Das Bundesamt für Cybersicherheit BACS (vormals Nationales Zentrum für Cybersicherheit NCSC) stellt fest: Cyberkriminelle setzen für Pishing- und Betrugsversuche zunehmend Künstliche Intelligenz (KI) ein. Die Kriminellen perfektionieren damit ihre Angriffswaffen wie Phishingmails und Phishingseiten, gefälschte Videos von Prominenten, gefälschte Nacktbilder oder Bilder von heiklen Situationen, gefälschte Stimmen. Lesen Sie Einzelheiten dazu sowie Empfehlungen, wie man nicht in die gestellten Cyberfallen tappt.

Lösung des Sprachproblems der Cyberkriminellen

Die Phishingmails, die uns tagtäglich belästigen, haben bislang meist drei Mängel, mit denen man sie rasch entlarven kann: eine komische Mailadresse des Absenders, einen suspekten Link sowie eine schlechte sprachliche und formale Ausgestaltung der Nachricht. Mittels Künstlicher Intelligenz können die Cyberkriminellen den dritten Mangel elegant ausmerzen. Zwar hat beispielsweise ChatGPT Mechanismen eingebaut, um das Erzeugen von betrügerischen Vorlagen zu verhindern. Aber im Darknet kann problemlos der Zugang zu spezialisierten KI-Sprachmodellen erworben werden. Damit lassen sich tadellos aussehende und sprachlich perfekt formulierte Phishingmails und Phishingseiten erstellen. Zum Glück für uns Phishingmailempfänger: Die komische Mailadresse des Absenders sowie die suspekten Links, die man anklicken soll, lassen sich derzeit mit der Künstlichen Intelligenz noch nicht beseitigen.

Mit Künstlicher Intelligenz gefälschtes Bild- und Videomaterial erstellen

Mit Künstlicher Intelligenz lassen sich problemlos Bilder und Videos erstellen, die nur schwer als Fälschung zu entlarven sind. Das wird von den Cyberkriminellen für ihre Machenschaften eifrig genutzt. Zum Beispiel:

• Bei der Werbung für den Online-Anlagebetrug: Mit dem Gesicht und der Stimme einer bekannten Persönlichkeit wird dem Betrachter suggeriert, dass mit einem kleinen Betrag auf einer Online-Plattform sehr viel Geld verdient werden kann. Durch den Bekanntheitsgrad der Person wird das Vertrauen des Betrachters geweckt. Das Geld wird dabei nicht wirklich investiert, sondern fliesst direkt in die Taschen der Betrüger.
• Bei betrügerischen Give-Away-Aktionen: Eine bekannte Persönlichkeit erzählt in einem konstruierten Video, dass Bitcoin-Zahlungen an eine bestimmte Wallet im Sinne einer Wohltätigkeitsaktion doppelt zurückgezahlt werden. Zahlungen an diese Wallet gehen direkt an die Betrüger. Ergo: Alles, was man an diese digitale Geldbörse schickt, ist verloren. Solche Videos werden auf bekannten Plattformen veröffentlicht und über Social-Media-Kanäle aggressiv bekannt gemacht.
• Bei Sextortion: Mit von Künstlicher Intelligenz erzeugten Nacktbildern wird ein Opfer erpresst, indem gedroht wird, die Bilder zu veröffentlichen. Es ist für einen Betrachter nur schwer auszumachen, dass einzig das Gesicht von dieser Person stammt und der Rest mittels Künstlicher Intelligenz hinzugefügt worden ist. Unter Umständen, wenn entsprechendes Bildmaterial von den Cyberkriminellen in den Sozialen Medien gefunden wird, kann sogar ein vertrauter Raum oder die vertraute Umgebung auf dem Bild erscheinen.

Mit Künstlicher Intelligenz gefälschte Stimmen erstellen

Mit aufgezeichneten Stimmproben einer Zielperson, den «voice samples», die auch über Telefonanrufe gewonnen werden können, lassen sich KI-Modelle dazu bringen, geschriebenen Text oder gesprochene Sprache so zu wiedergeben, dass die Stimme einer Zielperson zum Verwechseln ähnelt. Solche Stimmen werden dann beispielsweise für Schockanrufe verwendet. Dabei ruft ein angeblicher Polizist an und erklärt, dass der Sohn oder die Tochter in einen Unfall verwickelt sei und man eine Kaution bezahlen müsse. Als Beweis und Druckmittel wird eine fabrizierte Aufzeichnung abgespielt, in welcher die Person mit einer für das Opfer erkennbaren Stimme dramatisch um Hilfe bittet.

Dringliche Empfehlungen des Bundesamts für Cybersicherheit BACS

• Man klicke nicht auf Links in E-Mails oder SMS, in welchen man aufgefordert wird, darauf zu klicken
• Man kontrolliere Links, auf welche man klicken will, hinsichtlich der Zieldomäne: Passt der Link zum angeblichen Absender?
• Man gebe nie Passwörter, Codes oder Kreditkartendaten auf einer Seite ein, die man über einen Link in einer E-Mail oder Textnachricht geöffnet hat
• Man hinterfrage Angebote oder Gewinnmöglichkeiten, welche «zu gut, um wahr zu sein» sind
• Bei seltsamen oder verstörenden Anrufen, welche ein Problem eines Familienangehörigen vorgeben, hänge man sofort auf. Dann kontaktiere man den Angehörigen direkt über einen anderen Kanal und im Zweifelsfall auch die Polizei
• Wird man mit kompromittierendem Bildmaterial erpresst, auch wenn man dieses Fotos so nie selbst erstellt hat, kontaktiere man die Polizei. Man breche den Kontakt mit den Betrügern sofort ab und leiste auf keinen Fall eine Zahlung
• Man muss generell vorsichtig sein mit Fotos und Videos von einem selbst oder anderen Personen, die man in den Sozialen Medien für alle sichtbar veröffentlicht.