Blieskastel RHEINPFALZ Plus Artikel Warum durch KI und Darknet jeder Opfer von Betrug werden kann

Der Blieskasteler IT-Experte David Bleyer erklärt, warum Künstliche Intelligenz (KI) die Menge an Betrugsversuchen steigen lässt
Der Blieskasteler IT-Experte David Bleyer erklärt, warum Künstliche Intelligenz (KI) die Menge an Betrugsversuchen steigen lässt.

Betrugsmails, täuschend echt imitierte Stimmen, gefälschte Videos: Betrüger haben es immer leichter, Daten und Geld zu erbeuten. Wie kann man sich schützen?

Die Flut an betrügerischen E-Mails wird größer, deren Qualität besser. Dazu trägt Künstliche Intelligenz bei. Retten kann den Nutzer vor allem der bewusste Umgang mit einer Flut an Angriffen, die sich in den kommenden Jahren vermutlich intensivieren wird. Das gilt übrigens auch für das Verhalten am Telefon, vor gefälschten Videos und täuschend echt imitierten Stimmen, warnt IT-Experte David Bleyer von Bliescon, der in einer Woche erneut eine Veranstaltung zum Thema „Gefahrenbewusstsein im Internet“ in Blieskastel anbietet.

Wie kommt es, dass derzeit elektronische Postfächer mit Spam- und Phishingmails überflutet werden?
Was das betrifft, kann man von einem explodierenden Aufkommen sprechen. Ich würde sagen, dass sich das nahezu verfünffacht hat. Das liegt auch an der politischen Lage. Es wird über verschiedene Methoden versucht, vorgetäuschte Identitäten in Massen zu erzeugen oder man bedient sich im Darknet veröffentlichten Echtdaten als Angriffsziele. In den 90er-Jahren handelte es sich hierbei noch um den Scheich aus Arabien oder den afrikanischen Prinzen, über den man so gerne gelacht hat. Der ein Millionenerbe vergeben wöllte, wenn man vorher 1000 Euro an ihn versendet hatte. Heute werden bei Betrugsversuchen viel geringere Beträge eingefordert. Darauf fallen aber viel mehr Opfer rein. Weil sie wegen der geringen Beträge, die angeblich seriöse Absender einfordern, unvorsichtiger werden.

Was ist denn der Zweck der Häufung dieser Mails?
Betrüger versuchen, in die Breite der Opfer hereinzukommen. Kleinvieh in der Masse macht am Ende auch jede Menge Mist. Mit unterschiedlichen Zielen.

Nennen Sie mir Beispiele.
Zum Beispiel das Kapern von Computersystemen, um sie einem Botnetz hinzuzufügen, das wiederum für weitere, automatisiert stattfindende Straftaten verwendet wird. Oder bei den vielen Fake-Gewinnen geht es um das Abgreifen personenbezogener Daten. Hier will man das Opfer dazu bringen, sich irgendwo anzumelden. Da kommt eine Mail, bei der vorgetäuscht wird, dass eine gewisse Summe oder ein Gegenstand gewonnen wurde. Oder es wird vorgetäuscht, dass man etwas beim ADAC gewonnen habe.

Ein Beispiel für eine Betrugsmail: Besonders oft täuschen Kriminelle derzeit einen Gewinn beim ADAC vor. Doch in der Absenderadr
Ein Beispiel für eine Betrugsmail: Besonders oft täuschen Kriminelle derzeit einen Gewinn beim ADAC vor. Doch in der Absenderadresse stimmt das Wort »Überraschung« nicht. Dazu fehlt die persönliche Anrede im Text. Der Empfänger wird geduzt und gesiezt. All das sind Indikatoren für einen betrügerischen Absender.

