Mit der sogenannten Chef-Masche erbeuten Betrüger große Summen an Geld, indem sie Personen, die in einem Unternehmen zu Zahlungen berechtigt sind, per Mails gefälschte Zahlungsanweisungen schicken. Dank KI hat diese Masche offenbar jetzt eine weitere Fake-Stufe erreicht: Selbstlernende Stimmimitations-Software kann mittlerweile in wenigen Minuten den Tonfall und die Sprechweise eines Menschen erlernen. Anschließend ahmt so ein Programm die Stimme der Person täuschend echt nach.

"Das Geld war weg"

Jetzt hat das Versicherungsunternehmen Euler Hermes den ersten Schadensfall durch künstliche Intelligenz mit Stimmimitations-Software ausführlich dokumentiert. Laut Rüdiger Kirsch, dem Betrugsexperten bei Euler Hermes, gab es in dem konkreten Fall zunächst einen Anruf des vermeintlichen CEO des Unternehmens beim Chef der britischen Tochter mit der Bitte um eine dringende Überweisung. Dieser habe sich zwar "etwas gewundert, da er jedoch die Stimme eindeutig erkannte, hat er den Auftrag trotzdem durchgeführt. Er hat 220.000 Euro auf ein Konto in Ungarn überwiesen. Das gesamte Geld war weg."

Die Begründung für die ungewöhnliche Anweisung klang durchaus plausibel: Der falsche Chef gab vor, dass er die Überweisung zunächst selbst veranlassen wollte. Da es jedoch bereits Freitagnachmittag und in Deutschland nach 16 Uhr war, wäre die dringende Transaktion erst am Montag ausgeführt worden. In Großbritannien war es zum Zeitpunkt des Anrufs aufgrund der Zeitverschiebung noch vor 16 Uhr. Der Betrüger bat daher darum, der Chef des britischen Tochterunternehmens möge das Geld sofort überweisen, damit es den Empfänger noch pünktlich erreicht.

Betrugs-KI spricht Englisch

Die Zeitverschiebungs-Begründung war, wie alles andere, selbstverständlich ausgedacht. Doch es gibt einen handfesten Grund, warum gerade eine britische Tochter Ziel des Betrugs wurde. Die vermutlich verwendete Stimmimitations-Software kenne aktuell nur Englisch, erklärt der Betrugsexperte. Unternehmen sollten daher gerade ihre ausländischen Niederlassungen warnen und dafür sensibilisieren, dass die Betrüger ihre Masche weiterentwickelt und um Telefonanrufe erweitert haben.

Auch dem britischen Chef des geschädigten Unternehmens war die Betrugsmasche grundsätzlich bekannt. Doch die gefakte Chef-Stimme klang so echt und überzeugend, dass er die gewünschte Überweisung dennoch veranlasste. Erst als eine versprochene unternehmensinterne Zahlung auf sich warten ließ, wurde er misstrauisch. Als der Betrüger schließlich eine zweite Zahlung verlangte, flog der Betrug auf. "Der Täter wurde nach seinem ersten Erfolg gierig und witterte das große Geld", meint Kirsch. "Dabei wurde er auch schlampiger und machte einige Fehler." Der zweite Anruf kam nicht von einer deutschen, sondern von einer österreichischen Nummer, und das Geld sollte auf ein anderes Konto überwiesen werden als beim ersten Mal.

CEO-Betrug reloaded



Die neue Betrugs-Variante kombiniert die als "CEO-Betrug" bekannte, per E-Mail durchgeführte Abzocke nun neuerdings mit Telefonanrufen. Die Anrufe dienen der Vertrauensbildung und waren im vorliegenden Fall ein maßgeblicher Erfolgsfaktor. Die eigentlichen Zahlungsanweisungen samt exakter Kontodaten verschickte der Betrüger auch in diesem Fall per E-Mail. Das sei für das geschädigte Unternehmen ein Glück, sagt Kirsch, "denn die Telefonate des falschen Chefs wurden nicht aufgezeichnet. Durch die E-Mails mit den Zahlungsanweisungen und Kontodaten war der Tathergang und Schaden jedoch eindeutig nachweisbar."

Nach Beobachtungen des Versicherungsunternehmens Euler Hermes tritt diese Form des Betrugs in Deutschland seit 2014 vermehrt auf. Trotz des relativ hohen Bekanntheitsgrads der Betrugsmasche bewegen sich die Fallzahlen auf hohem Niveau. Die Schadenssummen haben allerdings in den letzten Jahren deutlich zugenommen. Die Versicherung verweist auch auf einen im April 2019 vom Federal Bureau of Investigation (FBI) veröffentlichten Bericht. Der Internet Crime Report (PDF) geht von über 20.000 Opfern allein im Jahr 2018 aus. Laut der Studie haben die Täter mit der Betrugsmasche 2018 weltweit 1,2 Milliarden US-Dollar erbeutet. Laut FBI ist das der größte finanzielle Posten in der Rubrik Schäden durch Internet-Kriminalität. (dwi)