Cyber-Kidnapping: ESET-Warnung vor neuer KI-Betrugsmasche

Cyber-Kriminelle nutzen vermehrt KI-Werkzeuge – Eltern sollten auf Erpressungsversuche vorbereitet sein

[datensicherheit.de, 29.01.2024] Wohl einer der schlimmsten Albträume für Eltern: „Das Telefon klingelt und auf dem Display erscheint eine unbekannte Nummer. Am anderen Ende der Leitung ist das eigene Kind zu hören, wie es um Hilfe schreit. Dann meldet sich der ,Entführer’ und fordert ein Lösegeld, ansonsten passiert etwas Schlimmes…“ Was die von Cyber-Kriminellen kontaktierten Betroffenen in diesem Moment dann aber nicht wissen: „Es handelt sich um einen Fake-Anruf, ihrem Kind droht keine Gefahr und der vermeintliche Hilferuf kam nicht vom entführten Nachwuchs, sondern einer KI-Stimme.“ Was zunächst eher an den Beginn eines Action-Filmes erinnert, soll sich aber bereits in den USA real zugetragen haben – somit steht zu befürchten, dass Solches auch in Deutschland auftreten wird.

Vorlagen liefern potenzielle Erpressungsopfer Cyber-Kriminellen frei Haus – vor allem über Soziale Netzwerke

„Technologien sind inzwischen so weit, dass man Bilder und Videos täuschend echt nachmachen kann. Um Künstliche Intelligenz zu nutzen, braucht man nicht mal mehr fundiertes Wissen“, erläutert Ildikó Bruhns, Projektleiterin der „ESET Initiative Safer Kids Online“, und führt hierzu weiter aus:

„Mit ein bisschen Übung lassen sich gefälschte Sprachnachrichten oder Bilder, in denen sich beispielsweise Familienangehörige angeblich in Notsituationen befinden, in überzeugender Qualität erstellen.“ Die Vorlagen hierzu lieferten viele Menschen den Cyber-Kriminellen sogar frei Haus, denn Soziale Netzwerke seien eine wahre Fundgrube an Material – nicht nur für diese Art von Betrug.

Typisches Vorgehen Cyber-Krimineller als vermeintliche Kidnapper

Ein typischer virtueller Kidnapping-Betrug besteht laut ESET aus folgenden Schritten:

Suche nach geeigneten Opfern
Die Cyber-Betrüger recherchierten potenzielle Opfer, welche angerufen und von denen vermeintliche Lösegelder erpresst werden könnten. Hierbei kämen bereits KI-Tools zum Einsatz, um ihnen bei der Suche helfen.

Auswahl eines geeigneten Opfers
Die Kidnapper identifizierten ein „Entführungsopfer“ – die Auswahl falle häufig auf ein Kind der im ersten Schritt ermittelten Person(en). Hierbei griffen sie vor allem auf von Eltern öffentlich preisgegebene Informationen zurück, etwa in Sozialen Netzwerken.

Entwurf eines vermeintlichen Entführungsfalls
Dann würden die Cyber-Kriminellen ein imaginäres Szenario entwerfen, um die ins Auge gefassten Eltern einzuschüchtern. „Je mehr Angst Eltern um ihre Kinder haben, desto eher treffen sie unbedachte Entscheidungen.“ Wie bei jedem überzeugenden Social-Engineering-Versuch bauten die Betrüger Druck auf, um die Eltern zu einer Kurzschlussreaktion zu drängen.

Herausfinden eines idealen Zeitpunkts zur Kontaktaufnahme
Die Cyber-Betrüger fänden den idealen Zeitpunkt für ihren Erpresseranruf heraus. Hierzu griffen sie wiederum auf Informationen bevorzugt aus Sozialen Medien zurück: „Wann ist das Kind in der Schule? Ist der Sohn oder die Tochter gerade im Urlaub bei Verwandten oder in einer Ferienfreizeit?“ Der offensichtliche Gedanke dahinter: Die Kidnapper kontaktierten Eltern zu einem Zeitpunkt, zu dem ihr Kind nicht anwesend ist und sie keine Möglichkeit haben, mit ihm zu sprechen.

Erstellung gefälschter Audio-Aufnahmen
Dann komme ein weiteres KI-Werkzeug zum Einsatz: Mithilfe einer leicht erhältlichen Software erstellten die Cyber-Betrüger Audio-Aufnahmen mit der Stimme des vermeintlichen Entführungsopfers und versuchten damit, dessen Familie von einer Kidnapping-Aktion zu überzeugen. Auch andere Informationen aus Sozialen Medien könnten zum Einsatz kommen, um den Betrug überzeugender klingen zu lassen, z.B. durch Nennung von Details über das „entführte“ Kind, welche ein Fremder anscheinend nicht kennen könnte.

