Finance-Phishing: KI-gestütztes Phishing-Kit ermöglicht Fake-Sprachanrufe bei Bank-Kunden

Die spanische kriminelle Gruppe GXC Team betreibt eine Phishing-as-a-Service-Plattform, mit der Anmeldedaten von Bankkunden kompromittiert und entwendet werden können. Das Besondere: Die Plattform operiert unter Zuhilfenahme einer KI, die es ihren Nutzern unter anderem ermöglicht, ferngesteuert Fake-Telefonanrufe zu generieren. [...]

Martin J. Krämer ist Security Awareness Advocate bei KnowBe4. (c) KnowBe4

84 Prozent aller in betrügerischer Absicht versandten E-Mails haben einen Phishing-Angriff zum Hintergrund – so zumindest der Ende letzten Jahres erschienene BSI-Report „Die Lage der IT-Sicherheit in Deutschland 2023“. Bei Phishing-Angriffen versuchen Cyberkriminelle, sich durch digitale Kontaktaufnahme mit ihren Opfern in den Besitz ihrer Identitäts- und Authentisierungsdaten zu bringen und diese dann für weitere Angriffe zu nutzen oder an andere Cyberkriminelle weiterzuverkaufen. Vor allem im Bereich des Online-Bankings werden sie immer aktiver, geben sich als vermeintliche Mitarbeiter von Banken und Finanzdienstleistern aus, um Finance-Phishing zu betreiben. Immer häufiger, so der BSI-Report, kommt dabei auch künstliche Intelligenz zum Einsatz.

Was dies konkret bedeutet, haben nun vor kurzem Forscher des Cybersicherheits-Anbieters Group-IB in einem exklusiven Blogbeitrag vorgestellt. Ins Visier hatten sie hierzu die Cyberaktivitäten der spanischen kriminellen Gruppe GXC Team genommen. Die Gruppe betreibt eine Phishing-as-a-Service-Plattform, mit der Anmeldedaten von Bankkunden kompromittiert und entwendet werden können. Das Besondere: Die Plattform operiert unter Zuhilfenahme einer KI, die es ihren Nutzern unter anderem ermöglicht, ferngesteuert Fake-Telefonanrufe zu generieren. Als Upgrade ist zudem eine SMS-OTP-Stealer-Malware erhältlich, mit der, sollten ihre Opfer sie installieren, von ihrer Bank versandte Einmalpasswörter eingesehen werden können. Der Preis für das Phishing-Kit allein liegt zwischen 137 und 824 Euro, der für das Upgrade-Paket, bestehend aus Phishing-Kit und Malware, bei etwa 457 Euro – pro Monat, denn Plattform und Malware werden als as-a-Service-Lösung vertrieben.

Die bevorzugten Opfer der KI-gestützten Phishing-Plattform: Online-Kunden von mindestens 36 spanischen Banken sowie Nutzer der Online-Angebote von Steuer- und Regierungsbehörden, von E-Commerce-Plattformen und Krypto-Währungsbörsen in den Vereinigten Staaten, dem Vereinigten Königreich, der Slowakei und Brasilien.

Automatisierte Fake-Anrufe

Über die zentrale Oberfläche der Plattform lassen sich Angriffe problemlos planen, umsetzen und – wichtig für den Erfolg von Phishing-Angriffen – nachjustieren. Um seinen Kunden die Nutzung der Plattform so unkompliziert wie nur möglich zu gestalten, hat GXC Team diese zudem mit einer KI ausgestattet. Ein besonderes Highlight: die KI ermöglicht die Generierung von Fake-Sprachanrufen. Opfer erhalten automatisiert Fake-Telefonanrufe – angeblich von Mitarbeitern ihrer Bank – in denen sie zum Beispiel angewiesen werden, den Code ihrer Zwei-Faktor-Authentifizierung (2FA) anzugeben, die bereits erwähnte Malware – angeblich ein reguläres Programm ihrer Bank – zu installieren, oder eine andere – angeblich seriöse, in Wirklichkeit aber bösartige – Aktion online durchzuführen.

Das Beispiel GXC Team zeigt: die offiziellen Warnungen des BSI und anderer Behörden vor der zunehmenden Nutzung von KI zur Optimierung von Phishing-Angriffen sind wohl begründet. Das Automatisierungspotential, das in KI-Tools schlummert, führt nicht nur zu einer Steigerung der Quanti- und Qualität von Phishing-Angriffen, es ermöglicht auch die Einführung ganz neuer Phishing-Ansätze, wie es sie so – analog – bislang noch nicht gegeben hat.

Wie erfolgreich diese KI-gestützten Fake-Sprachanrufe am Ende tatsächlich sein werden, wird die Zukunft zeigen. Allerdings kann schon heute davon ausgegangen werden, dass ihre sprachliche Qualität über kurz oder lang ein überzeugendes Niveau erreichen werden – wenn sie dieses denn nicht schon längst erreicht haben.

Banken werden sich deshalb neue Sicherungsmaßnahmen überlegen und bei ihren Kunden verstärkt Aufklärungsarbeit leisten müssen. Auch die Möglichkeit zusätzlicher Security Awareness-Trainings – für Mitarbeiter, wie für Kunden – wird dabei ernsthaft ins Auge gefasst werden müssen. Die Zeit drängt. Bis auch hierzulande erste Banken und Bankkunden von KI-gestützten Fake-Bankanrufen berichten, wird es sicherlich nicht mehr allzu lange dauern.

* Martin J. Krämer ist Security Awareness Advocate bei KnowBe4.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*