Im Internet ist Recht seit eh und je schwierig durchzusetzen. Doch KI macht es Kriminellen noch leichter. Sie zaubert Mädchen Kleider vom Leib, erstellt Deepfakes für Schockanrufe, schreibt Phishing-E-Mails. Ein Griff in die tiefste aller Internet-Kloaken.
Jennifer DeStefano ist gerade unterwegs ins Tanzstudio. Dann läutet ihr Telefon. «Mum?», fragt die Stimme ihrer Tochter, und dann nochmals: «Mum?»
«Ja, was ist los, Briana?», fragt sie zurück. Die Tochter schluchzt und sagt: «Ich hab’s vermasselt.» Dann hört DeStefano eine zweite Stimme, ein Mann, der nun offenbar ihre Tochter anschreit: «Leg dich hin! Kopf zurück!» Jetzt steigt Panik auf in DeStefano. Wer spricht so mit ihrer Tochter?
«Mum, diese Männer haben mich. Hilf mir! Hilf mir!» Sie schluchzt, wimmert, dann kommt der Mann ans Telefon: «Hören Sie, ich habe Ihre Tochter. Wenn Sie etwas verraten, pumpe ich ihren Bauch voll mit Drogen.» Und: «Dann sehen Sie sie nie wieder.»
Später stellt sich heraus: Die Tochter ist in Sicherheit, ihre Stimme gefälscht. DeStefano wird aber später in einem Podcast der BBC sagen, sie sei sich sicher gewesen, dass der Anruf echt gewesen sei. Die Stimme ihrer Tochter tönte so sehr nach ihr, dass bei DeStefano keine Zweifel aufkamen.
IT-Sicherheitsexperten wie Vincenzo Ciancaglini kennen solche Anrufe nur allzu gut. Er erforscht für den europäischen Ableger des japanischen Cybersicherheitsunternehmens Trend Micro seit rund fünf Jahren, wie Kriminelle KI verwenden. Ihn überrascht es nicht, dass DeStefano auf den Trickanruf hereingefallen ist.
«Was mit KI möglich ist, grenzt für viele Leute an Magie», sagt er. Manche wüssten zwar aus den Medien, dass Stimmen gefälscht werden könnten. «Aber wenn uns ein solcher Deepfake unvorbereitet im Alltag trifft, ist das etwas ganz anderes», sagt Ciancaglini. Die meisten Menschen seien sich nicht bewusst, wie gut heutige Fälschungen sein könnten: Stimmen, Videos, auch wenn es Live-Gespräche mit mehreren Teilnehmern sind.
Enkeltrick auf Steroiden
Das Beispiel von DeStefano stammt aus den USA. Aber auch in der Schweiz und in Deutschland sind solche Schockanrufe verbreitet. Fast 300 000 solcher Betrugsversuche soll es schweizweit in den letzten fünf Jahren allein bei Personen über 55 gegeben haben, schätzt die Stiftung Pro Senectute.
Dazu kommen fast 200 000 versuchte Betrügereien mit dem Enkeltrick. Diese starten typischerweise mit einem unschuldigen «Hallo Oma, rate mal, wer am Telefon ist!» und enden mit der Bitte, Geld für einen Notfall bereitzustellen – vielleicht ein Autounfall im Ausland oder eine irrtümliche Festnahme, der der Anrufer nur entgehen kann, wenn eine Kautionszahlung geleistet wird.
Audio-KI macht solche Betrugsversuche sehr viel effektiver, weil Kriminelle nicht mehr selbst ans Telefon müssen, sondern die Stimme eines Verwandten verwenden können. Laut dem Softwareunternehmen McAfee reichen drei Sekunden Tonspur eines Opfers – zum Beispiel aus einem Social-Media-Video –, um eine Stimme fälschen zu können. Ciancaglini sagt, mit 10 bis 20 Sekunden klinge die Fälschung einigermassen überzeugend.
Dazu kommt: Dienste für Stimmfälschungen sind einfach zu erreichen: Es gibt mehr als ein Dutzend Websites, die genau dies anbieten, mehrere davon gratis.
