Vernetzen Sie sich mit uns

Internet-Sicherheit

Wie Betrüger KI beim Bankbetrug einsetzen

mm
Veröffentlicht
Aktualisiert

Dank künstlicher Intelligenz können Betrüger Anti-Spoofing-Prüfungen und Stimmverifizierung umgehen und so in bemerkenswerter Geschwindigkeit gefälschte Ausweis- und Finanzdokumente herstellen. Ihre Methoden werden mit der Weiterentwicklung der generativen Technologie immer einfallsreicher. Wie können sich Verbraucher schützen, und was können Finanzinstitute tun, um zu helfen?

1. Deepfakes verstärken den Imposter-Betrug 

KI ermöglichte den größten Betrugsversuch aller Zeiten. Im Jahr 2024 führte das britische Ingenieurberatungsunternehmen Arup verlor rund 25 Millionen Dollar Nachdem Betrüger einen Mitarbeiter während einer Live-Videokonferenz dazu verleitet hatten, Geld zu überweisen, hatten sie echte Führungskräfte der oberen Führungsebene, darunter auch den Finanzvorstand, digital geklont.  

Deepfakes verwenden Generator- und Diskriminatoralgorithmen, um ein digitales Duplikat zu erstellen und den Realismus zu bewerten. Dadurch können sie Gesichtszüge und Stimme einer Person überzeugend nachahmen. Mit KI können Kriminelle ein solches Duplikat erstellen. mit nur einer Minute Audio und ein einzelnes Foto. Da diese künstlichen Bilder, Audioclips oder Videos vorab aufgezeichnet oder live übertragen werden können, können sie überall erscheinen.

2. Generative Modelle senden gefälschte Betrugswarnungen

Ein generatives Modell kann gleichzeitig Tausende gefälschte Betrugswarnungen versenden. Stellen Sie sich vor, jemand hackt sich in eine Website für Unterhaltungselektronik ein. Bei Großbestellungen ruft die KI die Kunden an und teilt ihnen mit, dass die Bank die Transaktion als betrügerisch eingestuft habe. Sie fragt nach ihrer Kontonummer und den Antworten auf ihre Sicherheitsfragen und erklärt, sie müsse ihre Identität überprüfen. 

Ein dringender Anruf und der Verdacht auf Betrug können Kunden dazu bewegen, ihre Bank- und persönlichen Daten preiszugeben. Da KI riesige Datenmengen in Sekundenschnelle analysieren kann, kann sie schnell auf reale Fakten verweisen, um den Anruf überzeugender zu gestalten.

3. KI-Personalisierung erleichtert die Kontoübernahme 

Cyberkriminelle könnten sich zwar durch endloses Raten von Passwörtern Zugang verschaffen, nutzen aber häufig gestohlene Anmeldedaten. Sie ändern umgehend das Passwort, die Backup-E-Mail-Adresse und die Multifaktor-Authentifizierungsnummer, um zu verhindern, dass der echte Kontoinhaber sie aus dem System wirft. Cybersicherheitsexperten können sich gegen diese Taktiken wehren, da sie die Vorgehensweise kennen. KI führt unbekannte Variablen ein, was ihre Abwehrmaßnahmen schwächt. 

Personalisierung ist die gefährlichste Waffe, die ein Betrüger haben kann. Sie zielen oft auf Menschen ab während der Hauptverkehrszeiten Wenn viele Transaktionen stattfinden – wie zum Beispiel am Black Friday –, um die Betrugserkennung zu erschweren. Ein Algorithmus könnte die Sendezeiten an die Routine, die Einkaufsgewohnheiten oder die Nachrichtenpräferenzen einer Person anpassen und so die Wahrscheinlichkeit erhöhen, dass sie sich beteiligt.

Fortschrittliche Sprachgenerierung und schnelle Verarbeitung ermöglichen die Erstellung von Massen-E-Mails, Domain-Spoofing und die Personalisierung von Inhalten. Selbst wenn Betrüger zehnmal so viele Nachrichten versenden, wirkt jede einzelne authentisch, überzeugend und relevant.

4. Generative KI überarbeitet den Betrug mit gefälschten Websites

Generative Technologie ermöglicht alles, vom Entwurf von Wireframes bis zur Organisation von Inhalten. Ein Betrüger kann für einen Bruchteil der Kosten innerhalb von Sekunden eine gefälschte, codefreie Investment-, Kredit- oder Bankwebsite erstellen und bearbeiten. 

