„AI-Betrug 2.0“: Der rasante Anstieg von Betrug und digitalen Identitätsverbrechen

1. Einleitung – Eine Ära, in der "Vertrauen" zur Währung wird

Im Jahr 2024 erreichte der von der FBI erfasste Schaden durch Internetkriminalität 16 Milliarden Dollar, ein Anstieg von 33 % gegenüber dem Vorjahr und damit der schlechteste Wert aller Zeiten. Der am 17. Juli von der Firma Proof veröffentlichte Bericht The Trust Ledger enthüllte, dass hinter diesen Schäden die explosive Ausbreitung von "generativer KI × Identitätsdiebstahl" steht. BetaNews warnte in einem Artikel desselben Datums: "KI ist nun der Zündstoff für Betrug."BetaNewsBusiness Wire

2. Drei Schocks, die das "Trust Ledger" aufzeigt

1. Beschleunigung und Automatisierung – KI generiert automatisch gefälschte Dokumente und Sprachklone, wodurch die Geschwindigkeit, mit der traditionelle KYC-Verfahren umgangen werden, exponentiell ansteigt.

2. Ausweitung des Schadens – Die Auswirkungen erstrecken sich auf "nicht-finanzielle" Bereiche wie Immobilienverwaltung, öffentliche Versorgungsunternehmen und HR-Abteilungen.

3. Unmessbare Risiken – 30 % der befragten Unternehmen gaben an, keine übergreifenden Betrugsindikatoren zu besitzen.Business Wire

3. Eine neue "Waffe" namens Synthetische ID

Eine "synthetische ID", die echte persönliche Informationen mit KI-generierten Daten mischt, generiert sogar Selfies für Gesichtserkennung automatisch. Auf dem Schwarzmarkt werden persönliche Sets, sogenannte "Fullz", für 3 Dollar gehandelt, und Malware-basierte Info-Stealer liefern sie unaufhörlich.Business Wire

4. Generative KI als "Betrugs-Abonnement"

In Untergrundforen sind kostenpflichtige LLMs wie FraudGPT und WormGPT aufgetaucht. Für etwa 200 Dollar pro Monat können maßgeschneiderte Phishing-Texte, Malware-Codes, die Zero-Day-Schwachstellen ausnutzen, und Social-Engineering-Skripte erstellt werden.MalwarebytesBitdefender

5. Die "AI Black Market" Kultur durch Jailbreak

Malwarebytes berichtet, dass sich ein "LLM-as-a-Service", bei dem öffentliche Modelle gehackt und weiterverkauft werden, etabliert hat. Selbst bei Schließungen von Foren oder Verhaftungen tauchen immer wieder neue Varianten auf, ähnlich einem Whac-a-Mole-Spiel.Malwarebytes

6. Reaktionen, die in sozialen Netzwerken aufkommen

• "Daten werden alle 39 Sekunden angegriffen. Kämpfe oder werde gehackt" – warnt der Cyber-Bildungsaccount @real3uniTwStalker

• "Trainiere dein 'Hacker-Denken' mit ShellGPT, FraudGPT" – ein aufklärender Tweet eines jungen IngenieursTwStalker

• Auch auf LinkedIn wurden tausende Male geteilt, und der Hashtag #AIFraud wurde zum Trend (vom 17. bis 18.). Unter den Unternehmens-CISOs wurde der Ruf nach einer dringenden Überprüfung des eigenen ID-Managements laut.LinkedIn

7. Die Verbreitung von Fake-Gesichtsprofilen

Twitter-Profile, die mit GAN-generierten Fotos erstellt wurden, sind mindestens 10.000 Mal pro Tag aktiv – so die Zahlen einer Studie aus dem Jahr 2024. Eine Erkennungsmethode, die die Regelmäßigkeit der Augenposition nutzt, wurde vorgeschlagen, aber es ist für normale Nutzer schwierig, sie zu erkennen.arXiv

8. Verzögerungen bei der Gesetzgebung und internationalen Zusammenarbeit

In den USA dauern die Gerichtsverfahren zur "Verantwortlichkeit für betrügerische Überweisungen" weiterhin an. Die EU hat im Entwurf des AI Act eine Kategorie für "hochrisikoreiche KI" eingeführt, aber konkrete Maßnahmen gegen ID-Kriminalität sind den einzelnen Ländern überlassen. Auch in Japan sind die AI-bezogenen Bestimmungen des überarbeiteten Gesetzes zur Bekämpfung der Kriminalität noch nicht ausgearbeitet.

9. Sechs Verteidigungsmaßnahmen, die Unternehmen ergreifen sollten

1. Echtzeit-Bioerkennung (Analyse von Blutfluss und Blinzeln)

2. Dynamisches KYC (Aktualisierung des Risikoscores während der Transaktion)

3. Einführung einer API zur Bekämpfung synthetischer Daten

4. Überprüfung von Wasserzeichen in LLM-Ausgaben

5. Gegenseitige Nutzung von Betrugssignalen (über Finanz-, Telekommunikations- und öffentliche Bereiche hinweg)

6. "Zero-Trust-Identität" – Ein Design, das die Identität selbst ständig in Frage stellt

10. Drei Maßnahmen, die Einzelpersonen ab heute ergreifen können

• FIDO2-Authentifizierung mit physischem Schlüssel

• Trennung der Benachrichtigungs-E-Mail-Adresse für Konten und soziale Netzwerke

• Aktivieren Sie die **"Benachrichtigung über Neuregistrierung"** für die biometrische Authentifizierung

11. Fazit – Schützt die "Commons des Vertrauens"

KI hat die Arbeit von Betrügern "demokratisiert". Gleichzeitig entwickeln sich Erkennungs-KIs und fortschrittliche Authentifizierungsplattformen mit derselben Geschwindigkeit weiter. Der Schlüssel liegt in offenem Informationsaustausch und der Nutzerkompetenz. Der von Proof vorgeschlagene Ansatz "Trust by Design" – also die Einbettung eines "Vertrauenshandbuchs" in jedes System – könnte als Cyberhygiene der Post-KI-Ära bezeichnet werden.