Wie Betrüger AI im Bankenbetrug nutzen

AI hat Betrügern die Möglichkeit gegeben, Anti-Spoofing-Checks und Sprachverifizierungen zu umgehen und gefälschte Identitäts- und Finanzdokumente erstaunlich schnell zu erstellen. Ihre Methoden sind mit der Weiterentwicklung der generativen Technologie immer erfinderischer geworden. Wie können Verbraucher sich selbst schützen und was können Finanzinstitute tun, um zu helfen?

1. Deepfakes verbessern den Impostor-Schwindel

AI ermöglichte den größten erfolgreichen Impostor-Schwindel, der je aufgezeichnet wurde. Im Jahr 2024 verlor das in Großbritannien ansässige Ingenieurbüro Arup etwa 25 Millionen Dollar, nachdem Betrüger einen Mitarbeiter dazu gebracht hatten, während einer Live-Video-Konferenz Geld zu überweisen. Sie hatten die echten Führungskräfte, einschließlich des Finanzvorstands, digital geklont.

Deepfakes verwenden Generator- und Diskriminator-Algorithmen, um eine digitale Kopie zu erstellen und die Realität zu bewerten, sodass sie jemandes Gesichtszüge und Stimme überzeugend nachahmen können. Mit AI können Kriminelle eine Kopie mit nur einer Minute Audio und einem einzigen Foto erstellen. Da diese künstlichen Bilder, Audio-Clips oder Videos vorab aufgezeichnet oder live sein können, können sie überall auftauchen.

2. Generative Modelle senden gefälschte Betrugswarnungen

Ein generatives Modell kann gleichzeitig Tausende gefälschte Betrugswarnungen senden. Stellen Sie sich vor, jemand hackt in eine Website für Verbraucherelektronik. Wenn große Bestellungen hereinkommen, ruft sein AI die Kunden an und sagt, die Bank habe die Transaktion als betrügerisch gekennzeichnet. Es bittet um die Kontonummer und die Antworten auf die Sicherheitsfragen, da es die Identität verifizieren müsse.

Der dringende Anruf und die Andeutung von Betrug können Kunden dazu bringen, ihre Bank- und persönlichen Informationen preiszugeben. Da AI riesige Datenmengen in Sekunden analysieren kann, kann es schnell auf echte Fakten verweisen, um den Anruf überzeugender zu machen.

3. AI-Personalisierung erleichtert die Übernahme von Konten

Während ein Cyberkrimineller auf brutale Weise versuchen könnte, sich Zugang zu verschaffen, indem er endlos Passwörter errät, verwenden sie oft gestohlene Anmeldeinformationen. Sie ändern sofort das Passwort, die Backup-E-Mail und die Zwei-Faktor-Authentifizierungsnummer, um zu verhindern, dass der echte Kontoinhaber sie herauswirft. Cyber-Sicherheitsexperten können sich gegen diese Taktiken wehren, weil sie das Spielbuch kennen. AI führt unbekannte Variablen ein, die ihre Verteidigung schwächen.

Personalisierung ist die gefährlichste Waffe, die ein Betrüger haben kann. Sie zielen oft auf Menschen während Spitzenverkehrszeiten, wenn viele Transaktionen stattfinden – wie am Black Friday – um es schwieriger zu machen, auf Betrug zu achten. Ein Algorithmus könnte die Sendezeit basierend auf einer Person Routine, Einkaufsgewohnheiten oder Nachrichtenpräferenzen anpassen, was sie eher dazu bringt, zu antworten.

Erweiterte Sprachgenerierung und schnelle Verarbeitung ermöglichen die Massenerstellung von E-Mails, Domain-Spoofing und Inhalts-Personalisierung. Selbst wenn schlechte Schauspieler zehnmal so viele Nachrichten senden, wird jede einzelne authentisch, überzeugend und relevant erscheinen.

4. Generative KI überarbeitet den Fake-Website-Schwindel

Generative Technologie kann alles tun, von der Erstellung von Wireframes bis zur Organisation von Inhalten. Ein Betrüger kann für ein paar Cent eine gefälschte, no-code-Investitions-, Kredit- oder Bank-Website innerhalb von Sekunden erstellen und bearbeiten.

