05.02.2024, 12:28 Uhr | Lesezeit: 4 Minuten
Mit einer raffiniert inszenierten Videokonferenz konnten Betrüger mehr als 20 Millionen Euro erbeuten. Betroffen ist ein internationaler Konzern in Hongkong, das geprellte Opfer ist ein einfacher Angestellter. Wie konnte der Millionen-schwere Betrug gelingen?
Zurzeit scheint ein Deepfake-Skandal den nächsten zu jagen. Erst verzeichnen sogenannte Nudify-Apps einen massiven Nutzeranstieg, dann wird X (Twitter) von KI-generierten Nacktbildern von Taylor Swift überflutet und nun konnten Betrüger mit einer komplexen KI-Masche mehr als 20 Millionen Euro erbeuten. Alles, was sie dazu benötigten, war eine Videokonferenz mit gefälschten Teilnehmern und ein gezielt ausgewähltes Opfer.
Abonnieren Sie unseren Kanal bei WhatsApp und verpassen Sie keine wichtigen News mehr.
Die „Chef-Masche“ kostet Unternehmen viele Millionen
Vergangene Woche in Hongkong: der Buchhaltungsangestellte eines internationalen Konzerns dürfte einen echten Schockmoment erlebt haben. Wie sich herausstellte, überwies er umgerechnet über 20 Millionen Euro an Betrüger. Die genaue Summe schwankt in Medienberichten zwischen 23 und 25 Millionen Euro. Am vergangenen Freitag machte die Hongkonger Polizei den Fall publik, um die Öffentlichkeit vor dieser Art von KI-Betrug zu warnen. Doch was genau war passiert?
Der Angestellte ist Opfer einer besonders raffinierten, KI-gestützte Variante der „Chef-Masche“ – im Englischen „CEO Fraud“ – geworden. Bei diesem Betrug wenden sich Kriminelle per Anruf oder E-Mail als angebliche Vorgesetzte an Angestellte in unteren Hierarchieebenen, meist in der Buchhaltung. Sie fordern ihre Opfer auf, für ein dringendes und außerordentlich wichtiges Projekt – Stichwort Chef-Sache – eine größere Summe zu überweisen. Die Angestellten fühlen sich durch das autoritäre Auftreten der Betrüger und etwaige Hierarchien innerhalb des Konzerns unter Druck gesetzt und führen den Auftrag aus.
Videokonferenz nur mit KI-Teilnehmern
Im Fall des nicht näher genannten Konzerns in Hongkong gingen die Kriminellen aber noch einen Schritt weiter. Der Angestellte erhielt zunächst eine E-Mail vom angeblichen Finanzchef des Unternehmens. In der E-Mail ging es um eine notwendige, aber vertraulich zu behandelnde Transaktion. Der ursprüngliche Verdacht des Angestellten, dass es sich hierbei um eine Phishing-Mail handle, wurde während der folgenden Videokonferenz gezielt zerstreut.
Online traf er nämlich nicht nur den „Finanzchef“, sondern auch Kollegen, die er persönlich kannte. Diese bestätigten die Richtigkeit des Anliegens, sodass der Angestellte schließlich 15 Überweisungen in Höhe von insgesamt 200 Millionen Hongkong-Dollar tätigte. Erst in einem späteren persönlichen Gespräch mit seinem direkten Vorgesetzten erkannte der Angestellte den Betrug.
Denn wie sich herausstellte, waren alle Teilnehmer der Videokonferenz täuschend echte, KI-generierte Deepfakes gewesen. „Bei der Videokonferenz mit mehreren Personen stellte sich aber heraus, dass alle Teilnehmer, die er sah, Fälschungen waren“, erklärte Baron Chan Shun-Ching, der leitende Polizeikommissar, gegenüber dem öffentlich-rechtlichen, Hongkonger Sender RTHK. Ohne den persönlichen Bezug zu den Kollegen hätte sich der Angestellte womöglich nicht übers Ohr hauen lassen.
Bundeskriminalamt warnt Wie Sie die 4 häufigsten Arten von Onlinebetrug vermeiden
Auch bei kleinen Betrieben Cyber-Angriffe auf Unternehmen nehmen immer mehr zu
Zahlreiche Anzeigen beim BKA Geld für Kontoeröffnung? ING warnt vor gefährlicher Betrugsmasche
Steigender Betrug mit KI und Deepfakes
Anscheinend hatten sich die Betrüger zuvor interne Videos von den betroffenen Angestellten beschafft. Mithilfe einer KI konnten sie das Videomaterial und die Stimmen so verändern, dass sie damit eine überzeugende Videokonferenz simulierten. Das Opfer wurde demnach gezielt ausgesucht.
Angesichts der erbeuteten Summe dürfte sich der Aufwand für die Betrüger gelohnt haben. Zum Verbleib des Geldes äußerte sich Hongkonger Polizei nicht. Allerdings stehen die Chancen schlecht, dass das Unternehmen die Millionensumme wiedersehen wird. Ebenso wenig ist bekannt, welche Konsequenzen der Fall für den betrogenen Angestellten hat.
Weltweit nehmen verschiedene und durch KI immer raffinierter werdende Betrugsversuche zu. Um der „Chef-Masche“ vorzubeugen, sollten Angestellte die Details auf anderen bewährten Kommunikationskanälen mit ihren Vorgesetzten klären. Der Wechsel des Kommunikationsmediums empfiehlt sich auch bei verdächtigen Anfragen wie beim Enkeltrick. Doch auch mit gestohlenen Identitäten richten Betrüger immer größere Schäden an. Beispielsweise können Kriminelle mit gestohlenen Ausweisen und Deepfake-Videos Ausweisverfahren wie Video-Ident austricksen und auf Kosten der Opfer Konten eröffnen.