Gefälschte Pässe in Minuten
Die Security-Experten von Cato CTRL, dem Threat-Research-Team von Cato Networks, beleuchten in ihrer neuesten Analyse eine alarmierende Entwicklung im Bereich der Cyberkriminalität: die Nutzung generativer KI. So lässt sich insbesondere der neueste Bildgenerator von OpenAIs ChatGPT zur Erstellung gefälschter Dokumente wie Pässen nutzen.
Diese Technologie, die ursprünglich für kreative Zwecke wie die Erstellung von Avataren oder Symbolbildern entwickelt wurde, wird zunehmend von Kriminellen zweckentfremdet, um überzeugende Fälschungen zu erstellen – ohne technisches Fachwissen oder Zugang zu illegalen Netzwerken. Was früher spezialisierte Fähigkeiten und Werkzeuge wie Photoshop erforderte, kann heute mit wenigen gezielten Eingaben in eine KI-Plattform erreicht werden. Dies markiert einen Wendepunkt in der Bedrohungslandschaft und ebnet den Weg für sogenannte „Zero-Knowledge“-Angreifer, also Kriminelle, die ohne tiefgreifende Fachkenntnisse ausgefeilte Betrugsstrategien umsetzen können.
Die Folgen dieser Entwicklung sind weitreichend: Mit gefälschten Identitätsdokumenten können Kriminelle unter anderem neue Bankkonten eröffnen, bestehende Konten übernehmen oder Versicherungsbetrug begehen.
Die Analyse von Cato zeigt, dass sogar die Einschränkungen des neuesten Bildgenerators von ChatGPT umgangen werden können, wenn die Anfragen geschickt formuliert werden. So war es Etay Maor, Chief Security Strategist bei Cato Networks, beispielsweise möglich, die Schutzmechanismen der Plattform zu überwinden, indem er vorgab, dass ein Dokument lediglich eine Visitenkarte im Stil eines Reisepasses sei. Auf diese Weise erhielt er ein gefälschtes, aber täuschend echt wirkendes Ausweisdokument. Dieser Prozess, der früher Stunden dauerte und spezielle Kenntnisse erforderte, ist nun in wenigen Minuten möglich – allein durch einfache Texteingaben. Besonders beunruhigend ist die Qualität der Fälschungen: Die KI reproduziert nicht nur visuelle Details wie Stempel und Bildüberlagerungen, sondern auch subtile Merkmale wie die Textur von Handschriften oder Unregelmäßigkeiten im Tintenauftrag, die in echten Dokumenten auf Authentizität hinweisen.
Die Folgen dieser Entwicklung sind weitreichend: Mit gefälschten Identitätsdokumenten können Kriminelle unter anderem neue Bankkonten eröffnen, bestehende Konten übernehmen oder Versicherungsbetrug begehen. Diese sogenannte Demokratisierung des Betrugs stellt Unternehmen und Institutionen vor erhebliche Herausforderungen, da die noch bis vor kurzem gültigen Eintrittshürden für solche kriminellen Aktivitäten praktisch aufgehoben wurden. Die Bedrohung besteht nicht nur in der Leichtigkeit, mit der entsprechende Dokumente erstellt werden können, sondern auch in ihrer zunehmenden Glaubwürdigkeit, da traditionelle Erkennungsmechanismen zuweilen überfordert sind.
Angesichts dieser neuen Alltagsgefahren müssen Organisationen ihre Sicherheitsstrategien dringend anpassen. Neben den klassischen Maßnahmen gegen Phishing und Malware rückt die Prävention von dokumentenbasierten Angriffen in den Fokus. Es reicht nicht mehr aus, sich auf technologische Lösungen zu verlassen, vielmehr ist ein ganzheitlicher Ansatz erforderlich, der unter anderem mehrstufige Verifikationsprozesse umfasst. Darüber hinaus sollten KI-gestützte Betrugserkennungssysteme implementiert werden, um mit der rasanten Entwicklung der generativen KI Schritt zu halten. Während sich die Werkzeuge der Cyberkriminellen weiterentwickeln, müssen auch die Abwehrmaßnahmen entsprechend angepasst werden.
