KI-Phishing: Neue Bedrohungen für Finanzinstitute und Händler

Phishing gibt es im Prinzip, seit es Online-Banking gibt. Für viele von uns gehört es seit Jahren zum Alltag. Es ist eine der häufigsten Formen des Internetbetrugs, bei der Kriminelle versuchen, sensible Informationen wie Passwörter oder Kreditkartendaten zu stehlen. Doch war es früher so, dass man Phishing-Versuche mit etwas Vorsicht und Sachverstand meist auf den allerersten Blick erkennen und enttarnen konnte, ist das heute nicht mehr ganz so einfach. Erst kürzlich wurden die ansteigenden Zahlen von Betrugsfällen bei Banken und Kreditkartenherausgebern bei der Finanz-Szene in einem Artikel ausgiebig thematisiert. Mit dem Aufkommen der Künstlichen Intelligenz (KI) haben diese Angriffe an Raffinesse gewonnen. Dieser Artikel beleuchtet aktuelle Phishing-Methoden und zeigt, wie KI die Fähigkeiten von Betrügern verbessert hat und wohl in Zukunft weiter verbessern wird.

Was ist Phishing?

Phishing umfasst verschiedene Techniken, mit denen Betrüger versuchen, Opfer zur Preisgabe sensibler Informationen zu verleiten. Dies geschieht häufig über gefälschte E-Mails, Websites oder Nachrichten (SMS, WhatsApp, etc.), die versuchen legitime Unternehmen nachahmen.

KI-gestützte Phishing-Angriffe
Dank KI und maschinellem Lernen haben Phishing-Angriffe an Komplexität und Effizienz gewonnen. Hier sind einige Beispiele, wie KI in diesen Angriffen eingesetzt wird:

1. Deepfake-Technologie
Betrüger verwenden Deepfake-Technologie, um überzeugende Videos oder Sprachnachrichten zu erstellen, die von CEOs oder anderen Führungskräften stammen sollen. Diese können verwendet werden, um Mitarbeiter zu täuschen und sie dazu zu bringen, vertrauliche Informationen preiszugeben oder Überweisungen zu tätigen.

2. Automatisierte E-Mail-Phishing-Kampagnen
KI-Algorithmen können große Mengen an Daten analysieren und personalisierte Phishing-E-Mails erstellen, die auf den individuellen Empfänger zugeschnitten sind. Diese E-Mails enthalten oft persönliche Informationen, die das Vertrauen des Empfängers gewinnen sollen. Große Datenlecks in der Vergangenheit (z.B. bei Facebook) machen es Kriminellen leicht Menschen persönlich anzusprechen und Vertrauen zu schaffen (z.B. durch Ansprache mit dem richtigen Namen oder Kenntnis der Telefonnummer).

3. Voice Phishing (Vishing)
Mithilfe von KI-generierten Stimmen können Betrüger täuschend echt klingende Anrufe tätigen. Diese Anrufe können von Banken oder anderen vertrauenswürdigen Institutionen zu stammen scheinen und den Empfänger dazu bringen, sensible Daten preiszugeben.

Aktuelle Phishing-Beispiele:

Hier sind einige aktuelle Phishing-Versuche, die zeigen, wie raffiniert diese Angriffe geworden sind:
Die Phishing-Versuche tarnen sich als SMS von vertrauenswürdigen Paket-Dienstleistern und verlangen Zahlungen, um Pakete zuzustellen, drohen mit Abschaltung der Netflix oder Amazon Konten, weil angeblich Karten abgelaufen seien oder der Klassiker: die TAN-App läuft angeblich in Kürze ab und man müsse bitte dringend seine Daten eingeben. Raffinierter wird es mit aufwendig gestalteten Gewinnspielen, die im Design von bekannten Lebensmittel-Marken daherkommen (wirklich auffällig daran ist nur, dass man quasi zeitgleich das identische „Gewinnspiel“ von Rewe, EDEKA und Lidl zugestellt bekommt). Noch raffinierter gehen einige Kandidaten vor, die versuchen eine soziale Bindung vorzutäuschen („Hier ist Papa, ich habe eine neue Nummer“) und darüber versuchen an vertrauliche Daten zu gelangen.

