Der Einsatz von künstlicher Intelligenz hat fundamentale Auswirkungen auf unser Leben. Ein besonders prominentes Beispiel ist die Software ChatGPT von OpenAI. Der seit vergangenem November verfügbare Chatbot beantwortet Fragen aller Art ohne Grammatik- oder Rechtschreibfehler. Dabei nutzt er natürliche Sprache (Natural Language Processing, NLP) und wirkt dadurch absolut authentisch. Sprachsynthesemodelle sind zudem in der Lage, menschliche Stimmen zu imitieren und können dabei sogar emotionale Betonungen des Sprechers nachahmen. Dafür kann bereits eine kurze Aufnahme der Originalstimme ausreichen.

KI-gestützte Tools bieten Unternehmen enorme Verbesserungen – etwa im automatisierten Kunden-Support, beim Software-Testing oder in der Buchhaltung. Allerdings eröffnen die neuen Programme auch neue Möglichkeiten für Missbrauch und Betrug. Vor allem Chatbots wie ChatGPT eignen sich perfekt dazu, Malware-Angriffe zu starten oder Identitäten zu stehlen.

Phising-Mails werden immer ausgefeilter 

Auch Phishing-Versuche lassen sich mithilfe von KI-gestützten Chatbots perfektionieren. Dank NLP können Cyber-Kriminelle E-Mail-Konversationen täuschend echt nachstellen. ChatGPT lässt sich sogar darauf trainieren, den Schreibstil eines Kunden nachzuahmen. Dadurch wird es für die Empfänger immer schwieriger, Phishing-Mails zu identifizieren. Denn Erkennungsmerkmale wie ein abgehackter Schreibstil oder Fehler, die für Fake-Mails bisher typisch waren, gehören mit ChatGPT der Vergangenheit an. Das macht es den Betrügern leicht, ihre Opfer zu täuschen und auf diese Weise Passwörter abzugreifen oder sogar Bankkonten komplett zu übernehmen.

Damit beschränken sich Social-Engineering-Angriffe nicht mehr auf den Diebstahl von Daten, sondern können auch erhebliche finanzielle Schäden anrichten. Denn Phishing ist oft der Ausgangspunkt für weitere Betrugsmaschen. Zum Beispiel geben sich die Kriminellen als Mitarbeiter einer Bank oder Behörde aus und versuchen ihre Opfer per E-Mail dazu zu bringen, Kontodaten zur Verifizierung preiszugeben oder Transaktionen auszulösen. Auch gefakte Telefonanrufe oder WhatsApp-Nachrichten werden zunehmend für diese Zwecke genutzt. Und dank KI-gestützter Tools sind die Betrüger damit immer erfolgreicher.

Herkömmliche Kontrollen reichen nicht mehr aus 

Aber auch für die Banken sind solche Betrugsformen schwer zu erkennen, weil sich „echte“ Kunden in ihre Konten einloggen. Angesichts der zunehmenden Perfektionierung der Betrugsversuche reichen die bisherigen Kontrollmechanismen nicht mehr aus. Sogar die bislang als absolut sicher geltende Multi-Faktor-Authentifizierung (MFA) lässt sich umgehen. Es braucht daher Methoden, die nicht gerätebasiert arbeiten, sondern das Verhalten der Nutzer in Echtzeit analysieren. Verhaltensbiometrie-Lösungen auf Basis von KI und maschinellem Lernen beispielsweise sind in der Lage, ungewöhnliche Nutzeraktionen zu erkennen und Betrugsversuche frühzeitig aufzudecken – etwa die Kontoeröffnung durch einen nicht-legitimen User.

Erkennung ungewöhnlicher Verhaltensweisen 

Zum Beispiel navigiert ein Krimineller bei einer Transaktion schneller als ein echter Nutzer auf dem Endgerät, da er mit dem Prozess vertraut ist und die gestohlenen Daten per Copy und Paste in die Überweisungsmaske eingibt. Ob es sich bei einer Kontoeröffnung um einen Betrüger handelt, lässt sich auch daran erkennen, dass dieser im Umgang mit dem Computer versierter ist als der durchschnittliche Bankkunde. Er nutzt beispielsweise erweiterte Shortcuts und Sondertasten oder schaltet professionell zwischen den einzelnen Anwendungen hin und her. Auch Abweichungen von der bisherigen Tippgeschwindigkeit und häufig unterbrochene Tastaturanschlägen oder Mausbewegungen können Zeichen dafür sein, dass der zu überweisende Geldbetrag und die Kontodaten dem Bankkunden von einer dritten Person diktiert werden. Das Opfer wartet möglicherweise auf neue Anweisungen, oder es ist verunsichert und verhält sich dadurch zögerlicher als üblich.

Nicht-menschliche Angriffe wie Bot-Aktivitäten, Trojaner und mobile Malware-Operationen werden von der Software ebenfalls erfasst. Ein Indikator sind hier etwa Berührungs- und Wischmuster, die von ursprünglichen Sitzungen abweichen. Sie können darauf hindeuten, dass der Nutzer keine Kontrolle über das mobile Endgerät hat, weil ein Remote-Access-Trojaner (RAT) in das Smartphone eingeschleust wurde: Die Software erkennt, dass sich das ferngesteuerte Endgerät über die gesamte Kontositzung hinweg in einer flachen Haltung befindet – ein typisches Zeichen für einen Betrugsversuch via RAT. Denn ein echter Nutzer würde sein Smartphone während der Session bewegen.

Hinweise auf Cyber-Kriminelle und automatisierte Angriffe 

Ob Maus-, Tastatur-, Touchscreen- und Gerätedaten, beispielsweise die Geschwindigkeit, die Tippdauer, die Fingergröße, die Stärke des Tastendrucks, die Ausrichtung des Endgeräts oder bestimmte Tastenkombinationen: Alle Verhaltensweisen und Eigenschaften werden erfasst und anschließend mit dem historischen Benutzerprofil für das jeweilige Konto sowie mit gängigen Mustern verglichen. Daraus kann die Software statistische Normen für „normales“ oder „ungewöhnliches“ Verhalten ermitteln und auf dieser Basis Hinweise darauf liefern, ob es sich um den Betrugsversuch durch einen Cyberkriminellen oder um einen automatisierten Angriff per Bot oder RAT handelt. Auch eine ungewöhnlich starke Kontonutzung ist verdächtig. Die Analysen der Nutzeraktivitäten und der Abgleich mit dem Verhalten in früheren Online-Banking-Sitzungen laufen dabei vollständig im Hintergrund, ohne dass sich der Kunde zusätzlich verifizieren muss. Damit bleibt eine nahtlose Customer Experience gewahrt.

Durch die Fähigkeit, „echte“ und „betrügerische“ Verhaltensmuster zu unterscheiden, können Lösungen auf Basis von Verhaltensbiometrie eine Vielzahl von Bedrohungen in Echtzeit erkennen und rechtzeitig stoppen. Je mehr auffällige Muster ein Nutzer zeigt, desto höher ist sein Alarm-Score bei der Bank. Die Sicherheitsspezialisten können den Kunden dann rechtzeitig warnen beziehungsweise eine zusätzliche Authentifizierung verlangen oder die zu erwartende Transaktion abbrechen. Somit dienen Technologien auf Basis von Verhaltensbiometrie eine zusätzliche Sicherheitsebene zu den gängigen Methoden.