Im Gegensatz zu einer herkömmlichen Phishing-Seite kann sie in Echtzeit aktualisiert werden und auf Interaktionen reagieren. Wenn jemand beispielsweise die aufgeführte Telefonnummer anruft oder die Live-Chat-Funktion verwendet, kann er mit einem Modell verbunden werden, das als Finanzberater oder Bankangestellter ausgebildet wurde.

In einem solchen Fall klonten Betrüger die Exante-Plattform. Das global agierende Fintech-Unternehmen bietet Benutzern Zugang zu über 1 Million Finanzinstrumenten in Dutzenden von Märkten, sodass die Opfer dachten, sie investierten legitim. Sie waren sich jedoch nicht bewusst, dass sie unbewusst Geld auf ein Konto bei JPMorgan Chase einzahlten.

Natalia Taft, Leiterin der Compliance bei Exante, sagte, das Unternehmen habe “einige” ähnliche Betrügereien gefunden, was darauf hindeutet, dass der erste Fall kein Einzelfall war. Taft sagte, die Betrüger hätten hervorragende Arbeit geleistet, die Website-Schnittstelle zu klonen. Sie sagte, AI-Tools hätten sie wahrscheinlich erstellt, da es ein “Spiel mit der Zeit” sei und sie “so viele Opfer wie möglich treffen müssen, bevor sie abgeschaltet werden”.

5. Algorithmen umgehen Liveness-Erkennungstools

Liveness-Erkennung verwendet Echtzeit-Biometrie, um zu bestimmen, ob die Person vor der Kamera real ist und der ID des Kontoinhabers entspricht. Theoretisch wird die Umgehung der Authentifizierung schwieriger, was es Personen erschwert, alte Fotos oder Videos zu verwenden. Dank AI-gesteuerter Deepfakes ist dies jedoch nicht mehr so effektiv wie früher.

Cyberkriminelle könnten diese Technologie verwenden, um echte Personen nachzuahmen, um die Übernahme von Konten zu beschleunigen. Alternativ könnten sie das Tool dazu bringen, eine gefälschte Person zu verifizieren, was Geldwäsche erleichtert.

Betrüger müssen kein Modell trainieren, um dies zu tun – sie können ein vortrainiertes Modell kaufen. Eine Software-Lösung behauptet, sie könne fünf der bekanntesten Liveness-Erkennungstools, die Fintech-Unternehmen verwenden, für einen einmaligen Kaufpreis von 2.000 Dollar umgehen. Werbung für Tools wie diese ist reichlich auf Plattformen wie Telegram verfügbar, was die Leichtigkeit des modernen Bankenbetrugs demonstriert.

6. AI-Identitäten ermöglichen neuen Kontobetrug

Betrüger können generative Technologie verwenden, um die Identität einer Person zu stehlen. Im Dark Web gibt es viele Orte, die gefälschte staatliche Dokumente wie Pässe und Führerscheine anbieten. Darüber hinaus bieten sie gefälschte Selfies und Finanzunterlagen an.

Eine synthetische Identität ist eine erfundene Person, die durch die Kombination von echten und gefälschten Details erstellt wird. Beispielsweise kann die Sozialversicherungsnummer echt sein, aber der Name und die Adresse nicht. Als Ergebnis sind sie mit herkömmlichen Tools schwerer zu erkennen. Der Identity and Fraud Trends-Bericht von 2021 zeigt, dass etwa 33 % der Falschpositiven, die Equifax sieht, synthetische Identitäten sind.

Professionelle Betrüger mit großzügigen Budgets und hohen Ambitionen erstellen neue Identitäten mit generativen Tools. Sie kultivieren die Persona und etablieren eine finanzielle und Kreditgeschichte. Diese legitimen Aktionen täuschen Know-Your-Customer-Software, sodass sie unentdeckt bleiben. Schließlich zahlen sie ihre Kredite aus und verschwinden mit einem positiven Gewinn.

Obwohl dieser Prozess komplexer ist, geschieht er passiv. Erweiterte Algorithmen, die auf Betrugstechniken trainiert sind, können in Echtzeit reagieren. Sie wissen, wann sie einen Kauf tätigen, eine Kreditkarten-Schuld begleichen oder ein Darlehen aufnehmen sollen, wie ein Mensch, was ihnen hilft, der Entdeckung zu entgehen.