Hier nur einige persönliche Beispiele aus der näheren Vergangenheit:

Was auffällt ist, dass vor allem die Qualität der Texte in der letzten Zeit deutlich besser geworden ist. Vermutlich unterstützt durch KI können nun auch Kriminelle z.B. aus Russland und Nordkorea selbstverständlich perfektes Deutsch schreiben und vertrauenserweckende und realitätsnahe Texte verfassen. Vor allem aber auch im Bereich von Grafik-Design hat sich vieles getan. So ist es heute für Kriminelle kein Problem mehr ganze Webseiten mit aufwändigem Design wie z.B. echte Sparkassen-Websites oder ähnliches aussehen zu lassen. Auf Youtube finden sich mit wenigen Klicks Anleitungen für KI Tools die einzig auf Basis eines kleinen Prompt-Textes komplette hochwertige Webseiten inklusive Grafiken und Texten erstellen können. Einzig die URLs verraten die Kriminellen oft noch recht leicht. Doch auch hier wird man immer erfinderischer und verwendet immer häufiger sehr realistisch klingende URL-Namen oder versteckt URLs hinter URL-Kürzungsdiensten (z.B. bit.ly) und macht es den Empfängern dadurch schwerer den Betrug sofort zu erkennen.

Vor kurzem hatte ich in der näheren Verwandtschaft die Möglichkeit, eine besonders ausgefeilte Betrugsmasche aus der Nähe zu erleben. Ursprung des Ärgers war ein aufwändig produzierter Online-Shop, der über eine Werbung auf Instagram erreicht wurde und Sneaker zu einem verdächtig guten Preis bewarb. Auffällig war dann vor allem das Ausbleiben einer Bestellbestätigung oder allgemein irgendein weiterer Kontakt durch den Shop. Die Zahlung erfolgte glücklicherweise per Kreditkarte und konnte somit via Charge-Back mit etwas bürokratischem Aufwand relativ schnell zurückgeholt werden, auch wenn sich die betreffende Bank zunächst kurz weigerte. Interessant an diesem Fall ist, dass die Betrüger hier einen großen Aufwand auf sich genommen haben einen sehr echt aussehenden Store zu betreiben und scheinbar auch erfolgreich einen Akzeptanzvertrag hierfür abgeschlossen haben. Je nachdem wie viel Umsatz hier getätigt werden konnte, bevor der Akzeptanzvertrag gesperrt wurde, ist hier vermutlich ein nicht unerheblicher Schaden für den betroffenen Acquirer entstanden. Nicht wenige Kunden werden aber vermutlich auch gar nichts von ihren Rechten wissen und so den Schaden auf sich sitzen lassen. Der Betrug als solcher war übrigens relativ schnell als Betrug erkennbar in dem man nach dem Shop gegoogled hat und dann auf eine Seite der Verbraucherzentrale gestoßen ist, die diesen explizit als Betrug gekennzeichnet hat.

Wie gezielt und umfangreich Täter inzwischen vorgehen, wurde kürzlich in einem eindrucksvollen Fall aufgezeigt, als eine Finanzkolumnistin durch einen ausgeklügelten Betrug 50.000 Dollar verlor. Dieser Vorfall verdeutlicht, wie raffiniert und effektiv moderne Phishing-Angriffe sein können, selbst bei erfahrenen Fachleuten. Der Artikel auf SPIEGEL Online beschreibt detailliert, wie der Betrug ablief und welche Lehren daraus gezogen werden können. Es wird klar, dass Finanzinstitute und Händler wachsam bleiben und fortschrittliche Sicherheitsmaßnahmen implementieren müssen, um sich gegen solche Bedrohungen zu schützen.

Schutzmaßnahmen

Um sich vor diesen ausgeklügelten Phishing-Angriffen zu schützen, sollten folgende Maßnahmen ergriffen werden:

• Bildung und Schulung
  Sensibilisieren Sie sich und Ihre Mitarbeiter für die Gefahren von Phishing und wie man verdächtige Nachrichten erkennt.
• Mehrfaktor-Authentifizierung (MFA)
  Nutzen Sie MFA, um ein zusätzliches Sicherheitselement zu Ihren Konten hinzuzufügen.
• Regelmäßige Software-Updates
  Stellen Sie sicher, dass Ihre Software und Sicherheitssysteme stets auf dem neuesten Stand sind, um Sicherheitslücken zu schließen.
• Verwendung von Anti-Phishing-Tools
  Implementieren Sie Anti-Phishing-Software und -Dienste, die E-Mails und Websites auf Phishing-Inhalte scannen.
• Informieren, wenn man unsicher ist
  Kommt einem etwas komisch vor oder man ist skeptisch, sollte man das Thema (z.B. den Shop, die Nachricht, etc.) unbedingt googlen. Handelt es sich tatsächlich um einen Betrug, findet man in der Regel schnell Menschen, die ebenfalls betroffen sind oder waren und hiervor warnen oder auch z.B. öffentliche Informationen von Verbraucherzentralen

