Im Bereich der künstlichen Intelligenz (KI) hat sich in den letzten Monaten viel getan. Vor allem der seit vergangenem November verfügbare Chatbot ChatGPT von OpenAI sorgt für Aufregung. Das textbasierte Dialogsystem basiert auf maschinellem Lernen und beantwortet Fragen in natürlicher Sprache – weist aber auch ein hohes Bedrohungspotenzial auf.
Das Programm ChatGPT verspricht in vielen Bereichen Vorteile – etwa ein automatisierter Kunden-Support, der Fragen von Endnutzern schnell und effizient beantwortet, schnelle Informationen sowie die vereinfachte Weiterentwicklung von Prototypen zu Konversationsanwendungen. Im Januar 2023 hat Microsoft zudem seine KI „Vall-E“ vorgestellt.
Dieses Sprachsynthesemodell kann menschliche Stimmen imitieren. Dafür reicht eine Aufnahme der Originalstimme von nur drei Sekunden. Die KI simuliert die menschliche Stimme sehr genau und kann sogar emotionale Betonungen des Sprechers nachahmen.
Die Entwickler beider Systeme sind sich allerdings bewusst, dass ihre KI-Modelle nicht nur Vorteile bieten. Mit der zunehmenden Beliebtheit solcher Programme steigt auch das Betrugspotenzial. So können insbesondere Chatbots dazu missbraucht werden, Malware-Angriffe zu starten, Phishing-Versuche weiter zu perfektionieren oder Identitäten zu stehlen. Die Möglichkeiten sind vielfältig. Welche Betrugsszenarien durch den Einsatz von KI-Modellen zukünftig möglich sind, hat BioCatch analysiert.
Phishing und Social Engineering mithilfe von KI
ChatGPT nutzt die Verarbeitung natürlicher Sprache (Natural Language Processing, NLP). Das könnten Cyber-Kriminelle für Phishing- und Social-Engineering-Kampagnen ausnutzen. Es lassen sich beispielsweise E-Mail-Konversationen authentisch nachstellen, ohne dass Grammatik- oder Rechtschreibfehler erkennbar sind.
Dabei sorgt ein natürlicher Sprachfluss für Vertrauen bei den potenziellen Opfern: Der vermeintliche Bankmitarbeiter, der den Kunden per E-Mail auffordert, seine Kontodaten zur Verifizierung anzugeben, wirkt durch die natürliche Sprache authentisch. Auf diese Weise können Betrüger problemlos Daten abgreifen oder komplette Konten übernehmen.
Für Banken sind solche Betrugsformen schwer zu erkennen, weil es sich bei den geschilderten Fällen um „echte“ Kunden handelt, die die Überweisung auslösen. Aber nicht nur die vielfältigen Betrugsszenarien werden durch den Einsatz von KI für Banken und Finanzinstitute zunehmend zum Problem.
Um sich vor solchen Risiken zu schützen, müssen Unternehmen über solide Sicherheitsmaßnahmen verfügen. Dazu gehören vor allem regelmäßige Security-Updates sowie eine Multi-Faktor-Authentifizierung. Darüber hinaus sollten sie zusätzliche Maßnahmen ergreifen, um ihre Chatbots vor böswilligen Akteuren zu schützen.
Eine weitere Herausforderung: Geldwäschebekämpfung
Auch die Bekämpfung der Geldwäsche stellt eine Herausforderung dar und ist oft mit hohen Kosten verbunden. Hier bleibt die erste Überweisung meist unentdeckt. Entweder wird sie vom Überwachungssystem übersehen, oder der „Kunde“ beziehungsweise der AML-Analyst (Anti-Money Laundering) bestätigt die Transaktion als unverdächtig. Denn mithilfe von KI-gestützten Chatbots wie ChatGPT können Geldwäscher Gespräche generieren, die scheinbar legitime Geschäftsaktivitäten zum Gegenstand haben. In Wirklichkeit dienen sie jedoch dazu, Geldtransfers zu verschleiern. Dadurch wird es für Finanzinstitute immer schwieriger, die gängigen Muster von Geldwäscheaktivitäten zu erkennen.
Ein weiteres Problem ist die Rekrutierung ahnungsloser Personen zur Geldwäsche. Viele der Konten werden von arglosen Personen eröffnet, die glauben, einen ertragreichen Nebenjob gefunden zu haben. Dabei wissen die Betroffenen oft nicht, dass sie als Geldwäscher agieren und ihr Konto für kriminelle Aktivitäten nutzen, oder es dafür zur Verfügung stellen. Denn die Betrüger geben sich als legitime Unternehmen aus und versprechen schnelles Geld. Und mit ChatGPT lässt sich die vermeintliche Stellenanzeige und der nachfolgende Rekrutierungsprozess noch überzeugender gestalten.
Verhaltensbiometrie schafft Abhilfe
Verhaltensbiometrie kann eine wichtige Rolle beim Aufdecken von Betrugsversuchen und Geldwäsche spielen. Durch die Analyse des Benutzerverhaltens, etwa der Tippgeschwindigkeit, den Tastenanschlägen und Mausbewegungen kann das normale Verhalten eines Benutzers festgelegt werden.
Anhand davon kann die Software erkennen, ob es sich tatsächlich um den angemeldeten Benutzer handelt, oder um einen Betrüger. Auch viele andere Betrugsversuche lassen sich so erkennen. Auf diese Weise können auch Konten ausfindig gemacht werden, die zu einem späteren Zeitpunkt für Geldwäsche genutzt werden sollen. (rhh)