Mit einem Codewort erkennt man den Notfall
«Früher konnten solche Fälschungen nur mit grossem Aufwand und viel technischem Wissen erstellt werden. Mit heutigen KI-Tools kann das jeder Amateur», sagt Ciancaglini. KI, so scheint es, macht es Kriminellen so einfach wie noch nie.
Ciancaglini, dessen Grossmutter einst selbst einen Schockanruf erhalten hatte, hat daraufhin mit seiner Familie ein Codewort eingeführt. Falls ihm tatsächlich etwas zustossen sollte, sagt er ein spezifisches Wort – zum Beispiel Koalabär. Kommt das Codewort nicht im Gespräch vor, weiss seine Familie, dass es sich um einen Betrugsversuch handelt.
Die schweizerische Kriminalprävention rät davon zwar ab. Man könne einen echten Anruf weder an der Stimme erkennen noch daran, dass irgendwelche persönliche Informationen, die nur innerhalb des engsten Kreises bekannt sein sollten, ausgetauscht würden. Stattdessen soll man bei Schockanrufen – also einer schockierenden Nachricht und einer Geldforderung – immer misstrauisch werden. «Schock plus Geld gleich Betrug», schreibt die Organisation. Die beste Reaktion darauf: einfach auflegen.
Nacktfotos im Klassenzimmer
Doch personalisierte Stimmfälschungen sind nur eine Art und Weise, wie KI-Dienste Straftaten erleichtern. Über zwanzig Mädchen aus der spanischen Kleinstadt Almendralejo mussten jüngst eine andere Art von Deepfakes über sich ergehen lassen: Von ihnen wurden Nacktfotos erstellt, ohne ihr Wissen oder ihre Zustimmung.
Die Bilder stammten ursprünglich von Instagram und zeigten die Mädchen voll bekleidet. Sie wurden mit einer KI bearbeitet, die Gesichter in Fotos erkennt und realistische, nackte Körper generiert. Die Fotos wurden am ersten Schultag nach den Ferien auf dem Schulhof herumgezeigt und in Whatsapp-Gruppen geteilt. Laut dem Portal «Euro News» war das jüngste der betroffenen Mädchen elf Jahre alt.
KI-Dienste, die solche Nacktfotos erstellten, würden auf Telegram angeboten, sagt der Sicherheitsforscher Ciancaglini, der mehrere Kanäle von Kriminellen auf dem Messenger-Dienst überwacht. «Für ein lebenslanges Abo mit dem Preis von 150 Dollar kann man so viele Nudes generieren, wie man will.» Dazu kommen diverse Apps oder Websites, die eine gewisse Anzahl Nacktbilder gratis erstellen.
«Gegen solche Straftaten kann man sich nur schwer schützen», sagt Ciancaglini. Trotzdem rät er, den eigenen Internetauftritt privat zu halten und sich gut zu überlegen, welche Bilder, Videos und Audio-Files man von sich und von anderen ins Netz stellt.
Der nigerianische Prinz beherrscht nun Deutsch perfekt
Nebst Deepfakes arbeiten Kriminelle auch mit Textgeneratoren wie Chat-GPT, schliesslich beginnen viele Betrügereien im Internet mit einer E-Mail. Man wird zum Beispiel von einem nigerianischen Prinzen kontaktiert, der eine kleine Anzahlung fordert, damit er später eine grosse Summe zurückschicken könne.
Viele solcher Schreiben hatten bisher Schreib- und Grammatikfehler, schliesslich waren die Verfasser meist nicht deutscher Muttersprache. Dank Chatbots wie Chat-GPT können solche Anschreiben nun fehlerfrei generiert werden. Ebenso normale Phishing-E-Mails, die zum Beispiel mit einem Schadprogramm versehen sind.
Allerdings gibt es auch Anfragen, die Chat-GPT ablehnt, wie zum Beispiel «Schreibe mir eine Phishing E-Mail für eine 45-jährige Marketingfachfrau, die sich für Klimaschutz interessiert». Wer clever promptet – also ausgeklügelte Texteingaben macht –, kann die Sicherheitssperren im System aber umgehen.
