Fake-Romance: Scams mit KI-gestützten Deepfake-Promis fordern Opfer

KI-Deepfakes gaukeln Opfern prominente Persönlichkeiten vor, welche angeblich in einer Notlage stecken und finanzielle Unterstützung benötigen

[datensicherheit.de, 11.02.2025] „Romance-Scams sind eine perfide Form des Online-Betrugs, bei der Betrüger gezielt die romantischen Hoffnungen ihrer Opfer ausnutzen, um Geld zu erbeuten“, erläutert Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme im Vorfeld des Valentinstags am 14. Februar. Er kommentiert: „Besonders auffällig ist, wie oft sich diese Betrugsmaschen um vermeintlich prominente Persönlichkeiten drehen, die angeblich in einer Notlage stecken und finanzielle Unterstützung benötigen.“ Ein wiederkehrendes Muster laut Dr. Krämer: Die Opfer würden manipuliert, den Betrügern nicht nur Geld zu überweisen, sondern auch jeglichen Zweifeln zu widerstehen.

Dr. Martin J. Krämer: Ob KI-generiert oder nicht, wenn die Nachricht unerwartet kommt und auffordert, etwas zu tun, was man noch nie zuvor getan hat – zumindest nicht für diesen Absender – sollte eine andere Methode zur Bestätigung gewählt werden, bevor man die angeforderte Aktion ausführt oder zu emotional reagiert!

KI-Deepfakes als Werkzeug der Täuschung und als Barriere für Aufklärung und Schutz

„Eine Methode, mit der versucht wurde, Betroffene für die Täuschung zu sensibilisieren, war der Vorschlag, den angeblichen Prominenten um einen Beweis in Form eines spezifischen Fotos zu bitten – etwa mit einer aktuellen Zeitung in der Hand oder in einer bestimmten Situation, die schwer zu fälschen ist.“

Während dies noch in der Vergangenheit erfolgreich gewesen sei, hätten technische Fortschritte wie Bildbearbeitungssoftware diesen Ansatz zunehmend wirkungslos gemacht. „Betrüger sind heute in der Lage, täuschend echte Bilder zu erstellen, die die Illusion der Authentizität aufrechterhalten!“, unterstreicht Dr. Krämer.

Dieser Wandel zeige nicht nur, „wie ausgeklügelt die Methoden der Täter inzwischen sind“, sondern auch, wie schwer es für Opfer und Außenstehende geworden sei, Wahrheit von Fälschung zu unterscheiden. Der Einsatz von Technologie werde so nicht nur zum Werkzeug der Täuschung, sondern auch zur Barriere für Aufklärung und Schutz.

KI-gestützte Deepfakes erleichtern Betrügern Romance-Scams

Mit den heutigen KI-gestützten Deepfakes sei es viel einfacher geworden, Romance-Scams zu begehen. Es dauere nur wenige Minuten, um ein realistisch aussehendes Deepfake-Bild, -Video oder -Audio von jemandem zu erstellen, „der alles Mögliche sagt und tut“.

Betrüger nutzten KI-gestützte Deepfake-Tools inzwischen intensiv. „iProov, ein Unternehmen, das sich mit Deepfakes beschäftigt, hat mehr als 60 verschiedene Deepfake-Gruppen gefunden, die sich der Erstellung ,synthetischer Bilder’ widmen.“ Eine Gruppe habe dabei mehr als 114.000 Mitglieder gehabt; es seien mehr als 100 „Gesichtsaustausch-Repositories“ gefunden worden.

„Es gibt bereits Malware, die die Gesichter von Menschen stiehlt und sie dann verwendet, um ihre Identität gegenüber Banken zu fälschen, die Gesichtserkennung verlangen, um große Geldbeträge zu überweisen“, berichtet Dr. Krämer. Die Lage sei so ernst, dass das Marktforschungs- und Beratungsunternehmen Gartner prognostiziere, dass bis zum nächsten Jahr 30 Prozent der Unternehmen kein Vertrauen mehr in biometrische Ein-Faktor-Authentifizierungslösungen haben würden. „Nun die Frage: Was ist mit den anderen 70 Prozent?“

Betrüger nutzen KI-gestützte Deepfakes, um sich als prominent auszugeben, z.B. als Brad Pitt

In den neuen „NIST Digital Identity Guidelines“ schreibe die US-Regierung vor, dass jeder Einsatz biometrischer Authentifizierung mit einem physischen Authentifizierungstoken gekoppelt sein müsse. „Daraus lässt sich schließen, dass der physische Authentifizierungstoken hier der wirklich vertrauenswürdige Authentifikator ist, da er von der US-Regierung selbst anerkannt und akzeptiert wird.“

