Wenn den eigenen Augen nicht getraut werden kann

Klaus Joachim Gährs, Senior Account Manager bei BioCatch, schreibt über Deep Fakes als Bedrohungspotenzial aber auch über Lösungen, dieser Herausforderung zu begegnen.

„Je ungewöhnlicher eine Sitzung bei einem Konto verläuft, desto wahrscheinlicher ist es, dass es sich um Betrug handelt. Das lässt sich automatisiert messen und auswerten. Dies ist eine Möglichkeit, Deep Fakes beizukommen“, erläutert Klaus Joachmin Gährs.

Ende Juni machte die Videoschalte zwischen der Berliner Oberbürgermeisterin Franziska Giffey und einem vermeintlichen Vitali Klitschko Schlagzeilen. Der Grund: Der Gesprächspartner der deutschen Politikerin sah zwar aus wie der Bürgermeister von Kiew, war es aber nicht. Schnell wurde die Vermutung publik, dass es sich hierbei um einen Deepfake handelt, also eine Videomanipulation mithilfe von KI (Künstlicher Intelligenz). Die Vermutung erwies sich aber als falsch, denn bei der Fälschung handelte es sich nur um einen einfachen „Shallowfake“, der technisch weit weniger anspruchsvoll ist.

Dennoch zeigt der Vorfall deutlich, dass von manipulierten Ton- und Videoaufnahmen – Deepfake oder nicht – eine hohe Gefahr ausgeht und die Konsequenzen nicht zu unterschätzen sind. Laut einem Bericht von Europol stellen Deepfakes eine der besorgniserregendsten Entwicklungen dar, wenn es um den Einsatz von künstlicher Intelligenz durch Cyberkriminelle geht. Dies gilt ganz besonders für die Geschäftswelt. Dort kann die Technologie in den falschen Händen einen hohen finanziellen Schaden anrichten.

Authorized-Push-Payment und CEO-Betrug

In der Vergangenheit tauchten immer wieder Meldungen darüber auf, dass Betrüger Deepfake Voice benutzt haben, um beispielsweise die Stimme eines Vorgesetzten in Echtzeit nachzuahmen. So gelang es Betrügern bei einer deutsch-britischen Firma, einen Geschäftsführer zu überzeugen, 220.000 Euro auf ein Konto zu überweisen. Dazu mussten sie sich nur mithilfe dieser Technologie als Chef der deutschen Muttergesellschaft ausgeben.

Die Vorgehensweise der Kriminellen ist dabei ähnlich wie bei einem APP-Betrug (Authorized-Push-Payment) beziehungsweise einem CEO-Fraud in Echtzeit. Beide Betrugsversionen zählen zu den sogenannten Social-Engineering-Attacken. Und diese Angriffsmethoden zielen auf den Menschen als schwächstes Glied in der IT-Sicherheitskette: Die Kriminellen geben sich am Telefon als Geschäftsführer aus und überzeugen so ihr Opfer, einen bestimmten Betrag auf ein Konto zu überweisen. Die genutzten personenbezogenen Daten kaufen die Cyberbetrüger oftmals im Dark Web oder stehlen sie aus den öffentlichen Kanälen der sozialen Medien. So wirken sie auf den Angerufenen glaubwürdig und können ihn manipulieren, eine autorisierte Überweisung auszulösen. Ton- und Videoausschnitte lassen sich ebenso oft von Social-Media-Kanälen und durch Deepfake oder andere Methoden fälschen. Der Druck, der gegenüber dem Mitarbeiter aufgebaut wird, ist immens, wenn der leitende Angestellte oder der CEO eines Unternehmens telefonisch zur Überweisung auffordert. So wird oft nicht hinterfragt, ob die tatsächlichen Sicherheitsprozesse eines Unternehmens für eine Transaktion eingehalten werden.

Da ein echter Mitarbeiter die Überweisung auslöst, können die Cyberkriminellen die Sicherheitsprozesse der Bank umgehen und sich unbefugt Zutritt zu den Kundenkonten verschaffen. Diese Art von Betrug zu erkennen, ist schwierig, da die Betrüger nicht direkt mit einer Bankplattform interagieren, sondern den Mitarbeiter dazu bringen, eine Zahlung zu tätigen. Der Benutzer meldet sich während dieses Vorgangs vom eigenen Gerät und von einem gültigen Standort an, weswegen bei der Bank oft zu spät Verdacht geschöpft wird. Auch die Multi-Faktor-Authentifizierung (MFA) lässt sich so umgehen.

