darauf ab, die Authentizität einer Person effektiver zu überprüfen und zwischen Live-Videos und vorproduzierten Deepfakes zu unterscheiden.
Um sich vor allem vor gefälschten KI-E-Mails schützen zu können, sollten Nutzer insbesondere die Herkunft einer E-Mail genau betrachten, vor allem dann, wenn persönliche Informationen, Zugangsdaten oder finanzielle Transaktionen gefordert werden. Ein genauer Blick auf die Absenderadresse kann aufschlussreich sein, da betrügerische Adressen oft geringfügig von den echten abweichen. Zudem sollten Links ohne eine vorherige Verifizierung der Nachricht oder Anhänge nicht geöffnet werden, da diese auf gefälschte Websites führen könnten, die darauf ausgelegt sind, persönliche Daten zu entwenden. Die Verwendung von Zweifaktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene und kann helfen, die Sicherheit auch dann zu gewährleisten, wenn Betrüger in den Besitz von Zugangsdaten gelangt sind.
Abschließend weist Noel-Tagoe, darauf hin, dass die Adaption an die neuen Sicherheitsbedrohungen, die durch den Einsatz generativer KI entstehen, Zeit erfordert. Dennoch ist es entscheidend, dass Unternehmen proaktiv handeln und ihre Sicherheitsprotokolle ständig überprüfen und aktualisieren, um dem wachsenden Risiko von überzeugenden Finanzbetrügereien entgegenzuwirken.
D. Maier / Redaktion finanzen.net
Weitere News
Bildquellen: Deemerwha studio / Shutterstock.com, Marko Aliaksandr / Shutterstock.com