Eine Aldi-Geschenkkarte. Oder ein Rituals-Geschenkset bei Douglas. Wenn ich daraufhin meine persönlichen Daten an Phishing-Betrüger übermittele, habe ich mich als reale Person an einer physikalischen Adresse verifiziert. Wenn ich dann durch unverfängliche Fragen noch mehr über mich verrate, wie zum Beispiel das Geburtsdatum oder den Beruf, dann sind die ersten Schritte zum Social Engineering getan.

Was ist das?
Mithilfe des Social Enginieerings versuche ich, mit öffentlich zugänglichen oder erschlichenen Informationen einer Person diese direkt zu schädigen. Oder über diese Person einen Dritten. Das bedeutet, dass ich zum Beispiel mit einem Foto einer Person, deren Daten ich zuvor erschwindelt habe, beispielsweise ein Profil in Social Media erstelle, das ich für betrügerische Absichten benutze. Und jetzt kommt zu allem noch KünstIiche Intelligenz (KI) dazu.

Was ist daran gefährlich?
Es gibt den sogenannten Turing-Test, über den ermittelt wurde, wie sehr sich KI von menschlicher Intelligenz unterscheidet. Im Wege eines Gesprächs. Kurz, ob man noch erkennen kann, ob das Gegenüber ein Computer oder ein Mensch ist. Wir sind aber kurz davor, dass man das eben nicht mehr unterscheiden kann. Man kann sich mittlerweile wirklich mit KI unterhalten. Ich habe das schon ausprobiert.

Wie kann ich eine betrügerische Mail identifizieren?
Indem ich auf die korrekte Anrede mit meinem Namen achte. Fehlt diese, liegt eines von vielen Anzeichen für eine vermutlich betrügerische Mail vor. Man kann auch darauf achten, wie die Mail verfasst ist. Man sollte unbedingt auch den Absender der Mail prüfen. Hat sich in der Absenderadresse etwa irgendwo ein Punkt untergemogelt, der dort nicht hingehört? Oder ein Buchstabe, der so aussieht, wie der, der da hingehört. Spammails bedienen sich zum Beispiel gerne eines kyrillischen Zeichens, das aussieht, wie ein „t“. Oder wie ein „a“. Das gilt übrigens auch für Facebookseiten, Profile und Gewinnspiele.

Auf welche Anhaltspunkte achte ich denn am besten?
Jedes große Unternehmen schreibt seine Kunden heute eigentlich mit dem Namen an. Betrügerische Mails sind hingegen verallgemeinert. Da heißt es: „Sehr geehrter Kunde.“ Meistens enthalten sie noch einen Hyperlink, also einen Direktlink. Das ist bei seriösen Unternehmen eher unüblich. Sie bitten darum, sich beim entsprechenden Kundenkonto anzumelden. Betrügerische Mails strotzen häufig vor Rechtschreibfehlern. Wenn man diese Mails genau liest, stellt man fest, dass darin Worte benutzt werden, die grammatikalisch zwar korrekt sind, die man so an dieser Stelle aber nicht benutzen würde.

Woran liegt das?
Weil diese Mails zum Beispiel oft im Ausland mithilfe des Google-Übersetzers erstellt und nicht mehr von einem Sprachkundigen überprüft werden. Aber auch das wird sich mithilfe der KI ändern. Der Sprachduktus wird besser, weil Maschinen immer mehr lernen.