Betrugserkennung in Echtzeit

Das Problem bei Social-Engineering-Attacken in Echtzeit ist, dass herkömmliche Kontrollen wie etwa die Identifizierung des Endgeräts, der IP und des Standortes nicht mehr ausreichen. Selbst Out-of-Band-Methoden wie das Versenden eines Einmal-Passwortes (OTP) per SMS bieten keinen Schutz, da die Transaktionen durch legitime Nutzer mit einem legitimen Endgerät stattfinden. Auf diese Weise ist der Zugriff auf das OTP keine Hürde.

Hinzu kommt, dass Social-Engineering-Attacken im Vergleich zu anderen Cyberattacken relativ einfach auszuführen und lukrativ für die Kriminellen sind. Laut Daten von BioCatch ist die Zahl solcher Angriffe in den letzten Jahren deutlich gestiegen. Bisher sind sie im Jahr 2022 sogar deutlich auf dem Vormarsch. Schätzungen zufolge verlieren Opfer von APP-Betrügereien durchschnittlich 28.000 Pfund pro Stunde. Sind die Gelder erst einmal überwiesen, ist es sehr schwierig, diese zurückzubekommen. Weniger als die Hälfte der APP-Opfer werden nachher finanziell entschädigt, da sie die Zahlung selbst ausgelöst haben.

Abhilfe können Technologien auf Basis von Verhaltensbiometrie schaffen, mit denen sich die Identität von Personen während der gesamten Abwicklung ihrer Bankgeschäfte verifizieren lässt. Diese Technologie basiert auf KI und ML (Machine Learning) und analysiert das digitale physische sowie kognitive Verhalten eines Nutzers. So kann sie mit hoher Wahrscheinlichkeit zwischen Aktivitäten von legitimen Kunden und Cyberkriminellen unterscheiden – auch wenn der Kunde nur unter dem Einfluss des Kriminellen steht. Über datenbasierte Erkenntnisse lassen sich dabei „echte“ von „betrügerischen“ Verhaltensmustern unterscheiden. Und mithilfe von Risikomodellen lassen sich so eine Vielzahl von Bedrohungen in Echtzeit erkennen und rechtzeitig stoppen. Denn das Verhaltensmuster eines echten Nutzers unterscheidet sich während der Transaktion, wenn die Person unter dem Einfluss eines Cyberkriminellen steht.

Auffällige Muster

Dauert beispielsweise eine Kontositzung länger als gewöhnlich, kann dies ein Indikator für einen Nutzer sein, der von Cyberkriminellen manipuliert wird. Hinzu kommen oft ziellose Mausbewegungen, die darauf hindeuten, dass die Person nervös ist oder unter Druck steht, während sie auf Anweisungen ihres Gesprächspartners wartet. Auch das Tippverhalten weist bei einem APP-Betrug häufig Unregelmäßigkeiten auf. Segmentierte Tastaturanschläge zeigen etwa, dass es sich hierbei um keine routinierte Eingabe handelt und die Kontonummer von einem Cyberkriminellen vorgelesen werden könnte. Die benötigte Zeit für einfache, intuitive Aktionen wie das Bestätigen einer Angabe steigt solchen Fällen außerdem signifikant an. Und auch bei der Nutzung eines Smartphones lassen sich üblicherweise veränderte Bewegungsmuster feststellen – beispielsweise ändert sich die Ausrichtung des Endgerätes häufig. Das liegt daran, dass der eingeloggte Nutzer das Smartphone immer wieder ablegt oder aufnimmt, um die Anweisungen des Kriminellen entgegenzunehmen.

Je mehr unübliche Verhaltensmuster in Kombination ein Nutzer während einer Kontositzung zeigt, desto höher wird der Alarmscore bei der Bank. Die Sicherheitsspezialisten können dadurch rechtzeitig eingreifen, den Kunden warnen oder die Transaktion stoppen. So lassen sich erhebliche finanzielle Verluste vermeiden.

Die Spitze des Eisbergs

Die Betrugsmethoden der Cyberkriminellen entwickeln sich immer weiter. Auch wenn die Versuche über Deepfakes noch spärlich eingesetzt werden und der Einsatz der Technologie mit viel Aufwand verbunden ist, sind die gemeldeten Fälle laut Einschätzungen von BioCatch nur die Spitze des Eisbergs. Damit sich Unternehmen und auch Bankkunden vor den finanziellen Schäden schützen können, ist es unabdingbar, den Betrug in dem Moment zu erkennen, wenn er stattfindet. Security-Maßnahmen über Verhaltensbiometrie verringern das Sicherheitsrisiko enorm.


Creative Commons Lizenz CC BY-ND 4.0

Sie dürfen:

Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.

Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.


Unter folgenden Bedingungen:

Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.

Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.