Vordenker

Next-Gen Phishing: Der Aufstieg von AI-Vishing-Scams

mm
Published
Updated

Im Bereich der Cybersicherheit können die Online-Bedrohungen durch künstliche Intelligenz (KI) sehr konkrete Auswirkungen auf Einzelpersonen und Organisationen weltweit haben. Traditionelle Phishing-Scams haben sich durch den Missbrauch von KI-Tools weiterentwickelt und werden mit jedem Jahr häufiger, komplexer und schwieriger zu erkennen. AI-Vishing ist vielleicht die besorgniserregendste dieser sich entwickelnden Techniken.

Was ist AI-Vishing?

AI-Vishing ist eine Weiterentwicklung von Voice-Phishing (Vishing), bei dem Angreifer vertrauenswürdige Personen wie Bankvertreter oder Technik-Support-Teams nachahmen, um Opfer dazu zu bringen, Aktionen wie die Überweisung von Geld oder die Gewährung des Zugriffs auf ihre Konten auszuführen.

KI verbessert Vishing-Scams mit Technologien wie Voice-Cloning und Deepfakes, die die Stimmen von vertrauenswürdigen Personen nachahmen. Angreifer können KI nutzen, um Telefonanrufe und Gespräche zu automatisieren und so eine große Anzahl von Menschen in relativ kurzer Zeit zu attackieren.

AI-Vishing in der realen Welt

Angreifer verwenden AI-Vishing-Techniken unabhängig davon, ob sie Einzelpersonen oder Unternehmen attackieren. Diese Angriffe haben sich als außergewöhnlich effektiv erwiesen, und die Anzahl der Amerikaner, die Geld durch Vishing verloren haben, ist von 2023 bis 2024 um 23% gestiegen. Um dies in den Kontext zu setzen, werden wir einige der bekanntesten AI-Vishing-Angriffe der letzten Jahre untersuchen.

Italienischer Geschäfts-Betrug

Anfang 2025 nutzten Betrüger KI, um die Stimme des italienischen Verteidigungsministers, Guido Crosetto, nachzuahmen, um einige der bekanntesten italienischen Geschäftsleiter, einschließlich des Modeschöpfers Giorgio Armani und des Mitgründers von Prada, Patrizio Bertelli, zu betrügen.

Als Crosetto getarnt, behaupteten die Angreifer, dringend finanzielle Unterstützung für die Freilassung eines entführten italienischen Journalisten im Nahen Osten zu benötigen. Nur eines der Ziele fiel auf den Betrug herein – Massimo Moratti, ehemaliger Besitzer von Inter Mailand – und die Polizei konnte die gestohlenen Gelder zurückgewinnen.

Hotels und Reiseunternehmen unter Belagerung

Laut dem Wall Street Journal gab es im letzten Quartal 2024 einen deutlichen Anstieg von AI-Vishing-Angriffen auf die Hotellerie und die Reisebranche. Angreifer nutzten KI, um sich als Reiseveranstalter und Unternehmensleiter auszugeben, um Hotelmitarbeiter dazu zu bringen, sensible Informationen preiszugeben oder unbefugten Zugriff auf Systeme zu gewähren.

Sie taten dies, indem sie die Kundenberater während der Spitzenzeiten aufforderten, eine E-Mail oder einen Browser mit einer schädlichen Anlage zu öffnen. Aufgrund der bemerkenswerten Fähigkeit, Partner, die mit dem Hotel zusammenarbeiten, durch KI-Tools nachzuahmen, wurden Telefonbetrügereien als “ständige Bedrohung” angesehen.

Romance-Betrug

Im Jahr 2023 nutzten Angreifer KI, um die Stimmen von Familienmitgliedern in Not zu imitieren und ältere Menschen um etwa 200.000 Dollar zu betrügen. Anrufe sind schwer zu erkennen, besonders für ältere Menschen, aber wenn die Stimme am anderen Ende der Leitung genau wie die eines Familienmitglieds klingt, sind sie fast unerkennbar. Es ist erwähnenswert, dass dieser Vorfall vor zwei Jahren stattfand – die KI-Stimmenklon-Technologie ist seitdem noch fortschrittlicher geworden.

AI-Vishing-as-a-Service

AI-Vishing-as-a-Service (VaaS) hat in den letzten Jahren maßgeblich zum Wachstum von AI-Vishing beigetragen. Diese Abonnements können Spoofing-Funktionen, benutzerdefinierte Prompts und anpassbare Agenten umfassen, die es böswilligen Akteuren ermöglichen, AI-Vishing-Angriffe im großen Maßstab zu starten.

Bei Fortra haben wir PlugValley verfolgt, einen der Hauptakteure im AI-Vishing-as-a-Service-Markt. Diese Bemühungen haben uns Einblicke in die Bedrohungsgruppe und, vielleicht noch wichtiger, gezeigt, wie fortschrittlich und komplex Vishing-Angriffe geworden sind.