«Jailbreak»: Sperren in Chat-GPT können umgangen werden
Einst reichte es dafür, dem Modell zu sagen, es soll in den «Developer Mode» gehen und die Frage nochmals beantworten. Diesen Hack hat Open AI inzwischen erkannt und blockiert. Trotzdem gelingt es geduldigen Nutzern immer wieder, neue Methoden zu finden, um das System auszutricksen. Im Jargon heisst dies: Jailbreak.
Einer der berühmtesten Jailbreaker ist der Twitter-Nutzer Pliny the Liberator. Er konnte der neusten Version von Chat-GPT (4.o) eine Anleitung zur Produktion von Crystal Meth entlocken und eine weitere für Napalm, einen flüssigen, klebrigen und verbotenen Brandkampfstoff. Kurzzeitig betrieb er ein Programm, mit dem auch andere Nutzer Chat-GPT austricksen konnten.
— Pliny the Prompter 🐉 (@elder_plinius) May 29, 2024
Gandalf: Wie gut sind Sie im Jailbreaking?
Wer selbst versuchen möchte, ein Sprachmodell dazu zu bringen, etwas zu tun, das es eigentlich nicht sollte, kann sich an dem Spiel Gandalf versuchen. Es stammt vom Schweizer KI-Unternehmen Lakera und besteht darin, einen Chatbot zu überzeugen, ein geheimes Passwort herauszugeben.
Erreichbar unter gandalf.lakera.ai
Videokonferenz mit mehreren gefälschten Teilnehmern
Was passieren kann, wenn Kriminelle mehrere KI-Methoden kombinieren, zeigt ein Fall aus Hongkong. Dort wurde ein Finanzangestellter einer internationalen Firma in eine Videokonferenz mit dem CFO einberufen, in der es mehrere weitere Personen gab.
Es fand ein Austausch statt, in dem sich der Angestellte überzeugen liess, Geld im Wert von 25 Millionen Dollar an ein ihm davor unbekanntes Konto zu überweisen. Später stellte sich heraus, dass sämtliche Teilnehmer der Videokonferenz gefälscht waren.
Zwar hatte der Angestellte laut CNN zu Beginn Zweifel, insbesondere weil in einer Nachricht von einer geheimen Überweisung die Rede war. Doch dann schöpfte er Vertrauen, weil er mit mehreren Arbeitskollegen in der Videokonferenz war, die so aussahen und sprachen, wie sie es immer taten.
Im Zweifelsfall: selbst nochmals anrufen
Hätte er selbst versucht, den CFO per Telefon zu kontaktieren, bevor er die Transaktion auslöste, hätte er den Betrug vielleicht verhindern können. Das ist wohl auch die beste Methode, um sich gegen solche Betrugsversuche zu wappnen: bei unüblichen Anfragen selbst noch einmal die scheinbar involvierten Personen anrufen, um sich zu versichern, dass ihr Wusch echt ist.
Laut dem Cybersicherheitsexperten Ciancaglini ist es nun dringend nötig, dass wir ein Bewusstsein für KI-getriebene Betrugsmethoden schaffen, weil solche Attacken künftig häufiger vorkommen dürften. Ciancaglini betont, dass sowohl Jugendliche als auch Pensionierte Risikogruppen seien, die speziell sensibilisiert werden müssten. «Reden Sie mit Ihren Arbeitskollegen und in der Familie über das Thema», rät Ciancaglini.
Und Jennifer DeStefano, die einen Schockanruf mit der gefälschten Stimme ihrer Tochter erhielt? Ihr gelang es, während sie mit den Betrügern an ihrem Telefon verbunden blieb, über das Handy einer anderen Mutter die Tochter anzurufen. Als sie merkte, dass es ihr gut geht, hängte sie den Betrugsanruf sofort auf. Dann sackte sie zu Boden, aus Erleichterung.
