Betrug gedeiht im Dunkel. Das wussten schon die alten Griechen: In deren Mythologie ist Apate als dämonische Verkörperung der Täuschung die Tochter von Nyx, der Göttin der Nacht. Heutzutage gedeihen Betrügereien auch im Digitalen. Zu deren Abwehr setzen die Verteidiger neuerdings zunehmend auf eine Tochter Alan Turings: auf künstliche Intelligenz. Ein spannender Einsatzfall kommt von einer Universität in Australien.
Es ist ärgerlich, wenn das Telefon klingelt, während man mit der Familie beim Essen sitzt. Noch ärgerlicher, wenn der Anrufer sich als Betrüger erweist. Am ärgerlichsten aber ist es für den Betrüger selbst – wenn er nämlich ausgerechnet bei Prof. Dali Kaafar anruft, dem Executive Director des Cyber Security Hubs der Macquarie University in Sydney. Dieser machte sich, sehr zum Amüsement seiner Familie, einen Spaß daraus, den Kriminellen möglichst lange in der Leitung (und somit von potenziellen Opfern fern) zu halten. Er schaffte es erstaunliche 40 Minuten lang.
Kaafars Freude darüber, die Zeit des Betrügers vergeudet zu haben, war nicht ungetrübt: „Das waren auch 40 Minuten meines eigenen Lebens, die ich nicht zurückbekommen würde“, zitiert die Website der Uni den Professor. Also überlegte er, wie man das automatisieren könnte.
Für Automation und Rationalisierung setzt die Security-Branche heute bevorzugt auf künstliche Intelligenz (KI). Ein Beispiel: Cyberkriminelle richten automatisiert neue Internet-Domains ein, um Malware zu hosten oder Unternehmensdaten dorthin zu exfiltrieren. Security-Anbieter Cato Networks hat deshalb diese Domain-Namen per maschinellem Lernen (ML) analysiert und eine KI darauf trainiert, automatisch generierte Domains – in der Regel eine wilde Folge von Buchstaben und Zahlen – von händisch erzeugten zu unterscheiden. So kann Catos Security-Software die Kommunikation mit diesen Domains in Echtzeit unterbinden.
Auch für Prof. Kaafar ist KI das Mittel der Wahl, genauer: ein Chatbot, der gesprochene Sprache verstehen und ausgeben kann, in Fachkreisen Natural Language Processing oder kurz NLP genannt. Das Ziel: Der Chatbot (im NLP-Kontext auch Voicebot genannt) sollte ebenfalls in der Lage sein, betrugsfreudiges Scammer-Volk 40 Minuten an der Strippe zu halten. Die Messlatte lag ja bereits.
Geplagtes Australien
Australien hat mit zahlreichen Plagen zu kämpfen: Es gibt jede Menge giftige Schlangen, immer wieder Waldbrände, zudem sich wie Karnickel vermehrende Karnickel, unerwartet angriffslustige Kängurus – und eben die Seuche des Telefonbetrugs. Die australische Verbraucherschutzbehörde ACCC schätzt, dass Scammer der örtlichen Population 2022 über 3,1 Milliarden Dollar aus dem Beutel gezogen haben. Zwar nur australische Dollar (entspricht 0,68 US-Dollar), aber immerhin: Das ergibt … *zückt den Abakus, verschiebt hilflos Kugeln, schaut im Internet* … über 1,8 Milliarden Euro.
Hierzulande wiederum warnte die Polizei kürzlich vor der „Europol“-Abzocke: Betrüger geben sich am Telefon als Beschäftigte von Europol, Interpol oder des Bundeskriminalamts aus. Sie behaupten, persönliche Daten des Angerufenen würden für Straftaten missbraucht, die Polizei müsse deshalb alle seine Konten sperren. Die Kriminellen versuchen daraufhin, an die Kontodaten der Opfer zu gelangen und Überweisungen anzustoßen.
Die Betrüger nutzen dazu eine Funktion – man könnte auch sagen: Schwachstelle – der Telefonie aus: Die Telefonnummer, die der Angerufene sieht, muss nicht die echte des Anrufers sein. Das ist praktisch für Firmen, die wollen, dass bei ausgehenden Anrufen immer die Nummer ihrer Zentrale angezeigt wird. Oder eben für Betrüger, die – wie im Fall der Betrugswelle – aus dem Ausland zuschlagen, aber vortäuschen wollen, der Anruf komme von einer inländischen Polizeibehörde. Die Bundesnetzagentur erhielt letztes Jahr Zehntausende Beschwerden über Betrugsversuche mit derlei gefälschten Anrufernummern.
