Wenn Künstliche Intelligenz die Stimme fälscht.

Durch den Einsatz von KI erreicht Telefonbetrug eine neue Dimension. Die Betrugsanrufe wirken oft täuschend echt. Wer die Maschen kennt, kann sich besser schützen.

Künstliche Intelligenz unterstützt heute zahlreiche Anwendungen im Alltag, etwa digitale Sprachassistenten oder automatisierte Telefonsysteme. Doch die Technologie birgt auch Risiken: Kriminelle setzen sie zunehmend für neue, täuschend echte Betrugsmaschen ein.  Eine besonders fiese Methode ist das sogenannte KI-Vishing.

Was ist KI-Vishing?

Beim Voice-Phishing – auch Vishing genannt – versuchen Kriminelle am Telefon sensible Daten oder Geld zu erbeuten. Mithilfe von KI imitieren sie mittlerweile nahezu originalgetreu die Stimmen vertrauter Personen, etwa von Angehörigen, Führungskräften oder Bankmitarbeitenden.

Die Technologie entwickelt sich rasant. Was früher aufwendige Spezialtechnik erforderte, lässt sich heute einfach umsetzen. Schon ein paar Sekunden öffentlich zugänglichen Audiomaterials – etwa ein Interview oder Social-Media-Clip – reichen oft aus, um eine fast perfekte Stimmkopie zu generieren.

Stimmen gelten als besonders vertrauenswürdig und genau das machen sich Kriminelle zunutze. Die Anrufe wirken authentisch, bauen Dringlichkeit auf und spielen gezielt mit Emotionen: „Hier spricht Ihre Bank, es gab einen Sicherheitsvorfall.“ Oder Kriminelle geben sich als Familienmitglieder aus, die sich angeblich in einer Notlage befinden und dringend Geld benötigen. Solche Situationen erzeugen starken Handlungsdruck und erschweren es, klar zu denken.

Das Vorgehen folgt typischen Social-Engineering-Mustern: Vertrauen gewinnen, Stress erzeugen und zu schnellen Handlungen drängen. Was sich durch KI-Vishing verändert ist die Glaubwürdigkeit. Es wird für Betroffene immer schwieriger, echte von gefälschten Stimmen zu unterscheiden. Zudem kombinieren Angreifende oft mehrere Methoden, etwa eine vorbereitende E-Mail oder SMS, gefolgt von einem Anruf mit imitierter Stimme und gefälschter Rufnummer. Dabei wird die angezeigte Telefonnummer technisch manipuliert, so dass beispielsweise die 116 116 auf dem Display erscheint. Diese Mehrfachstrategie erhöht die Erfolgschancen deutlich.

So schützt man sich:

• Bewahren Sie eine gesunde Skepsis, vor allem bei beunruhigenden Nachrichten.
• Geben Sie keine Passwörter, PINs, TANs oder Kontodaten am Telefon weiter. Kreditinstitute und seriöse Unternehmen fragen niemals danach.
• Lassen Sie sich nicht unter Druck setzen. Bleiben Sie ruhig und besonnen.
• Vertrauen Sie Ihrem Bauchgefühl und legen Sie auf, wenn etwas nicht stimmt. Das ist nicht unhöflich, sondern clever.
• Rufen Sie die angeblich betroffene Person oder Institution direkt über eine bekannte Nummer zurück.
• Aktivieren Sie Push-Benachrichtigungen für Kontobewegungen und nutzen Sie Zwei-Faktor-Authentifizierung.
• Vereinbaren Sie mit Familienmitgliedern eine Sicherheitsfrage, etwa: „Wie hieß unser erstes Haustier?“.
• Informieren Sie bei Verdacht die Polizei und erstatten Sie Anzeige.
• Haben Sie sensible Bankdaten weitergegeben: Sperren Sie Konto und Karten umgehend. Entweder bei Ihrem Kreditinstitut oder rund um die Uhr über den Sperr-Notruf 116 116.
  
  

KI-Vishing betrifft nicht nur Privatpersonen. Auch Unternehmen geraten zunehmend ins Visier der Kriminellen, hier ein paar Beispiele aus dem Internet:

• Ein Unternehmer erhält einen dringenden Anruf, angeblich vom italienischen Verteidigungsminister: Es gehe um die Freilassung entführter Journalistinnen und Journalisten. Eine eilige Millionenzahlung sei notwendig.
• In Hongkong überweist ein Bankangestellter 24 Millionen Euro auf Anweisung eines KI-generierten „Finanzvorstands“ in einem Video-Call.
• Ein britischer CEO transferiert 220.000 Euro im Glauben mit einem Kollegen zu sprechen.

Die Stimme allein ist kein sicheres Identitätsmerkmal mehr. Umso wichtiger ist es, wachsam zu bleiben, Auffälligkeiten ernst zu nehmen und im Zweifel lieber einmal zu viel als einmal zu wenig nachzufragen.

Social-Engineering-Methoden kurz erklärt:

Phishing: Gefälschte E-Mails führen auf täuschend echt gestaltete Webseiten, um Zugangsdaten abzugreifen.

Smishing: Täuschung per SMS oder Messenger – häufig im Namen von Banken, Sparkassen oder Paketdiensten – mit Links zu betrügerischen Seiten.

Quishing: Manipulierte QR-Codes, etwa in gefälschten Bankanschreiben, leiten auf Phishing-Seiten weiter.