Sind wir noch zu retten?
(lacht). Es gibt den Spruch: „Fight fire with fire.“ Also: „Bekämpfe Feuer mit Feuer.“ Das geht mit technischen Möglichkeiten. Wer heute noch einen Rechner ohne zwei Firewalls betreibt, den halte ich für komplett leichtsinnig. Damit meine ich eine Hardware-Firewall im Netzwerk vor und eine Software-Firewall auf dem Rechner. Dazu gehört ein guter Virenscanner. Mit Spamfilter. Dann wird der Empfang einer Mail schon geprüft, bevor sie auf den Rechner kommt. Und Vorsicht: E-Mails werden heute im HTML-Format angezeigt. Erlaube ich generell in meiner Mailsoftware, wie Outlook oder Thunderbird, das Anzeigen von Bildern direkt, ohne vorher explizit zu erteilender Erlaubnis, kann es sein, dass schon mit der Anzeige der Mail und den dadurch automatisierten Bilderdownload ein Virus auf meinen Rechner gelangt. Was noch ganz wichtig ist: Spammails wollen oft starke emotionale Reaktionen erzeugen. Menschen dazu triggern, sofort etwas zu tun. Oder etwas gegen ein drohendes Ereignis. Bitte: Denken Sie erst sachlich nach, bevor Sie handeln. Auch Fakenews wollen Angst verbreiten. Sie triggern Menschen dazu, sie zu teilen. Wie die Aussage von Donald Trump, dass Einwanderer aus Haiti in Ohio Katzen und Hunde essen würden. Fakenews sind darauf angelegt, dass möglichst viele Nutzer sie schnell teilen. Um folgenden Effekt zu erzeugen: Selbst, wenn sie sich als unwahr herausstellen, haben sie Relevanz. Weil sie zuvor um ein Vielfaches verbreitet wurden und dadurch nicht mehr einzufangen sind.

Wie unterscheide ich Fakenews, also gefälschte Nachrichten, von echten?
Nach meiner Ansicht nennt jede seriöse Nachricht einen Urheber oder eine Quelle. Wie zum Beispiel die RHEINPFALZ. Ansonsten ist sie für mich überprüfungswürdig. Problematisch sind auch Videos. Sei es, dass es sich um Unfälle oder Übergriffe während Demonstrationen handelt. Hier können Nachrichten durch das Weglassen entscheidender Szenen verfälscht werden. Genauso gefährlich wird sich die Manipulation von Aussagen durch das Nachbauen einer Stimme auswirken.

Was bedeutet das konkret?
Das bezieht sich auf den klassischen Telefonanruf. Ich kann heute mithilfe von KI, sowie Anrufen und Videos, Stimmen nachbauen. Ich kann aus einem Standbild Videos erzeugen. Für die entsprechende Software wird in Social Media massiv Werbung gemacht. Da fährt der Opa auf einem Kurzvideo plötzlich Fahrrad. Oder zwei Menschen küssen sich, die auf dem ursprünglichen Foto nur nebeneinanderstehen. Beim Opa ist es eher eine harmlose Spielerei. Bei den Küssenden, mit entsprechender Absicht des Urhebers, schon mehr. Das erreicht man mit ganz simplen KI-Tools. Am Schlimmsten finde ich aber simulierte Anrufe mit Gesprächspartnern, von denen man glaubt, dass man sie kennt. Jetzt stellen Sie sich Folgendes vor: Einer kennt Ihren Namen, weiß wo Sie wohnen, kennt Ihr Geburtsdatum und imitiert mit KI Ihre Stimme. So, dass man nicht bemerken kann, dass es sich um eine Imitation handelt. Wir leben in einer Zeit, in der auch die Telefonie komplett über das Internet läuft. Wir telefonieren eigentlich über Rechnerverbindungen, die Audiosignale übertragen. Und alles, was digital ist, kann ich auch manipulieren. Ich bekomme zum Beispiel geschäftlich Mails, in denen man mir anbietet, meine Internetseite neu aufzustellen und man mich um den Zugang für die vorhandene bittet. Das Schlimme daran: Es gibt Leute, die machen sowas und wundern sich später darüber, wie deren Seite gekapert wurde und warum wichtige Daten gestohlen worden sind oder ihre Seite zur Virenschleuder wird.

Vortrag

Der Vortrag „Gefahrenbewusstsein (Awareness) im Internet – erhöhtes Gefahrenpotenzial durch KI“, findet nächsten Dienstag, 11. März um 17.30 Uhr in den Geschäftsräumen der Bliestal Consulting UG, Kardinal-Wendel-Straße 36 in Blieskastel statt.

Mehr zum Thema
ADAC Blieskastel ALDI Alle Themen
x