Natürlich verwendeten Betrüger KI-gestützte Deepfakes, um sich als Prominente auszugeben: „Ein Prominenter, der häufig von Betrügern benutzt wird, ist Brad Pitt.“ Eine Frau sei sogar dazu gebracht worden, sich von ihrem derzeitigen Ehemann scheiden zu lassen und dann 850.000 US-Dollar der Scheidungssumme an den falschen Brad Pitt zu schicken. Ihr seien offenbar einige Bilder zugeleitet worden, auf denen es so ausgesehen habe, als würde es Brad Pitt nicht gutgehen. „Das eignet sich hervorragend, um Mitleid zu erregen und weitere Geldforderungen zu stellen.“

Viele KI-Experten hätten darauf hingewiesen, wie schnell sie selbst erkennen könnten, „dass diese Bilder gefälscht sind“, aber die meisten Opfer seien eben keine KI-Experten. Dr. Krämer ergänzt: „Der falsche Brad Pitt schickte dem Opfer auch viele Liebesgedichte, die zweifellos von KI generiert worden waren. Das Opfer gab an, dass der falsche Brad Pitt wirklich wusste, wie man mit Frauen spricht. Wahrscheinlich ist es zutreffender zu sagen, dass die KI, die der Betrüger benutzte, wirklich wusste, wie man mit Frauen spricht.“

KI zunehmend in der Lage, fast in Echtzeit Video-Antworten auf Fragen der Opfer zu liefern

„Man findet in letzter Zeit immer mehr Demos, bei denen die KI in der Lage war, fast in Echtzeit Video-Antworten auf die Fragen eines Opfers zu liefern.“ Es sei also nur eine Frage von Monaten, bis diese Art von KI-gestützten Echtzeitdiensten für jedermann verfügbar sein werde – auch für Betrüger.

„Die meisten von uns würden niemals auf einen Promi-Betrug hereinfallen. Wir würden nie glauben, dass Brad Pitt oder ein anderer Prominenter in uns verliebt ist UND unser Geld braucht…“ Aber jeder sei wohl doch anfällig für irgendeine Art von Betrug – sei es aufgrund des Zeitpunkts, der Umstände oder des Inhalts. „Wir können alle betrogen werden!“, warnt Dr. Krämer.

Er führt weiter aus: „So wie wir gelernt haben, dass wir uns nicht mehr darauf verlassen können, dass eine E-Mail vollständig wahrheitsgemäß ist, und diese Vorsicht auch auf SMS-Nachrichten, Sprachanrufe, Soziale Medien, Chat-Apps wie ,WhatsApp’ und sogar persönliche Treffen ausgeweitet wurde, gilt dies nun auch für unerwartete Audio-, Bild- oder Video-Dateien, die wir erhalten.“

KI-Abwehrstrategie gegen KI-Deepfakes problematisch…

Wenn man nur eine Minute Zeit hätte, um allen zu zeigen, wie man betrügerische Nachrichten jetzt und in Zukunft am besten erkennt, dann wäre es diese: „Wenn Sie unerwartet kontaktiert werden und aufgefordert werden, etwas zu tun, was Sie noch nie zuvor getan haben (zumindest nicht für diesen Absender), sollten Sie innehalten und nachdenken, bevor Sie reagieren!“ Dies funktioniere nicht bei jedem Betrug, aber bei den meisten.

Dr. Krämer rät: „Trainieren Sie sich auf diese Weise! Schulen Sie Ihre Familie auf diese Weise! Trainieren Sie Ihre Mitarbeiter so! Wie gut Sie dies vermitteln und wie gut Ihre Mitarbeiter diese Fähigkeit erlernen und anwenden, wird wahrscheinlich darüber entscheiden, ob Ihre Organisation in einem bestimmten Zeitraum erfolgreich gehackt wird oder nicht.“ Dieser Rat gelte für jeden Betrug, der „Social Engineering“ einsetzt, ob KI-gestützt oder nicht.