Hier gibt es zwei klassische Abwehrmaßnahmen. Die eine ist Aufklärung, dass Polizeibehörden nie telefonisch Kontonummern erfragen und zu Überweisungen auffordern würden; die andere ist die Anrufsperre. Die Bundesnetzagentur veröffentlicht dazu Aufstellungen verdächtiger Rufnummern. Diese Listen aktuell zu halten ist aber regelrechte Sisyphos-Aufgabe. In der griechischen Mythologie war Sisyphos ein echtes Schlitzohr, sehr zum Ärger von Zeus, und schlug sogar dem Todesgott Thanatos mehrmals ein Schnippchen. Deshalb wurde er dazu verdonnert, auf ewig einen Stein den Berg hinaufzurollen, der, kaum war der Gipfel in Reichweite, wieder ins Tal kullerte. Security-Fachleute kennen das Gefühl.
Nun bekommen Sisyphos und sein kleiner Bruder, der geplagte Verbraucher, Unterstützung von der griechischen Göttin Dike (bekannter unter ihrem lateinischen Künstlernamen Justitia): Ein neues Gesetz, in Kraft getreten Ende letzten Jahres, soll Entlastung bringen, indem es die TK-Provider in die Pflicht nimmt. Bei Anrufen aus ausländischen Netzen darf keine deutsche Rufnummer mehr am Display erscheinen. Ausnahme: Inhaber inländischer Rufnummern, die vorübergehend im Ausland sind. Ein Anruf aus dem Urlaub gilt also nicht als Betrugsversuch. Glück gehabt!
Anrufe mit gefälschter Notrufnummer 110 oder 112 darf ein Telefon-Provider gar nicht mehr durchstellen – da fällt Sisyphos ein Stein vom Herzen. Zudem verlangt Dike, die teuren Sonderrufnummern wie 0900 oder 0137 zu bändigen, laden doch deren unlimitierte Tarife praktisch zu Betrug und Wucher ein.
Die Abwehrstrategie basiert somit darauf, Betrügern die Kontaktaufnahme zu erschweren. Da diese aber ständig neue Rufnummern nutzen, läuft die Abwehr immer wieder aufs Neue der Angreiferseite hinterher. (An dieser Stelle würde Sisyphos gerne rüberwinken, er ist aber gerade zu sehr mit Rollen beschäftigt.)
Kriminelles Geschäftsmodell
Prof. Kaafars Team verfolgt hingegen einen anderen Ansatz: Es will die Business-Kalkulation der Kriminellen torpedieren und idealerweise versenken. „Das Geschäftsmodell der Betrüger beruht darauf, mit einer kleinen Zahl von Opfern einen großen Gewinn zu erzielen“, so Kaafar. „Unser Modell fesselt sie, vergeudet ihre Zeit und verringert die Zahl der erfolgreichen Betrügereien.“
Mit diesem Ziel vor Augen analysierte das Forscherteam betrügerische Telefonanrufe per ML und identifizierte so das Vorgehen der Betrüger. Dann trainierte es Chatbots anhand realer Betrugsfälle: mittels Aufzeichnungen betrügerischer Anrufe, Abschriften von E-Mails und Chat-Protokollen.
„Die von uns entwickelten Konversations-KI-Bots können Betrügern vorgaukeln, mit echten Betrugsopfern zu sprechen, sodass diese Zeit darauf verwenden, die Bots zu betrügen“, erläutert Prof. Kaafar. Sie können laut dem Experten nicht nur fließend antworten, sondern dabei auch eine Persönlichkeit annehmen und im Gespräch glaubhafte, konsistente Antworten geben.
Das Forschungsteam taufte die Bot-Technik Apate. Anders als das mythologische Vorbild, das nur für Griechenland zuständig war, lassen sich die Bots laut den Australiern in beliebiger Sprache trainieren und somit international einsetzen.
Das Forscherteam hat die Bot-Nachfolger der griechischen Dämonin bereits in der Praxis getestet: Es hat Honeypots, also Bestände von Lockrufnummern, ins Internet gestellt und Anrufer auf Apate-Bots umgeleitet. Die digitalen Dämonen können Betrüger laut der Universität im Schnitt bereits fünf Minuten lang in ein Gespräch verwickeln.