Im Gegensatz zu herkömmlichen Phishing-Seiten kann sich die Seite nahezu in Echtzeit aktualisieren und auf Interaktionen reagieren. Ruft jemand beispielsweise die angegebene Telefonnummer an oder nutzt den Live-Chat, wird er möglicherweise mit einem Modell verbunden, das darauf trainiert ist, sich wie ein Finanzberater oder Bankangestellter zu verhalten. 

In einem solchen Fall kopierten Betrüger die Exante-Plattform. Das globale Fintech-Unternehmen bietet Nutzern Zugang zu über einer Million Finanzinstrumenten in Dutzenden von Märkten, sodass die Opfer dachten, sie würden legal investieren. Sie zahlten jedoch unwissentlich Geld auf ein Konto bei JPMorgan Chase ein.

Natalia Taft, Compliance-Leiterin bei Exante, sagte, das Unternehmen habe „ziemlich viele“ ähnliche Betrügereien entdeckt, was darauf schließen lässt, dass der erste Fall kein Einzelfall war. Taft sagte, die Betrüger hätten hervorragende Arbeit geleistet Klonen der Website-Oberfläche. Sie sagte, KI-Tools hätten dies wahrscheinlich entwickelt, weil es ein „Geschwindigkeitsspiel“ sei und sie „so viele Opfer wie möglich treffen müssen, bevor sie außer Gefecht gesetzt werden“.

5. Algorithmen umgehen Tools zur Lebendigkeitserkennung

Die Liveness-Erkennung nutzt Echtzeit-Biometrie, um festzustellen, ob die Person vor der Kamera echt ist und mit der ID des Kontoinhabers übereinstimmt. Theoretisch wird das Umgehen der Authentifizierung schwieriger, was die Verwendung alter Fotos oder Videos verhindert. Dank KI-gestützter Deepfakes ist diese Methode jedoch nicht mehr so ​​effektiv wie früher. 

Cyberkriminelle könnten diese Technologie nutzen, um echte Personen zu imitieren und so die Kontoübernahme zu beschleunigen. Alternativ könnten sie das Tool dazu bringen, eine falsche Identität zu verifizieren und so Geldwäsche zu erleichtern. 

Betrüger müssen dafür kein Modell trainieren – sie können für eine vortrainierte Version bezahlen. Eine Softwarelösung behauptet, es könne fünf eines der bekanntesten Tools zur Liveness-Erkennung, die Fintech-Unternehmen für einen einmaligen Kauf von 2,000 US-Dollar verwenden. Auf Plattformen wie Telegram gibt es zahlreiche Anzeigen für solche Tools, was zeigt, wie einfach moderner Bankbetrug ist.

6. KI-Identitäten ermöglichen Betrug bei neuen Konten

Betrüger können generative Technologie nutzen, um die Identität einer Person zu stehlen. Im Darknet werden vielerorts gefälschte Dokumente wie Reisepässe und Führerscheine angeboten. Darüber hinaus werden gefälschte Selfies und Finanzunterlagen angeboten. 

Eine synthetische Identität ist eine erfundene Persona, die durch die Kombination echter und gefälschter Daten erstellt wird. Beispielsweise kann die Sozialversicherungsnummer echt sein, Name und Adresse jedoch nicht. Daher sind sie mit herkömmlichen Methoden schwerer zu erkennen. Der Bericht „Identity and Fraud Trends 2021“ zeigt etwa 33 % der Fehlalarme Equifax sieht darin synthetische Identitäten. 

Professionelle Betrüger mit großzügigen Budgets und hohen Ambitionen erschaffen mithilfe generativer Tools neue Identitäten. Sie kultivieren die Identität und erstellen eine Finanz- und Kredithistorie. Mit diesen legitimen Aktionen täuschen sie Know-Your-Customer-Software und bleiben so unentdeckt. Schließlich schöpfen sie ihren Kreditrahmen aus und verschwinden mit einem Nettogewinn. 

Obwohl dieser Prozess komplexer ist, läuft er passiv ab. Fortschrittliche, auf Betrugstechniken trainierte Algorithmen können in Echtzeit reagieren. Sie wissen wie ein Mensch, wann sie einen Kauf tätigen, Kreditkartenschulden begleichen oder einen Kredit aufnehmen müssen, und bleiben so unentdeckt.

Was Banken tun können, um sich gegen diese KI-Betrügereien zu schützen

Verbraucher können sich schützen, indem sie komplexe Passwörter erstellen und beim Teilen persönlicher oder Kontoinformationen vorsichtig sind. Banken sollten sich noch stärker gegen KI-bezogenen Betrug schützen, da sie für die Sicherung und Verwaltung ihrer Konten verantwortlich sind.

