Security

Cybercrime voraus: KI in der Betrugsprävention

By David Capezza, Vice President Risk, Europe

Mann am Laptop mit Sicherheitsschloss

Seit der Markteinführung von ChatGPT im November 2022 erleben wir, wie künstliche Intelligenz (KI) Einzug in unser privates und berufliches Leben hält. Von Deepfakes bis hin zur Umgehung biometrischer Daten entwickelt sich die Nutzung von KI durch Betrüger rasant weiter. Doch wie genau rüsten sich Cyberkriminelle mit neusten Technologien auf und wie können Finanzinstitute dagegenhalten?

KI hat auch die kriminelle Seite des Finanzsektors im Sturm erobert. So ist ein Untergrund-Netzwerk von Marktplätzen und Dark-Web-Suchmaschinen entstanden, das kriminellen Akteuren Zugang zu polymorphen Malware-Erstellungsmaschinen, biometrischen Umgehungen, für Betrug konfigurierten KI-Chatbots und mehr bietet. Die Verbreitung der generativen KI (GenAI) fügt noch eine weitere Ebene hinzu: Denn die Technologie kann durch Deepfakes die Erkennung von Phishing-Versuchen umgehen.

Eine Analyse von Visa ergab, dass solche Social-Engineering-Angriffe zunehmend auf alternative und schnell wachsende Zahlungswege – wie Konto-zu-Konto-Zahlungen oder Kryptowährungen – abzielen. Diese verfügen unter Umständen über weniger ausgereifte Schutzmechanismen. Laut der von Visa im Juni 2023 durchgeführten Studie „The Impact of APP Scams“  ist bereits ein Drittel aller britischen Verbraucher:innen Opfer von Betrug mit autorisierten Push-Zahlungen (APP) geworden. Nach Angaben von UK Finance beliefen sich die Gesamtverluste durch APP-Betrug im selben Jahr auf fast 460 Millionen Pfund. Diese Zahlen zeigen, wie groß die Herausforderung wirklich ist.

Um auf diese wachsende Bedrohung zu reagieren, müssen Finanzinstitute mit ebenfalls KI-gestützten Gegenmaßnahmen kontern. Das betrifft das Onboarding, die Authentifizierung, die Autorisierung und die Zahlungen nach der Transaktion – sowohl bei Karten- als auch bei Konto-zu-Konto-Zahlungen bzw. Zahlungen in Echtzeit. Nur so kann letztlich sichergestellt werden, dass der Geschäftsfluss nicht unterbrochen wird.

Die Betrugslandschaft im Wandel: Cyberkriminalität und KI

Entgegen der Schlagzeilen über zunehmenden Betrug, verzeichnet Visa im eigenen Netzwerk in Europa Jahr für Jahr sinkende Betrugsraten . Dieser Zusammenhang ist von entscheidender Bedeutung, denn das Zahlungssystem ist nach wie vor stark und Kartenzahlungen bleiben eine der sichersten Möglichkeiten für Kund:innen und Händler, Transaktionen durchzuführen.

Natürlich gibt es auch neue Risiken. Die zunehmende Offenheit der Kommunikation ist dabei eine Herausforderung und wird durch eine wachsende Zahl von Peer-to-Peer- (P2P) und Social-Media-Kanälen, Coding-Foren und anderen Dark-Web-Arenen verschärft. In einigen Fällen unterstützen diese Netzwerke das Vorgehen der Betrügenden. Die Kriminellen profitieren dabei von besserer Technologie, Kommunikation und Organisation – von automatisierten Angriffen über Bots bis hin zu Modellen des maschinellen Lernens (ML), die ihre Taktiken im Laufe der Zeit verbessern. In den kommenden Jahren wird GenAI Kriminellen dabei helfen, viele der traditionellen Abwehrmechanismen von Finanzinstituten zu überwinden und Verbraucher:innen direkt anzugreifen.

Während die meisten Open-Source-KI-Modelle in Sicherheitsrahmen eingebunden sind, haben Cyberkriminelle herausgefunden, wie sie diese für kriminelle Zwecke verändern können. Diese neuen Modelle, bei denen alle rechtlichen Grenzen aufgehoben sind, stellen vielleicht die größte Herausforderung für den privaten und öffentlichen Sektor dar.

GenAI hat die “Demokratisierung” von Betrugsfähigkeiten ermöglicht: Täter müssen keine Spezialisten mehr sein. Sie können nun Dienstleistungen im Dark Web mieten, um z.B. wirksame Phishing-Inhalte zu erstellen, SMS-Betrugskampagnen zu verbreiten oder Befehls- und Kontrollinfrastrukturen zu automatisieren. Die Zukunft der Cyberkriminalität liegt in der Automatisierung und dem zentralen Zugang zu einer ganzen Palette modernster Angriffswerkzeuge.