Es werde argumentiert, dass KI-gestützte Deepfakes mit Tools bekämpft werden könnten, die KI-gestützte Inhalte erkennen würden. Diese Abwehrstrategie habe jedoch ein Problem. Man könne dem Rat von Perry Carpenter aus seinem kürzlich erschienenen KI-Buch „FAIK: A Practical Guide to Living in a World of Deepfakes, Disinformation, and AI-Generated Deceptions“ folgen…

… ein Tool zur Täuschungserkennung zu fragen, ob etwas KI-generiert ist oder nicht, angesichts der zunehmenden -Verbreitung sinnlos

Carpenter fasst demnach das Hauptproblem der KI wie folgt zusammen: „Praktisch jedes Tool und jeder Dienst, den wir nutzen, wird KI-fähig sein und uns auf die eine oder andere Weise unterstützen. Unsere Social-Media-Kanäle werden KI nutzen, um bessere Versionen von uns selbst mit besseren Texten, Audio-Inhalten, Bildern und Videos zu erstellen. Jedes Audio-, Bild- und Videotool nutzt KI oder wird KI nutzen, um bessere Ergebnisse zu erzielen, die wir alle gerne nutzen werden. Sie tun es bereits. In einer Welt, in der viele, viele legitime Dinge, die wir alle nutzen werden, KI-gestützt oder KI-generiert sind, macht es keinen Sinn, ein Tool zur Täuschungserkennung zu fragen, ob etwas KI-generiert ist oder nicht.“

Die wichtigste Frage, welche man sich stellen sollte, lautet, ob das Erzählte bzw. Gezeigte böswillig und mit einer bestimmten Täuschungsabsicht versehen ist. „Ob der Inhalt echt oder künstlich ist, ist nicht so wichtig wie die Frage, ob versucht wird, Sie böswillig zu täuschen!“ Man möge sich auf den Inhalt konzentrieren – und nicht so sehr darauf, „ob das Bild ein bisschen unecht aussieht oder die Finger verschwommen sind“.

„Konzentrieren Sie sich auf die Nachricht: Jemand, der versucht, Sie zu betrügen, muss Ihnen den Betrug immer noch kommunizieren. Es geht nur darum, wie er den Betrug kommuniziert – per E-Mail, über Soziale Medien oder über einen KI-gestützten Deepfake?“

Fazit zur KI-Deepfake-Abwehr: Alle Audio-, Bild- und Video-Dateien grundsätzlich so kritisch behandeln wie bisher bereits E-Mails und Textnachrichten!

Das Zeitalter der einfachen Deepfakes sei angebrochen und werde immer einfacher und alltäglicher werden. „Wir werden nicht tatenlos zusehen, wie wir immer wieder betrogen werden. Alle unsere Cyber-Abwehr-Tools werden KI-fähig sein und uns besser vor KI-fähigen (und echten) Betrügern schützen.“

Alles, was wir tun müssten, sei, alle Audio-, Bild- und Video-Dateien wie E-Mails und Textnachrichten zu behandeln: „Konzentrieren Sie sich auf den Inhalt der Nachricht, denn wenn jemand versucht, Sie zu betrügen, wird die Nachricht oder der Inhalt auf die eine oder andere Weise bösartig sein…“

Dies ändere sich übrigens nicht, nur weil es aussehe wie jemand Bekanntes oder wie eine Hybridversion von einem vermeintlich Bekannten. Dr. Krämer bringt es abschließend auf den ernüchternden Punkt: „Sie werden immer noch aufgefordert, Ihr Passwort zu schicken, Geld zu überweisen oder etwas zu tun, das Ihren eigenen Interessen schadet!“

Weitere Informationen zum Thema:

Newsweek, Marni Rose McFall, 14.01.2025
A Woman Thought She Was Dating Brad Pitt—Was Tricked Into Giving Him $850K

NIST
Digital Identity Guidelines

KnowBe4
What is Social Engineering?

iProov, 2024
Threat Intelligence Report 2024: The Impact of Generative AI on Remote Identity Verification

KnowBe4, Roger Grimes, 12.11.2024
Security Awareness Training Blog: Step-by-Step To Creating Your First Realistic Deepfake Video in a Few Minutes

Linkedin, Roger Grimes, 28.02.2024
Game-Changer: Biometric-Stealing Malware

WILEY, Perry Carpenter, Oktober 2024
FAIK: A Practical Guide to Living in a World of Deepfakes, Disinformation, and AI-Generated Deceptions

datensicherheit.de, 24.09.2024
Pig Butchering Scams verleiten Opfer zu unseriösen Finanzgeschäften / Schadensvolumen dieser Unterart der „Romance Scams“ hat mittlerweile bemerkenswerte Größenordnung erreicht

datensicherheit.de, 09.09.2024
Funeral Scams auf facebook: Warnung vor neuer Cyber-Betrugsmasche / Risiko eines Internetnutzers, Opfer erfolgreichen Cyber-Betrugs zu werden, bleibt hoch

datensicherheit.de, 04.08.2022
Krypto-Scams: Neue Attacken unter dem Deckmantel der Popularität Prominenter / Krypto-Scam-Opfer im Durchschnitt um über 15.000 Euro betrogen