Suchen

Security

Betrugsmasche – Künstliche Intelligenz imitiert Stimme von Geschäftsführer

| Redakteur: Melanie Krauß

Mithilfe einer Stimmenimitations-Software, die auf Machine Learning basiert, ist es Betrügern gelungen, einem Energieunternehmen 220.000 Euro zu stehlen.

Firmen zum Thema

Eine Stimmenimitations-software gab vor, der Geschäftsführer zu sein.
Eine Stimmenimitations-software gab vor, der Geschäftsführer zu sein.
(Bild: ©fotomek - stock.adobe.com)

Erstmals kam laut Euler Hermes bei der sogenannten „Fake President“ Betrugsmasche, auch als „CEO Fraud“, „Chef-Betrug“ oder „Chefmasche“ bekannt, eine Stimmenimitations-Software zum Einsatz. Laut Euler Hermes sind viele dieser Anwendungen bereits relativ weit entwickelt, sodass sie insbesondere am Telefon vom „Original“ nur schwer zu unterscheiden sind. So auch beim Anruf des vermeintlichen deutschen CEO eines Energieunternehmens beim Chef der britischen Niederlassung.

„Konkret gab der CEO bei diesem Fall dem Chef des britischen Tochterunternehmens nicht nur per E-Mail, sondern vorab auch telefonisch Zahlungsanweisungen“, berichtet Rüdiger Kirsch, Betrugsexperte bei Euler Hermes. „Dieser hat sich zwar etwas gewundert, da er jedoch die Stimme eindeutig erkannte, hat er den Auftrag trotzdem durchgeführt. Er hat 220.000 Euro auf ein Konto in Ungarn überwiesen. Das gesamte Geld war weg.“

Die Begründung des falschen Chefs: Er habe den Transaktionszeitraum der Bank am Freitagnachmittag verpasst. Die Überweisung hätte vor 16 Uhr getätigt werden müssen, damit die Zahlung noch vor dem Wochenende erfolgen kann. Durch die Zeitverschiebung sei die Überweisung deshalb nur noch durch die britische Tochter möglich – denn in Großbritannien war es erst 15 Uhr.

Ausländische Niederlassungen sind besonders gefährdet

„Es ist kein Zufall, dass es ausgerechnet eine britische Tochter des Unternehmens war, die Ziel des Betrugs wurde“, sagt Kirsch. „Die Zeitverschiebung ist dafür zwar nicht ausschlaggebend, sondern vielmehr die Tatsache, dass die vermutlich verwendete Stimmenimitations-Software aktuell nur Englisch kann. Unternehmen sollten daher ihre ausländischen Niederlassungen besonders sensibilisieren, dass die Betrüger ihre Masche weiterentwickelt haben.“

Der britische Chef war grundsätzlich mit dem Fake-President-Betrug vertraut, das Unternehmen hatte seine Auslandstöchter alle davor gewarnt. Durch die eindeutige Zuordnung der Stimme schrillten die Alarmglocken allerdings nicht laut genug. Misstrauisch wurde er erst, als die versprochene unternehmensinterne Zahlung auf sich warten ließ – und er eine weitere Zahlung veranlassen sollte.

Die Stimmenimitationssoftware basiert auf Machine Learning. Mithilfe eines selbstlernenden Algorithmus kann sie innerhalb von einigen Minuten die Stimme eines Menschen erlernen und anschließend nachahmen – inklusive der individuellen Sprachmelodie oder dem landestypischen Akzent.

Damit hat die bisher meist allein auf E-Mails basierende Betrugsmasche eine neue Variante. Trotz des relativ hohen Bekanntheitsgrads der Betrugsmasche bewegen sich die Fallzahlen seit Jahren auf relativ gleichbleibend hohem Niveau. Die Schadenssummen haben in den letzten Jahren allerdings deutlich zugenommen.

Gier provoziert Fehler: Zweite Überweisung wird vereitelt

„Der Täter wurde nach seinem ersten Erfolg gierig und witterte das große Geld“, sagt Kirsch. „Dabei wurde er auch schlampiger und machte einige Fehler: Sein zweiter Anruf kam von einer österreichischen statt einer deutschen Nummer.“ Auch die Begründung war widersprüchlich: Der ungarische Lieferant bestehe darauf, dass die Zahlung vom gleichen Konto käme, begründete der falsche Chef die zweite Zahlung. Das Empfängerkonto war allerdings ein gänzlich anderes als beim ersten Mal. Erst da wurde der Brite stutzig und rief den echten CEO an.