PlugValley: AI-VaaS entlarvt

Der Vishing-Bot von PlugValley ermöglicht es Bedrohungsakteuren, lebensechte, anpassbare Stimmen zu deployen, um potenzielle Opfer zu manipulieren. Der Bot kann in Echtzeit anpassen, menschliche Sprachmuster nachahmen, Anrufer-IDs spoofen und sogar Callcenter-Hintergrundgeräusche zu Sprachanrufen hinzufügen. Er macht AI-Vishing-Betrügereien so überzeugend wie möglich und hilft Cyberkriminellen, Bankdaten und Einmalpasswörter (OTPs) zu stehlen.

PlugValley entfernt technische Barrieren für Cyberkriminelle und bietet skalierbare Betrugs-Technologie bei einem monatlichen Abonnement für einen nominalen Betrag.

AI-VaaS-Anbieter wie PlugValley betreiben nicht nur Betrügereien, sondern industrialisieren Phishing. Sie stellen die neueste Evolution der sozialen Manipulation dar und ermöglichen es Cyberkriminellen, Machine-Learning-Tools (ML) zu nutzen und Menschen auf massive Weise auszunutzen.

Schutz vor AI-Vishing

KI-getriebene soziale Manipulationstechniken wie AI-Vishing werden in den kommenden Jahren häufiger, effektiver und komplexer werden. Daher ist es wichtig, dass Organisationen proaktive Strategien wie Mitarbeiterschulungen, verbesserte Betrugs-Erkennungssysteme und Echtzeit-Bedrohungs-Intelligence umsetzen.

Auf individueller Ebene kann die folgende Anleitung helfen, AI-Vishing-Versuche zu erkennen und zu vermeiden:

  • Seien Sie misstrauisch gegenüber unerwarteten Anrufen: Seien Sie vorsichtig bei unerwarteten Telefonanrufen, besonders wenn sie persönliche oder finanzielle Informationen anfordern. Legitime Organisationen fordern in der Regel keine sensiblen Informationen am Telefon an. ​
  • Überprüfen Sie die Identität des Anrufers: Wenn ein Anrufer behauptet, eine bekannte Organisation zu vertreten, überprüfen Sie seine Identität, indem Sie die Organisation direkt unter offiziellen Kontaktinformationen kontaktieren. ​WIRED schlägt vor, ein geheimes Passwort mit Ihrer Familie zu erstellen, um Vishing-Angriffe zu erkennen, die vorgeben, von einem Familienmitglied zu stammen.
  • Begrenzen Sie die Weitergabe von Informationen: Vermeiden Sie es, persönliche oder finanzielle Informationen während unerwarteter Anrufe preiszugeben. Seien Sie besonders vorsichtig, wenn der Anrufer einen Zustand der Dringlichkeit erzeugt oder negative Konsequenzen droht. ​
  • Bilden Sie sich und andere: Bleiben Sie über gängige Vishing-Taktiken informiert und teilen Sie diese Kenntnisse mit Freunden und Familie. Bewusstsein ist eine entscheidende Verteidigung gegen soziale Manipulation.
  • Melden Sie verdächtige Anrufe: Informieren Sie die zuständigen Behörden oder Verbraucherschutzagenturen über Vishing-Versuche. Die Meldung hilft, betrügerische Aktivitäten zu verfolgen und zu mindern.

Nach allen Anzeichen wird AI-Vishing bleiben. Tatsächlich wird es wahrscheinlich weiter zunehmen und in der Ausführung verbessern. Mit der Verbreitung von Deepfakes und der leichten Kampagnenadoption durch as-a-Service-Modelle sollten Organisationen erwarten, dass sie irgendwann mit einem Angriff konfrontiert werden.

Mitarbeiter-Schulungen und Betrugs-Erkennung sind der Schlüssel, um sich auf AI-Vishing-Angriffe vorzubereiten und sie zu verhindern. Die Komplexität von AI-Vishing kann sogar gut ausgebildete Sicherheitsfachleute dazu bringen, scheinbar authentische Anfragen oder Erzählungen zu glauben. Deshalb ist eine umfassende, schichtweise Sicherheitsstrategie, die technologische Sicherheitsvorkehrungen mit einem gut informierten und wachsamem Mitarbeiterstamm verbindet, unerlässlich, um die Risiken zu mindern, die durch AI-Phishing entstehen.

mm

Alexis Ober ist eine Threat-Intelligence-Analystin bei dem globalen Anbieter von Cybersicherheitssoftware und -dienstleistungen Fortra, bringt umfangreiche Erfahrung in Betrugsuntersuchungen und Rechercheanalysen mit. Sie hat eine starke Erfahrung in der Identifizierung von Betrug, Verschwendung und Missbrauch im Gesundheitssektor, nachdem sie in Regierungs- und privaten Organisationen gearbeitet hat.