Was Banken tun können, um sich gegen diese AI-Betrügereien zu verteidigen

Verbraucher können sich selbst schützen, indem sie komplexe Passwörter erstellen und vorsichtig sind, wenn sie persönliche oder Kontoinformationen teilen. Banken sollten jedoch noch mehr tun, um sich gegen AI-bezogenen Betrug zu verteidigen, da sie für die Sicherung und Verwaltung von Konten verantwortlich sind.

1. Verwenden Sie Multifaktor-Authentifizierungstools

Da Deepfakes die biometrische Sicherheit kompromittiert haben, sollten Banken auf Multifaktor-Authentifizierung zurückgreifen. Selbst wenn ein Betrüger erfolgreich die Anmeldeinformationen eines Benutzers stiehlt, kann er keinen Zugang erhalten.

Finanzinstitute sollten Kunden sagen, dass sie ihren MFA-Code niemals teilen sollten. AI ist ein leistungsfähiges Tool für Cyberkriminelle, aber es kann nicht zuverlässig sichere Einmalpasscodes umgehen. Phishing ist eine der wenigen Möglichkeiten, wie es versuchen kann, dies zu tun.

2. Verbessern Sie die Know-Your-Customer-Standards

KYC ist ein Finanzdienstleistungsstandard, der von Banken verlangt, die Identität, Risikoprofile und Finanzunterlagen ihrer Kunden zu überprüfen. Obwohl Dienstleister, die in rechtlichen Grauzonen operieren, nicht technisch an KYC gebunden sind – neue Regeln, die DeFi betreffen, werden nicht vor 2027 in Kraft treten – ist es eine branchenweite Best Practice.

Synthetische Identitäten mit jahrelanger, legitimer, sorgfältig kultivierter Transaktionsgeschichte sind überzeugend, aber fehleranfällig. Zum Beispiel kann einfaches Prompt-Engineering eine generative Modell dazu zwingen, ihre wahre Natur preiszugeben. Banken sollten diese Techniken in ihre Strategien integrieren.

3. Verwenden Sie erweiterte Verhaltensanalytik

Eine Best Practice beim Kampf gegen AI ist, mit gleicher Münze zurückzuzahlen. Verhaltensanalytik, die von einem Machine-Learning-System angetrieben wird, kann eine enorme Menge an Daten von Zehntausenden von Menschen gleichzeitig sammeln. Es kann alles verfolgen, von Mausbewegungen bis hin zu Zeitstempeln für Zugriffsprotokolle. Eine plötzliche Änderung weist auf eine Kontoumgehung hin.

Erweiterte Modelle können das Kauf- oder Kreditverhalten einer Person nachahmen, wenn sie genügend historische Daten haben, aber sie werden nicht wissen, wie sie Scrollgeschwindigkeit, Wischmuster oder Mausbewegungen nachahmen können, was den Banken einen subtilen Vorteil gibt.

4. Führen Sie umfassende Risikobewertungen durch

Banken sollten während der Kontovergabe Risikobewertungen durchführen, um neuen Kontobetrug zu verhindern und Geldwäsche zu verhindern. Sie können damit beginnen, Ungereimtheiten in Name, Adresse und Sozialversicherungsnummer zu suchen.

Obwohl synthetische Identitäten überzeugend sind, sind sie nicht fehlerfrei. Eine gründliche Suche in öffentlichen Aufzeichnungen und sozialen Medien würde zeigen, dass sie erst kürzlich entstanden sind. Ein Profi könnte sie gegebenenfalls entfernen, was Geldwäsche und Finanzbetrug verhindern würde.

Eine vorübergehende Blockierung oder Übertragungsgrenze, die der Verifizierung vorausgeht, könnte verhindern, dass schlechte Schauspieler Konten en masse erstellen und abwerfen. Obwohl dies den Prozess für echte Benutzer weniger intuitiv machen kann, könnte es Verbrauchern langfristig Tausende oder sogar Zehntausende von Dollar sparen.

Schutz der Kunden vor AI-Betrug und -Betrug

AI stellt ein ernstes Problem für Banken und Fintech-Unternehmen dar, da schlechte Schauspieler keine Experten oder sogar technisch versiert sein müssen, um komplexe Betrügereien durchzuführen. Darüber hinaus müssen sie kein spezielles Modell erstellen. Stattdessen können sie ein allgemeines Modell knacken. Da diese Tools so zugänglich sind, müssen Banken proaktiv und gewissenhaft sein.