Die neue Variante kombiniert die bisherige E-Mail Kommunikation mit Telefonanrufen. Die Anrufe dienten insbesondere zur Vertrauensbildung und waren Euler Hermes zufolge maßgeblicher Erfolgsfaktor. Die Zahlungsanweisungen mit den mehrstelligen Kontodaten kamen – wie in der allgemeinen Geschäftspraxis – per E-Mail. Gut für die britische Tochter, denn die Telefonate des falschen Chefs wurden nicht aufgezeichnet. Durch die E-Mails mit den Zahlungsanweisungen und Kontodaten war der Tathergang und Schaden jedoch eindeutig nachweisbar.“

Schadenssummen steigen weiter

Seit 2014 tritt die Fake President Betrugsmasche Euler Hermes zufolge in Deutschland vermehrt auf und nahm in den folgenden Jahren stark zu. Der im April 2019 vom Federal Bureau of Investigation (FBI) veröffentlichte Internet Crime Report geht 2018 von über 20.000 Fake-President-Opfern aus. Laut der Studie haben die Täter mit der Betrugsmasche im vergangenen Jahr weltweit insgesamt 1,2 Mrd. US-Dollar erbeutet – das ist der größte finanzielle Posten in der Rubrik Schäden durch Internet-Kriminalität. Zwischen 2013 und 2018 haben sich die bekannten weltweiten Schäden durch Fake President auf insgesamt 12,5 Mrd. US-Dollar summiert – und die Dunkelziffer ist weiterhin hoch.

„Trotz gestiegenem Bewusstsein, dass es solche Betrugsmaschen gibt, sehen wir bisher ebenfalls keinen wirklichen Rückgang der Fallzahlen – und die Schadenshöhen steigen weiterhin an“, sagt Kirsch. „In den letzten vier Jahren haben wir allein bei Euler Hermes etwa 65 Fälle mit einem gemeldeten Schadenvolumen von mehr als 165 Mio. Euro verzeichnet. Anfangs waren es noch Einzelfälle, inzwischen sind es durchschnittlich etwa 20 Fälle pro Jahr.“

Alle Branchen und Unternehmensgrößen sind betroffen

Die Schadenshöhe der Opfer variiert dabei laut Euler Hermes zwischen rund 150.000 Euro und 50 Mio. – mit Tendenz nach oben. In Sicherheit fühlen könne sich dabei keine Branche. „Bei den betroffenen Unternehmen waren praktisch alle Branchen und Unternehmensgrößen vertreten, zunehmend auch kleine und mittelständische Unternehmen – überdurchschnittlich oft Unternehmen mit Tochtergesellschaften im Ausland“, sagt Kirsch. „Kommt es zu einer Überweisung ist Zeit Geld: Die ersten 36 bis maximal 72 Stunden sind entscheidend, ob vielleicht noch ein Teil des Geldes durch schnelles Handeln und einen guten Draht zur Hausbank zurückgeholt werden kann.“

Weniger als 1 Mio. Euro konnten bei den 65 Fällen durch schnelles Handeln und den Rückruf der Überweisungen über die Hausbank wieder beschafft werden. In den meisten Fällen war das Geld weg. Die Spur verlor sich auf Konten in China, Hongkong, Afrika, Russland, Israel oder Osteuropa. Auch Ermittlungserfolge sind selten und Täter konnten bisher nur in wenigen Einzelfällen gefasst werden.

Neue Varianten: Von Stimmenimitation über Fake IT bis zu Besteller- und Zahlungsbetrug

„Die Täter werden immer professioneller“, sagt Kirsch. „Laufend entwickeln sie ihre Methoden weiter. Erst kamen Zahlungs- und Bestellerbetrug, Fake IT Mitarbeiter und schließlich Geschenkkarten. Dass sie jetzt auf künstliche Intelligenz zurückgreifen ist nur logisch. Das werden wir in Zukunft sicher häufig sehen. Wenn sie gut gemacht sind, ist das ein enormes Risiko und es könnte Fallzahlen und Schadenssummen nach oben treiben.“

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46117528)