KI betrügt Betrüger

In der letzten Woche wurde wieder ein spektakulärer Fall bekannt, bei dem Betrüger das sächsische Sozialministerium dazu brachten, 225.000€ an sie selbst zu überweisen. Solche Angriffe sind inzwischen eine Mischung aus technischen Attacken und geschicktem Social Engineering. Die technischen Anteile gehen über das Registrieren von Vertipper-Domains hinaus und reichen bis zur Übernahme von Nutzerkonten, die dann genutzt werden, um per Webmail-Frontend die Mails mitzulesen oder Weiterleitungen einzurichten.

Die „sozialen Tricks“ gehen heute auch über schlecht formulierte Mails hinaus: Betrüger interagieren längst persönlich per E-Mail und Telefon mit den Opfern. Viele sehen in den neuen, KI-basierten Chatbots die Gefahr, dass diese Angriffsvarianten einfacher und effektiver werden.

Eine Forschergruppe um Prof. Kaafar an der Macquarie University in Australien will den Spieß umdrehen und betrügerische Anrufe durch einen KI-basierten Sprachassistenten beantworten lassen. Ziel ist es, die Ressourcen der Betrüger zu blockieren und so im besten Fall deren Geschäftsmodell zu stören. Das Wettrennen zwischen Angreifern und Verteidigern geht also auch in diesem Bereich weiter.

https://www.mdr.de/nachrichten/sachsen/sozialministerium-internet-betrueger-phishing-100.html

https://lighthouse.mq.edu.au/article/june-2023/scamming-the-scammers (Pressemeldung der Macquarie University)

https://apate.ai/ (Projektwebseite)

GDPArrrrrrrrgh! DSGVO ermöglicht Datenklau

Der Vortrag des Oxforder PhD-Studenten James Pavur auf der Black Hat hat gezeigt, dass man mit Verweis auf die DSGVO per Abfrage der angeblich „eigenen“ Informationen viele teils streng private Daten von anderen erschleichen kann. Ein von seiner Freundin erlaubtes Experiment mit ihren Accounts ergab, dass 24 % der Firmen ihm ohne weitere Prüfung ihre sämtlichen persönlichen Daten preisgaben. Immerhin 16 % fragten zunächst weitere Nachweise wie Identitätsinformationen an, welche aber häufig leicht zu fälschen waren. Und 5 bzw. 3 % besonders schlaue Firmen behaupteten, nicht von der DSGVO betroffen zu sein bzw. löschten einfach schnell ihre Accounts. U. a. bekam Pavur ihre Kreditkartennummer und diverse Passwörter frei Haus – sogar von Unternehmen, mit denen sie nie bewusst in Kontakt war.

Der Forscher beklagt diese offensichtlichen Sicherheitslücken in der rechtlichen Implementation der DSGVO sowie die Tatsache, dass die zuständigen Stellen in den Unternehmen häufig nicht über Social Engineering aufgeklärt sind.

https://www.theregister.co.uk/2019/08/09/gdpr_identity_thief/