Bei diesem Betrugsfall verschwimmen die Grenzen zwischen Realität und Fiktion: Denn die Cyberkriminellen nutzen die neuesten Technologien, um ihre Opfer zu überrumpeln. Ein solcher Fall wurde jetzt dem Bundesamt für Cybersicherheit (Bacs) gemeldet. Es ist der erste Fall dieser Art in der Schweiz.
In dem filmreifen Szenario wurde ein Finanzchef eines Schweizer Unternehmens von einem Anwalt telefonisch kontaktiert. Dieser lud ihn zu einer Videokonferenz ein. Die Einladung zu dem überraschenden Treffen erfolgte per E-Mail, zusammen mit den Zugangsdaten. Als der Finanzchef der Einladung folgte und sich einwählte, sah er seinen Chef auf dem Bildschirm und begann ein Gespräch mit ihm.
Kleidung stimmte nicht
Der Videocall war perfekt orchestriert: Während des Gesprächs versuchte der vermeintliche Chef, an die Handynummer des Finanzverantwortlichen zu gelangen, um ihn zur Auslösung von Finanztransaktionen zu überreden. Doch der wurde stutzig. Denn die Kleidung, die sein Gegenüber im Videoanruf trug, entsprach nicht den Gewohnheiten des Chefs, schreibt das Bacs. Im Call hatte der vermeintliche CEO Hemd und Krawatte an. Auch die Stimme klang seltsam.
Denn die findigen Betrüger hatten den Chef kurzerhand mithilfe künstlicher Intelligenz geklont. Das Aussehen und auch die Stimme einer beliebigen Person kann mit Originalaufnahmen nachgebildet werden. Wie genau das sogenannte Deepfake-Video in diesem Fall entstanden ist, ist unklar. Das Bacs geht davon aus, dass öffentlich verfügbares Videomaterial verwendet wurde.
Auch Telefongespräche könnten als Quelle für die Stimmkopie gedient haben. Eine Praxis, die bei Gangstern offenbar immer beliebter zu werden scheint. So schreibt das Bacs, dass in letzter Zeit mehrere Unternehmen gemeldet haben, dass Unbekannte telefonisch Informationen über das Unternehmen eingeholt haben.
Fall hebt sich von Masse ab
Der sogenannte CEO-Fraud ist eine schon länger bekannte Masche. In der Regel geschieht dies per E-Mail. Der aktuelle Fall unterscheide sich jedoch von diesen Massenangriffen, schreibt das Bacs. Allerdings war der gefälschte KI-CEO nicht perfekt. Eine Tatsache, die den Betrug auffliegen liess. Das spektakuläre Beispiel zeigt aber, dass Betrüger keine Skrupel haben, neue Technologien zu nutzen. In einem anderen Fall war der KI-Betrug mit gefälschtem CEO erfolgreich. Im Februar erbeuteten Cyberkriminelle mit einer ähnlichen Masche insgesamt 22 Millionen Franken in Hongkong.
«Wie jede Technologie kann sie einerseits zum Nutzen eingesetzt werden, andererseits aber auch Schaden anrichten», sagt Gisela Kipfer vom Bacs auf Anfrage. So sei es nicht erstaunlich, dass auch Cyberkriminelle künstliche Intelligenz zu ihren Zwecken einsetzen. Aufgrund der gemeldeten Fälle geht das Bacs aber davon aus, dass KI noch nicht systematisch von Cyberkriminellen eingesetzt wird. «Vielmehr handelt es sich immer noch um Versuche, mit denen die Betrüger ausloten, was möglich, respektive gewinnbringend ist», erklärt Kipfer.
So schützt du dich
Das Bacs hat zu diesem Fall Massnahmen veröffentlicht. Der Schutz beginnt bereits vor dem eigentlichen Betrug. Denn um Personen zu klonen, braucht es Vorlagen. Man sollte also genau darauf achten, welche Informationen eines Unternehmens man ins Netz stellt. Ferner gibt das Bacs folgende Tipps zur Prävention.
- Sensibilisiere Mitarbeitende bezüglich CEO-Fraud. Insbesondere die Mitarbeitenden in den Finanzabteilungen und in Schlüsselpositionen sind über diese Angriffsweisen zu informieren. Bei Vereinen sind alle Mitglieder mit Präsidenten- oder Kassierfunktion zu schulen.
- Sensibilisiere Mitarbeitende, dass solche Angriffe mit öffentlich verfügbaren Informationen durchgeführt werden können.
- Beschränke die Informationen über die Mitarbeitenden auf der Website auf das absolut Notwendige. Das gilt speziell für Videos.
- Gib keine internen Informationen preis, weder per E-Mail noch Telefon.
- Sei bei Zahlungsaufforderungen vorsichtig: Komme keinen ungewöhnlichen Zahlungsaufforderungen nach.
- Prozesse, welche den Zahlungsverkehr betreffen, sollten intern klar geregelt sein und von den Mitarbeitenden in allen Fällen eingehalten werden, etwa ein Vier-Augen-Prinzip oder eine Kollektivunterschrift zu zweien.