KI-Betrug: Cyberkriminelle nutzen ChatGPT für perfekte Phishing-Attacken
Künstliche Intelligenz revolutioniert Cyberkriminalität mit täuschend echten Phishing-Angriffen, die jährlich Milliardenschäden verursachen. Neue Regulierungen verlagern die Haftung auf Banken.
Eine neue Generation von Cyberkriminellen setzt künstliche Intelligenz ein, um täuschend echte Phishing-Angriffe zu starten. Aktuelle Untersuchungen zeigen: Generative KI-Tools machen es so einfach wie nie, Verbraucher und Unternehmen zu betrügen. Die Angriffe sind inzwischen so ausgereift, dass sie selbst Experten täuschen können.
Das Ausmaß des Problems verdeutlicht eine aktuelle Studie: Führende KI-Chatbots wie Grok und Meta AI lassen sich problemlos dazu missbrauchen, maßgeschneiderte Phishing-Attacken zu entwickeln. Forscher zeigten, wie die Systeme mit minimalem Aufwand überzeugende Betrugs-E-Mails erstellen gezielt ausgerichtet auf vulnerable Gruppen wie Senioren.
Vorbei sind die Zeiten, in denen Betrugs-E-Mails an schlechter Grammatik oder Rechtschreibfehlern erkennbar waren. Kriminelle können jetzt personalisierte und sprachlich perfekte Nachrichten in industriellem Maßstab produzieren. Das FBI warnt: Generative KI hat das Phishing-Problem dramatisch verschärft. Die Schäden gehen jährlich in die Milliarden.
Anzeige: Übrigens: Viele Angriffe treffen zuerst das Smartphone per Mail, Messenger oder gefälschter Banking-Seite. Mit wenigen, oft übersehenen Einstellungen machen Sie Ihr Android deutlich widerstandsfähiger gegen Phishing, Datenklau und Schad-Apps. Ein kostenloser Ratgeber erklärt Schritt für Schritt die 5 wichtigsten Schutzmaßnahmen ohne Zusatzkosten und für Einsteiger geeignet. Jetzt das kostenlose Android?Sicherheitspaket sichern
Neue Dimension: Deepfakes machen Betrug unsichtbar
Cyberkriminelle nutzen generative KI mittlerweile für perfekte, personalisierte Phishing-E-Mails, die Tonfall, Grammatik und Format vertrauensvoller Personen und Institutionen täuschend echt nachahmen. KI-Algorithmen analysieren öffentlich verfügbare Daten aus sozialen Medien und Firmen-Websites, um Nachrichten zu erstellen, die auf aktuelle Käufe, Interessen oder berufliche Kontakte des Opfers eingehen.
Laut einem Bedrohungsbericht für 2025 nutzten 67,4 Prozent aller Phishing-Angriffe im Jahr 2024 bereits KI-Technologie.
Die Bedrohung beschränkt sich längst nicht mehr auf Text. Angreifer setzen verstärkt auf KI-generierte Deepfake-Audio- und Videobotschaften von Führungskräften oder Kollegen, um dringende Geldtransfers oder sensible Daten zu fordern. Ein multinationaler Konzern verlor 2024 nach einer gefälschten Videokonferenz mit dem vermeintlichen Finanzchef 25 Millionen US-Dollar.
Diese mehrstufigen Angriffe aus überzeugenden E-Mails, realistischen Audio- und Videoinhalten stellen eine dramatische Eskalation in der Social-Engineering-Taktik dar. Sie zielen darauf ab, nicht nur menschliche Skepsis, sondern auch traditionelle Sicherheitsfilter zu überwinden.
Sicherheitslücke: Wie Betrüger die Zwei-Faktor-Authentifizierung knacken
Jahrelang galt die Zwei-Faktor-Authentifizierung (2FA) als Grundpfeiler der Cybersicherheit. Doch Kriminelle haben Techniken entwickelt, diesen kritischen Schutz zu umgehen.
Eine gängige Methode: der „MFA-Fatigue“-Angriff. Hacker, die bereits das Passwort eines Nutzers erbeutet haben, bombardieren das Opfer mit unzähligen Push-Benachrichtigungen in der Hoffnung, dass es eine aus Versehen oder Verärgerung freigibt.