Wettlauf zwischen Kartenanbietern und Betrügern

Kreditkartenunternehmen und Betrüger befinden sich in einem ständigen Wettlauf, bei dem jede Seite versucht, der anderen einen Schritt voraus zu sein. Während Kreditkartenanbieter wie Visa und Mastercard ständig neue Sicherheitsprotokolle und -technologien einführen, passen sich Betrüger schnell an und entwickeln neue Methoden, um diese zu umgehen. Zu den jüngsten Entwicklungen gehören:

• Verstärkte Nutzung von KI
  Sowohl für die Erkennung von Betrug als auch für die Durchführung von Angriffen wird KI immer wichtiger. Kreditkartenanbieter investieren stark in KI-Technologien, um verdächtige Aktivitäten in Echtzeit zu erkennen und zu blockieren.
• Stärkere Regulierung
  Regulierungsbehörden weltweit erhöhen den Druck auf Finanzinstitute, robuste Sicherheitsmaßnahmen zu implementieren, um den wachsenden Herausforderungen im Betrugsumfeld gerecht zu werden. Auch die Kartenschemes intensivieren stetig ihre Bemühungen Betrug einzudämmen und fordern z.B. mit dem neuen PCI DSS 4.0 Standard immer mehr und regelmäßige Schutzmaßnahmen von Händlern ein.

Wie groß der Druck für kreative Lösungen ist, zeigt eine kürzlich veröffentlichte Kooperation zwischen Capital One, Adyen und Stripe, die vereinfacht ihre Betrugsüberwachungsdaten über eine Open Source API miteinander teilen, um gegenseitig von den Informationen des anderen zu profitieren und beidseitig besser gegen Betrug geschützt zu sein.

Was Payment-Anbieter und Schemes tun können und müssen

Payment Service Provider, Banken, Acquirer und auch die Schemes sind seit eh und je in einem ewigen Wettlauf mit der „dunklen Seite der Macht“, um neue Produkte sicher(er) zu gestalten und jede neue aufkommende Angriffsform frühzeitig zu erkennen und möglichst zu unterbinden. Die Vorschau auf die Payment Service Directive 3 (PSD 3) verrät bereits, dass die EU die Anbieterseite weiter unter Druck setzen wird, mehr Verantwortung zu übernehmen und in mehr Fällen die Haftung für unabsichtliches Fehlverhalten von Kunden zu tragen. Man darf also erwarten, dass dies zu noch mehr Druck bei den Anbietern führen wird sichere Mechanismen zu gestalten, die typischerweise zu Lasten der Convenience der Nutzer gehen wird. Auch die Anbieter-Seite wird stark darauf setzen KI-Mechanismen stärker einzusetzen, um die Kunden und ihre User Experience so wenig wie möglich durch extra und kompliziertere Challenges zu belasten. Wie wir bereits in unserer Studie aufgezeigt haben, wird die Zukunft des Bezahlens vor allem ein Spannungsfeld zwischen Convenience und Sicherheit sein. Bezahlprozesse werden für Kunden idealerweise immer nahtloser, unsichtbarer und am besten sicherer. Gleichzeitig steigen aber damit auch die Betrugs- und Missbrauchsrisiken, die durch entsprechend starke Sicherheitsmechanismen im Zaun gehalten werden müssen.

Die Nutzung von KI durch Kriminelle hat Phishing-Angriffe raffinierter und gefährlicher gemacht. Es ist entscheidend, dass Einzelpersonen und Unternehmen wachsam bleiben und geeignete Schutzmaßnahmen ergreifen, um sich vor diesen Bedrohungen zu schützen. Durch Bildung, technische Lösungen und Wachsamkeit können wir die Risiken minimieren und unsere digitalen Identitäten schützen.