In Hongkong ist Betrügern ein großer Coup mit KI-Clonen gelungen. Dieses Mal handelte es sich um mehrere Video-Clone, mit denen unfassbarer Weise eine komplette Videokonferenz vorgetäuscht wurde. Die einzig echte Person im Call war das Opfer. Alle anderen Personen wirkten im Aussehen und Stimme wie bekannte Kolleg*innen. Offenbar wurde als Vorlage aufgezeichnetes Videomaterial von echten Telefonkonferenzen verwendet. Das spekulierte zumindest der stellvertretende Polizeichef der Cybersicherheitsabteilung.
Der Angriff lief in zwei Stufen ab: Zunächst erhielt ein Angestellter mit Befugnis für Finanztransaktionen in einer Firma eine Nachricht vom vermeintlichen Finanzchef seines Unternehmens und wurde zu einer Videokonferenz über Finanztransaktionen eingeladen. Aufgrund der vielen Teilnehmer wirkte der Vorgang für den Angestellten anscheinend authentisch. Während des Meetings veranlassten ihn die KI-Clone zu 15 einzelnen Transaktionen auf fünf verschiedene Bankkonten.
Der Gesamtschaden summiert sich auf 200 Millionen Hongkong-Dollar, was etwa 24 Millionen EUR entspricht. Erst bei einem späteren Gespräch mit der Firmenzentrale entdeckte das Opfer, dass es einem CEO-Fraud aufgesessen war. Das Bemerkenswerte am Vorgehen ist die Videokonferenz mit mehreren Deepfakes. Normalerweise laufen solche Betrügereien 1:1 ab. Doch heutzutage sind die Betrüger bereits in der Lage, komplexe Szenarien mit höherer Glaubwürdigkeit zu inszenieren.
Es wird dadurch sicherlich schwerer, in der Praxis derartige Täuschungsversuche abzuwehren. Firmen müssen überlegen, wie sie einen Single Point of Failure vermeiden, denn hier hat die Täuschung eines einzelnen Menschen genügt. Wäre eine Transaktionsbestätigung durch eine zweite unabhängige Person notwendig gewesen, hätte man den Diebstahl vielleicht vermeiden können.
Mehr dazu:
- Deepfake colleagues trick HK clerk into paying HK$200m, 04.02.2024, Radio Television Hong Kong (RTHK)