Es ist der schlimmste Albtraum aller Eltern: Das Telefon klingelt und auf dem Display erscheint eine unbekannte Nummer. Am anderen Ende der Leitung ist das eigene Kind zu hören, wie es um Hilfe schreit. Dann meldet sich der „Entführer“ und fordert ein Lösegeld, ansonsten passiert etwas Schlimmes.
Was die Betroffenen nicht wissen: Es handelt sich um einen Fake-Anruf, ihrem Kind droht keine Gefahr und der vermeintliche Hilferuf kam nicht vom entführten Nachwuchs, sondern einer KI-Stimme. Das klingt auf den ersten Blick erst einmal wie der Beginn eines Action-Films, allerdings haben sich solche Fälle bereits in den USA zugetragen und es ist davon auszugehen, dass sie auch in Deutschland auftreten werden.
„Technologien sind inzwischen so weit, dass man Bilder und Videos täuschend echt nachmachen kann. Um Künstliche Intelligenz zu nutzen, braucht man nicht mal mehr fundiertes Wissen“, erklärt Ildikó Bruhns, Projektleiterin der ESET-Initiative Safer Kids Online. „Mit ein bisschen Übung lassen sich gefälschte Sprachnachrichten oder Bilder, in denen sich beispielsweise Familienangehörige angeblich in Notsituationen befinden, in überzeugender Qualität erstellen. Und die Vorlagen dazu liefern viele Menschen den Kriminellen frei Haus, denn soziale Netzwerke sind eine wahre Fundgrube an Material, nicht nur für diese Art von Betrug.“
So gehen virtuelle Kidnapper vor
Ein typischer virtueller Kidnapping-Betrug besteht aus folgenden Schritten:
- Die Betrüger recherchieren potenzielle Opfer, die sie anrufen und von denen sie Geld erpressen können. Hierbei kommen bereits KI-Tools zum Einsatz, die ihnen bei der Suche helfen.
- Die Kidnapper identifizieren ein „Entführungsopfer“. Die Wahl fällt häufig auf ein Kind der Person, die sie im ersten Schritt ermittelt haben. Hierbei greifen sie vor allem auf Informationen zurück, die Eltern öffentlich preisgeben, etwa in sozialen Netzwerken.
- Dann entwerfen die Cyberkriminellen ein imaginäres Szenario, mit dem sie Eltern einschüchtern. Je mehr Angst Eltern um ihre Kinder haben, desto eher treffen sie unbedachte Entscheidungen. Wie bei jedem guten Social Engineering-Versuch bauen die Betrüger Druck auf, um Eltern zu einer Kurzschlussreaktion zu drängen.
- Die Betrüger finden den idealen Zeitpunkt für ihren Erpresseranruf heraus. Hierbei greifen sie wiederum auf Informationen zurück, die in sozialen Medien verfügbar sein können: Wann ist das Kind in der Schule? Ist der Sohn oder die Tochter gerade im Urlaub bei Verwandten oder in einer Ferienfreizeit? Der Gedanke dahinter: Die Kidnapper kontaktieren Eltern zu einem Zeitpunkt, zu dem ihr Kind nicht anwesend ist und sie keine Möglichkeit haben, mit ihm zu sprechen.
- Jetzt kommt ein weiteres KI-Werkzeug zum Einsatz: Mithilfe einer leicht erhältlichen Software erstellen die Betrüger Audioaufnahmen mit der Stimme des Opfers und versuchen damit, dessen Familie davon zu überzeugen, dass sie den Nachwuchs entführt haben. Auch andere Informationen aus den sozialen Medien können zum Einsatz kommen, um den Betrug überzeugender klingen zu lassen, zum Beispiel, indem sie Details über das „entführte“ Kind einstreuen, die ein Fremder scheinbar nicht kennt.
- Sollten Eltern auf den Betrug hereinfallen, fordern die Kidnapper sie auf, Geld zu überweisen, beispielsweise in Form einer Kryptowährung.
Künstliche Intelligenz – Erfüllungsgehilfe von Cyber-Kidnappern?
Das Potenzial von ChatGPT und anderen KI-Tools für virtuelle Entführer ist besorgniserregend. Die technischen Grundlagen, die hier zum Tragen kommen, existieren schon länger. Vor allem Werbetreibende und Vermarkter nutzen ähnliche Techniken zur Zielgruppenanalyse. Fachleute sprechen hier von „Propensity Modelling“: Unter Verwendung statistischer Modelle wird errechnet, wann ein bestimmtes Ereignis wahrscheinlich eintreten wird, um gezielt die richtige Botschaft an den richtigen Personenkreis auszuspielen.
Cyberkriminelle setzen diese Technik ein, um den idealen Zeitpunkt für ihre scheinbare Entführung zu finden. Es reicht schon aus, eine generative KI mit den richtigen Fragen zu „füttern“ und schon präsentiert sie potenzielle Opfer, die:
- über das nötige Einkommen verfügen und bereit sind, Lösegeld bei einer Entführung zu zahlen,
- viele Informationen über sich und ihre Familie in sozialen Netzwerken preisgeben oder
- in einer bestimmten Region leben.
„Leider klingen geklonte Stimmen schon heute beunruhigend überzeugend. Und die dahinter stehende Technologie ist für Betrüger einfach zugänglich: Voice-Cloning-as-a-Service-Anbieter haben sich bereits auf die Nachfrage eingerichtet und stellen einfach zu bedienende Dienste für kleines Geld zur Verfügung. Setzt sich dieser Trend fort, werden Cyber-Kidnapping und ähnliche Angriffe keine Einzelfälle mehr sein“, so Bruhns weiter.
Tipps für Eltern
Dies alles klingt erst einmal besorgniserregend. Allerdings helfen Eltern schon ein paar Tipps, um gegen solche Betrügereien besser gewappnet zu sein:
- Geben Sie nicht zu viele persönliche Informationen in sozialen Medien preis. Vermeiden Sie es, Details wie Adressen und Telefonnummern zu veröffentlichen. Wenn möglich, sollten Sie nicht einmal Fotos oder Video-/Audioaufnahmen Ihrer Familie posten, und schon gar nicht Details über die Urlaubspläne Ihrer Lieben.
- Halten Sie Ihre Social-Media-Profile privat. Somit machen Sie es Kriminellen schwerer, Sie online zu finden.
- Achten Sie auf Phishing-Nachrichten, die Sie dazu verleiten sollen, vertrauliche persönliche Daten oder Logins für Social Media-Konten preiszugeben.
- Installieren Sie Jugendschutz-Apps wie ESET Parental Control auf den Smartphones Ihrer Kinder. Diese enthalten eine Tracking-Funktion, mit der Sie schnell die Position Ihres Kindes nachverfolgen können. Behauptet ein fremder Anrufer, er hätte Ihren Sohn oder Ihre Tochter entführt, reicht ein Blick in die App und schon sehen Sie, ob sich Ihr Kind wirklich an einem ungewöhnlichen Ort aufhält.
- Wenn Sie einen Erpresseranruf erhalten, versuchen Sie das Gespräch mit den „Entführern“ so lang wie möglich hinauszuziehen. Probieren Sie gleichzeitig, den vermeintlich Gekidnappten anzurufen oder von jemand anderem anrufen zu lassen.
- Bleiben Sie ruhig, geben Sie keine persönlichen Daten preis und bringen Sie den Anrufer nach Möglichkeit dazu, eine Frage zu beantworten, deren Antwort nur der Entführte kennt.
- Benachrichtigen Sie so schnell wie möglich die Polizei – auch wenn sich die Entführung als Fake herausstellt.
www.eset.de