Erpressung eines vermeintlichen Lösegelds
Sollten Eltern auf einen solchen Cyber-Betrug hereinfallen, forderten die vermeintlichen Kidnapper sie auf, Geld zu überweisen, beispielsweise in Form einer sogenannten Kryptowährung.

Künstliche Intelligenz – Missbrauch als Erfüllungsgehilfe für Cyber-Kriminelle

Das Potenzial von „ChatGPT“ und anderen KI-Tools für virtuelle Entführer sei besorgniserregend. Die hier zum Tragen kommenden technischen Grundlagen existierten schon länger. Vor allem Werbetreibende und Vermarkter nutzten ähnliche Techniken zur Zielgruppenanalyse. Fachleute sprechen demnach von „Propensity Modelling“: Unter Verwendung statistischer Modelle werde errechnet, wann ein bestimmtes Ereignis wahrscheinlich eintreten wird, um gezielt die richtige Botschaft an den richtigen Personenkreis auszuspielen.

Cyber-Kriminelle setzten diese Technik ein, um den idealen Zeitpunkt für ihre scheinbare Entführung zu finden. Es reiche schon aus, eine generative KI mit den richtigen Fragen zu „füttern“ und schon präsentiere sie potenzielle Opfer, die

• „über das nötige Einkommen verfügen und bereit sind, Lösegeld bei einer Entführung zu zahlen,
• viele Informationen über sich und ihre Familie in Sozialen Netzwerken preisgeben oder
• in einer bestimmten Region leben“.

Cyber-Kidnapping und ähnliche Angriffe wohl bald keine Einzelfälle mehr

„Leider klingen geklonte Stimmen schon heute beunruhigend überzeugend. Und die dahinter stehende Technologie ist für Betrüger einfach zugänglich: Voice-Cloning-as-a-Service-Anbieter haben sich bereits auf die Nachfrage eingerichtet und stellen einfach zu bedienende Dienste für kleines Geld zur Verfügung. Setzt sich dieser Trend fort, werden Cyber-Kidnapping und ähnliche Angriffe keine Einzelfälle mehr sein“, unterstreicht Bruhns und gibt nachfolgend Tipps für Eltern, um gegen solche Cyber-Betrügereien besser gewappnet zu sein:

Geben Sie nicht zu viele persönliche Informationen in Sozialen Medien preis!
„Vermeiden Sie es, Details wie Adressen und Telefonnummern zu veröffentlichen. Wenn möglich, sollten Sie nicht einmal Fotos oder Video-/Audioaufnahmen Ihrer Familie posten, und schon gar nicht Details über die Urlaubspläne Ihrer Lieben.“

Halten Sie Ihre Social-Media-Profile privat!
„Somit machen Sie es Kriminellen schwerer, Sie online zu finden.“

Vorsicht vor Phishing zur Ausspähung Ihrer Social-Media-Konten!
„Achten Sie auf Phishing-Nachrichten, die Sie dazu verleiten sollen, vertrauliche persönliche Daten oder Logins für Social-Media-Konten preiszugeben.“

Installieren Sie Jugendschutz-Apps (wie z.B. „ESET Parental Control“) auf den Smartphones Ihrer Kinder!
„Diese enthalten eine Tracking-Funktion, mit der Sie schnell die Position Ihres Kindes nachverfolgen können. Behauptet ein fremder Anrufer, er hätte Ihren Sohn oder Ihre Tochter entführt, reicht ein Blick in die App und schon sehen Sie, ob sich Ihr Kind wirklich an einem ungewöhnlichen Ort aufhält.“

Wenn Sie einen Erpresseranruf erhalten, versuchen Sie das Gespräch mit den „Entführern“ so lang wie möglich hinauszuziehen!
„Probieren Sie gleichzeitig, den vermeintlich Gekidnappten anzurufen oder von jemand anderem anrufen zu lassen.“

Plausibilität der behaupteten Entführung prüfen!
„Bleiben Sie ruhig, geben Sie keine persönlichen Daten preis und bringen Sie den Anrufer nach Möglichkeit dazu, eine Frage zu beantworten, deren Antwort nur der Entführte kennt.“

In jedem Fall Anzeige erstatten!
„Benachrichtigen Sie so schnell wie möglich die Polizei – auch wenn sich die Entführung als Fake herausstellt.“

Weitere Informationen zum Thema:

WETALKSECURITY, 18.12.2023
ChatGPT: Konsequenzen für die IT-Sicherheit | Folge 19

The Guardian, Erum Salam, 14.06.2023
US mother gets call from ‘kidnapped daughter’ – but it’s really an AI scam