Die Universität arbeitet nun an Kooperationen mit TK-Providern, um dem Bot-gestützten Gegenbetrug zu großflächigem Einsatz zu verhelfen. Gelingt dies, so Kaafars Hoffnung, könnte „die gesamte Branche nicht mehr lebensfähig sein.“
Doch die griechische Mythologie lehrt: Nichts im Leben ist einfach. Wie das Treiben der antiken Götter, Halbgötter, Dämonen und Sterblichen, so befinden sich heute Cyberkriminelle und Cyberverteidiger im ständigen verschlungenen Wechselspiel. Natürlich setzt die digitale Unterwelt ebenfalls zunehmend auf KI. So haust im Dark Web längst ein böser Zwillingsbruder von ChatGPT namens WormGPT. Dieser ignoriert die Schranken, die ChatGPT-Anbieter OpenAI gegen Missbrauch errichtet hat, und steht so für allerlei tückisches Treiben bereit.
Laut den Forschern des israelischen Security-Anbieters Check Point verwenden Cybercrime-Banden inzwischen künstliche Intelligenz, um neue Mitglieder zu trainieren. Die Szene nutze KI auch, um Angriffe zu konzipieren und zu automatisieren, ebenso für die Erstellung von Malware, Phishing-E-Mails und Deepfakes.
„KI-basierte Deepfake-Technologien erleichtern es den Hackern und Betrügern, mit Sprache und Video ‚kreativ‘ zu werden“, sagt Daniel Hofmann, CEO beim deutschen Security-Provider Hornetsecurity. Er warnt vor sogenanntem Vishing (Voice-Phishing) – also vor dem, was Kaafars Team betreibt, nur eben wiederum in krimineller Absicht: „Mit den neuesten KI-Tools reichen wenige Minuten aus, um die Fakes aus Audio- oder Videomaterial zu erstellen.“
Der australische Professor trägt das mit Sisyphos’scher Fassung: „Wenn Betrugs-Chatbots am Ende mit Chatbots sprechen, die sich gegen Betrug wehren, anstatt Geld von echten Menschen zu stehlen, wäre das ein großer Gewinn“, meint er. Das schon aus der Antike bekannte ewige Ringen widerstrebender Mächte geht damit in die nächste Runde – aber in eine, die viel Rechenpower erfordert.
Von der Mythologie zur Technologie
Die griechische Mythologie kannte weder Energieprobleme noch Klimakrise: Zeus schleuderte Blitze ganz ohne Akkuladezeit, die Göttin Circe verwandelte Menschen energieneutral in Tiere, und für die übrigen Aktivitäten, etwa das Bergaufrollen von Steinen, setzte man auf Muskelkraft. Die modernen Gottheiten hingegen – Reichtum, Konsum, Technologie, Fortschritt und Beschleunigung – haben einen geradezu olympischen Energieverbrauch. Das ist gefährlich in Zeiten, in denen der Mensch damit befasst ist, sein Habitat mit Hermes-gleicher Geschwindigkeit und Odysseus-gleicher Planlosigkeit an die Belastungsgrenze zu manövrieren.
In dieser prekären Lage lockt nun die moderne Circe namens KI Angreifer wie auch Verteidiger mit ihrem Gesang und stürzt sie in eine energieverschlingende Materialschlacht mit Bot-Armee gegen Bot-Armee. Das rückt die Belastungsgrenze gleich nochmal ein Stück näher. Aber wir müssen eben an den technologischen Fortschritt glauben, was bleibt uns sonst übrig? Vielleicht lassen sich ja eines Tages Bots darauf trainieren, Telefonbetrüger mit photovoltaisch erzeugten Blitzen zu beschleudern – oder sie energieneutral in Kängurus zu verwandeln.
Die Abwehr KI-gestützter Cyberangriffe ist eine wahre Herkulesaufgabe. Doch die Verteidigerseite lässt den Mut nicht sinken, sondern stellt sich der Herausforderung – wenn es sein muss, auch mit geradezu altgriechischer List und Tücke: Apate statt Apathie!
***
Hat Ihnen dieser Text gefallen? Dann erzählen Sie doch einem Menschen davon, den das Thema ebenfalls interessieren könnte! Denn liebevoll von Hand erstellte Inhalte verbreiten sich am besten per Mundpropaganda.
Cartoon: (c) Wolfgang Traub
IT Info 2 Go 