Raffinierter ist die Proxy-Phishing-Website: Opfer erhalten eine E-Mail mit einem Link zu einer gefälschten Login-Seite, die identisch mit der echten aussieht etwa von Microsoft 365. Geben Nutzer ihre Anmeldedaten und den 2FA-Code auf der gefälschten Seite ein, fängt der Angreifer diese Informationen in Echtzeit ab und nutzt sie für den Zugang zum echten Account.
Millionenschäden: APP-Betrug explodiert weltweit
Das Hauptziel vieler ausgereifter Phishing-Kampagnen: Opfer dazu zu bringen, Überweisungen direkt an Betrüger-Konten zu autorisieren. Diese sogenannte APP-Betrug (Authorized Push Payment) ist besonders tückisch, weil das Opfer die Transaktion technisch selbst freigibt eine Rückholung der Gelder ist daher extrem schwierig.
Die finanziellen Folgen sind verheerend. In den USA werden die Verluste durch APP-Betrug von 2,16 Milliarden Dollar im vergangenen Jahr auf 3,08 Milliarden Dollar bis 2028 steigen.
In Großbritannien schnellten APP-Betrugsfälle um zwölf Prozent nach oben, 76 Prozent der Fälle entstammen Online-Aktivitäten. Häufige Formen sind Warenbetrug mit nicht existierenden Produkten oder Impersonation-Betrug, bei dem sich Kriminelle als Bank, Polizei oder andere vertrauensvolle Organisationen ausgeben.
Anzeige: Passend zum Thema Online-Zahlungen: Wer bei Einkäufen im Netz oder beim Geldsenden auf mehr Sicherheit setzen will, sollte die Schutzfunktionen seines Zahlungsdienstes kennen. Ein kostenloser Ratgeber erklärt Schritt für Schritt die sichere Einrichtung von PayPal, den Käuferschutz und 5 Profi-Tipps für mehr Datenschutz. Ideal für Einsteiger, die ohne Umwege sicher bezahlen möchten. Gratis: PayPal Startpaket herunterladen
Regulierung: Banken müssen jetzt für Schäden haften
Als Reaktion auf die eskalierende Krise verlagern Regulierungsbehörden die finanzielle Haftung für APP-Betrug von Verbrauchern auf Finanzinstitute. Den bedeutendsten Schritt unternahm Großbritanniens Payment Systems Regulator (PSR) mit einer verbindlichen Rückerstattungsregelung, die seit 7. Oktober 2024 gilt.
Banken müssen APP-Betrugsopfer innerhalb von fünf Geschäftstagen entschädigen, die Haftung wird 50:50 zwischen sendender und empfangender Bank aufgeteilt. Die Regelung soll Banken massive Anreize geben, in stärkere Betrugspräventionssysteme zu investieren.
Auch die USA bewegen sich in diese Richtung. Die Consumer Financial Protection Bureau (CFPB) brachte kürzlich große Fintech-Unternehmen unter ähnliche Bundesaufsicht wie Großbanken. Ein Gesetzesentwurf zur Haftungsteilung nach europäischem Vorbild liegt vor.
Ausblick: KI-Rüstungswettlauf entscheidet die Zukunft
Die Zukunft der Cybersicherheit wird ein „Wettrüsten“ zwischen KI-gestützten Angriffen und KI-getriebenen Abwehrmechanismen bestimmen. Während Kriminelle KI für gezieltere und kontextbewusste Phishing-Angriffe verfeinern, müssen Banken und Cybersicherheitsfirmen eigene KI einsetzen, um Transaktionen zu analysieren und betrügerische Aktivitäten in Echtzeit zu erkennen.
Experten erwarten noch automatisiertere und personalisiertere Phishing-Angriffe, möglicherweise durch autonome Bots, die Echtzeitgespräche führen können. Für Verbraucher bleibt Wachsamkeit die erste Verteidigungslinie: FBI und CISA raten zu Misstrauen bei unaufgeforderten, dringlichen Nachrichten und zur unabhängigen Verifizierung von Geld- oder Datenanfragen.