1. Einsatz von Multifaktor-Authentifizierungstools

Da Deepfakes die biometrische Sicherheit beeinträchtigen, sollten Banken stattdessen auf Multifaktor-Authentifizierung setzen. Selbst wenn ein Betrüger erfolgreich die Anmeldedaten einer Person stiehlt, kann er keinen Zugriff erhalten. 

Finanzinstitute sollten ihre Kunden darauf hinweisen, ihren MFA-Code niemals weiterzugeben. KI ist ein mächtiges Werkzeug für Cyberkriminelle, kann aber sichere Einmalpasswörter nicht zuverlässig umgehen. Phishing ist eine der wenigen Möglichkeiten, dies zu versuchen.

2. Verbessern Sie die Know-Your-Customer-Standards

KYC ist ein Finanzdienstleistungsstandard, der Banken verpflichtet, die Identität, das Risikoprofil und die Finanzunterlagen ihrer Kunden zu überprüfen. Während Dienstleister, die in rechtlichen Grauzonen tätig sind, technisch nicht KYC unterliegen, gibt es neue Regeln, die sich auf DeFi auswirken. wird nicht in Kraft treten bis 2027 – es handelt sich um eine branchenweite Best Practice. 

Synthetische Identitäten mit jahrelangen, legitimen und sorgfältig gepflegten Transaktionshistorien sind überzeugend, aber fehleranfällig. So kann beispielsweise einfaches Prompt Engineering ein generatives Modell dazu zwingen, seine wahre Natur preiszugeben. Banken sollten diese Techniken in ihre Strategien integrieren.

3. Nutzen Sie erweiterte Verhaltensanalysen 

Eine bewährte Methode im Kampf gegen KI ist, mit gleichen Mitteln gegen Feuer zu kämpfen. Verhaltensanalysen auf Basis eines maschinellen Lernsystems können enorme Datenmengen von Zehntausenden von Menschen gleichzeitig erfassen. Sie können alles verfolgen, von Mausbewegungen bis hin zu zeitgestempelten Zugriffsprotokollen. Eine plötzliche Änderung deutet auf eine Kontoübernahme hin. 

Zwar können fortschrittliche Modelle die Kauf- oder Kreditgewohnheiten einer Person nachahmen, wenn sie über genügend historische Daten verfügen. Sie können jedoch nicht die Scrollgeschwindigkeit, Wischmuster oder Mausbewegungen nachahmen, was den Banken einen subtilen Vorteil verschafft.

4. Führen Sie umfassende Risikobewertungen durch 

Banken sollten bei der Kontoeröffnung Risikobewertungen durchführen, um Kontobetrug zu verhindern und Geldkurieren den Zugang zu Geld zu verweigern. Sie können damit beginnen, nach Unstimmigkeiten bei Name, Adresse und Sozialversicherungsnummer zu suchen. 

Synthetische Identitäten sind zwar überzeugend, aber nicht absolut sicher. Eine gründliche Suche in öffentlichen Aufzeichnungen und sozialen Medien würde zeigen, dass sie erst kürzlich entstanden sind. Ein Fachmann könnte sie mit der Zeit entfernen und so Geldwäsche und Finanzbetrug verhindern.

Eine vorübergehende Sperrung oder ein Transferlimit bis zur Verifizierung könnte verhindern, dass Betrüger massenhaft Konten erstellen und löschen. Zwar kann ein weniger intuitiver Prozess für echte Nutzer zu Reibungsverlusten führen, doch langfristig könnten Verbraucher dadurch Tausende oder sogar Zehntausende von Dollar sparen.

Schutz der Kunden vor KI-Betrug und Schwindel

KI stellt ein ernstes Problem für Banken und Fintech-Unternehmen dar, da Betrüger weder Experten noch technisches Know-how benötigen, um komplexe Betrügereien durchzuführen. Zudem müssen sie kein spezielles Modell entwickeln. Stattdessen können sie eine allgemeine Version jailbreaken. Da diese Tools so leicht zugänglich sind, müssen Banken proaktiv und sorgfältig vorgehen.

Verwandte Themen:
mm

Zac Amos ist ein Tech-Autor, der sich auf künstliche Intelligenz konzentriert. Er ist außerdem Features Editor bei ReHack, wo Sie mehr über seine Arbeit lesen können.