Finanzinstitute vs. Betrügende: Das Katz- und Maus-Spiel

Die gute Nachricht ist, dass das Ökosystem des Zahlungsverkehrs solide Arbeit leistet und über ebenso ausgefeilte Instrumente verfügt, um Cyberkriminalität zu bekämpfen. Visa hat weltweit mehr als 11 Mrd. Dollar in Technologien investiert, um die Betrugsraten weiter zu senken und die Netzwerksicherheit zu verbessern. Diese Wachsamkeit zwingt Kriminelle, sich auf den letzten und anfälligsten Teil der Wertschöpfungskette zu konzentrieren: Händler, Händlerterminals und die Verbraucher:innen selbst. Die bevorzugte Taktik der Betrügenden: Sie beobachten die Klickraten ihrer Kampagnen – sei es für Zielgruppen, Regionen oder Netzwerktypen – und fokussieren sich auf die erfolgversprechendsten Bereiche. 

Wir empfehlen eine dreiteilige Reaktion. Erstens sind mehrgleisige Sicherheitsstrategien jetzt unerlässlich, um alle Zahlungsformen in Echtzeit zu überwachen. Dies kann eine risikobasierte Authentifizierung und eine Echtzeitbewertung für Kartenzahlungen, Konto-zu-Konto-Zahlungen und andere Zahlungen beinhalten. Denn es gibt weltweit mehr Möglichkeiten, zu bezahlen und bezahlt zu werden, als jemals zuvor. Dieses mehrgleisige System hat zwar den Wettbewerb und die Qualität der Dienstleistungen gefördert, aber auch die Angriffsfläche vergrößert.

Zweitens ist es von entscheidender Bedeutung, dass jede Lösung auf den Kunden zugeschnitten ist – so wie jede Cyberkriminalität auf das Opfer. Banken, Händler und Zahlungsdienstleister müssen sowohl über globale, systemübergreifende Fähigkeiten verfügen als auch über Maßnahmen, um ihre eigenen Infrastrukturen, Geschäftsbereiche, Kundenstämme und Schwachstellen steuern und absichern zu lönnen. Es braucht Mechanismen, mit denen die individuelle Sicherheitsarchitektur eines Unternehmens im Zahlungsverkehr getestet werden kann.

Maßgeblich ist jedoch, dass diese Lösungen nicht für sich allein stehen, sondern sinnvoll miteinander verzahnt werden, um ihre volle Wirkung zu entfalten. Sicherheit muss mehrschichtig gedacht werden: von Maßnahmen zur Netzwerksegmentierung über Vertrauenskontrollen unter den Mitarbeitenden bis hin zu Strategien für Cybersicherheit, Geldwäschebekämpfung, Kund:innenkenntnis und Betrugsbekämpfung. Auch Zahlungen sollten auf allen Ebenen geschützt werden, indem Sicherheitslösungen für Konto-zu-Konto-Transaktionen, Business-to-Business (B2B), Business-to-Consumer (B2C), Kartenzahlungen, Kryptowährungen und weitere Zahlungsarten aufeinander abgestimmt werden. Entschädigungsmaßnahmen für Händler und Endnutzer:innen sollten effizient, einfach und automatisiert sein.

GenAI muss ein wichtiger Teil des Arsenals werden, um die Bewertung von Transaktionsrisiken zu vertiefen sowie Authentifizierungsmodelle in Echtzeit zu erleichtern. KI kann auch für interne Abläufe eingesetzt werden, um die Entwicklung, Kodierung und Schulung von Modellen zur Erkennung von Kontoangriffen zu beschleunigen. Zusammengenommen können diese Strategien dafür sorgen, dass Zahlungsdienstleister der sich ständig weiterentwickelnden Bedrohung stets einen Schritt voraus sind.

Für einen zukunftssicheren Zahlungsverkehr

Trotz aller Herausforderungen bleiben Kartenzahlungen eine der sichersten Arten, weltweit zu zahlen, Geld zu senden oder zu empfangen. Angesichts der sich schnell wandelnden und hochkomplexen Betrugslandschaft ist ein vielschichtiger und vor allem maßgeschneiderter Ansatz zur Zahlungssicherheit unerlässlich, um langfristigen Schutz zu gewährleisten.

Tag: Artificial Intelligence