ChatGPT – Eine neue Ära des Betrugs
12.04.2023
Kaum ein anderes Thema war in den letzten Monaten so präsent wie ChatGPT. Eine künstliche Intelligenz (KI), die in der Lage ist, mit einem Menschen per Text zu kommunizieren, Informationen und Texte zusammenzufassen und sogar eigene Texte zu einem Thema zu schreiben.
ChatGPT ist aber auch aus geschäftlicher Sicht interessant. Kein anderes Produkt hat so schnell die magische Marke von 100 Millionen Nutzern erreicht. Während Instagram dafür 30 Monate benötigte, schaffte es TikTok in nur 9, und ChatGPT in unglaublichen 2 Monaten.
So gut es auch klingt, ChatGPT in den täglichen Workflow zu integrieren, um eine Menge Zeit in bestimmten Arbeitsabläufen zu sparen, die Folgen für diese Technologie können weitreichend sein, wenn sie in die falschen Hände gerät.
Im folgenden Artikel werfen wir einen Blick darauf, wie ChatGPT für (Werbe-)Betrug genutzt werden kann. Wie wird es bereits jetzt für böswillige Absichten eingesetzt und was können wir in Zukunft noch erwarten?
ChatGPT und Betrug – die Möglichkeiten sind vielfältig
Wir haben bereits mehrfach festgestellt, dass Betrüger clevere Leute sind. Sie sind Frühanwender der neuesten Technologien und finden immer Wege, sie für ihre Betrugsmaschen zu nutzen. Das ist auch bei ChatGPT der Fall. Nachfolgend ist eine teilweise Liste von Wegen, wie ChatGPT nur wenige Monate nach der offiziellen Veröffentlichung bereits von Betrügern genutzt wird.
Fake ChatGPT-Apps und -Webseiten
Sogar bevor OpenAI am 1. März eine API ankündigte, gab es bereits zahlreiche Apps in den App-Stores, die versprachen, ChatGPT auf Smartphones zu nutzen. Allen ist gemeinsam, dass sie „ChatGPT“ im Namen verwenden, um vom Hype und den gestiegenen Suchanfragen zu profitieren.
Allerdings haben viele Apps nur einen einfachen Chatbot integriert und zeigen ständig versteckte Werbung im Hintergrund an. Andere Apps werden für verschiedene Malware-Kampagnen genutzt, infizieren die Geräte der Benutzer und stehlen persönliche Informationen wie Passwörter und Kreditkartendaten.
Neben gefälschten Apps gibt es auch mehrere gefälschte Webseiten, die eine exakte Kopie der offiziellen ChatGPT-Webseite sind. Diese Webseiten versprechen entweder den Besuchern, ChatGPT herunterzuladen – der Dienst ist nur über den Browser verfügbar – oder fälschen die Zahlungsseite, wo sie angeblich auf ChatGPT Plus upgraden können. In Wirklichkeit verlieren die Benutzer jedoch ihr Geld und ihre Daten.
Terrorismus, Propaganda und Desinformation
ChatGPT glänzt darin, schnell und in großem Umfang authentisch klingende Texte zu produzieren. Das macht das Modell ideal für Propaganda- und Desinformationskampagnen, da Betrüger damit relativ mühelos Nachrichten erstellen und verbreiten können, die eine bestimmte Erzählung widerspiegeln.
Außerdem ist es jetzt für jedermann möglich, ein Sprachmodell mit eigenen Daten und Quellen für sehr wenig Geld zu trainieren. Ein Sprachmodell, das mit Fake News trainiert wurde, wird immer Fake News verbreiten, da es keine andere Realität kennt.
„So wie das Internet Informationen demokratisiert hat, indem es jedermann ermöglichte, Behauptungen online zu stellen, ebnet ChatGPT das Spielfeld weiter, indem es eine Welt einläutet, in der jeder mit schlechten Absichten die Macht einer Armee geschickter Schreiber hat, um falsche Geschichten zu verbreiten.“ (Quelle)
Gepaart mit den Mikrotargeting-Möglichkeiten sozialer Netzwerke ergibt sich eine hochexplosive Mischung für die nächsten Wahlen in westlichen Ländern.
Social Engineering / Identitätsdiebstahl
Nicht nur können Sprachmodelle wie ChatGPT authentisch aussehende Texte produzieren, sie können dies auch in einem bestimmten, vorbestimmten Sprachstil tun. Europol warnt sogar ausdrücklich davor in ihrem Papier „ChatGPT – The Impact of Large Language Models on Law Enforcement”:
„Die Fähigkeit von LLMs, Sprachmuster zu erkennen und nachzuahmen, erleichtert nicht nur Phishing und Online-Betrug, sondern kann auch allgemein genutzt werden, um den Sprachstil bestimmter Personen oder Gruppen nachzuahmen. Diese Fähigkeit kann weitreichend missbraucht werden, um potenzielle Opfer zu täuschen und ihnen Vertrauen in kriminelle Akteure zu entlocken.“ (Quelle)
Abgesehen von Phishing-Angriffen kann diese Fähigkeit auch auf gefälschten Webseiten genutzt werden. Bisher haben Betrüger meist eine exakte Kopie der Landing Page eines Unternehmens erstellt, oft mit Tools wie HTTrack. Mit ChatGPT haben sie jetzt jedoch die Möglichkeit, eine komplette Website zu fälschen, die tatsächlich echt wirken könnte, es aber nicht ist.
So täuschen Betrüger sowohl Besucher als auch Sicherheitssysteme, die in den meisten Fällen nur nach exakten Kopien der echten Seite suchen. Diese Systeme werden einfach durch den veränderten Inhalt getäuscht, während gleichzeitig für die Besucher der Anschein einer echten Website erhalten bleibt.
Phishing & Betrug
Wahrscheinlich eine der offensichtlichsten Anwendungen von ChatGPT im Hinblick auf Betrüger sind Texte für Phishing-Mails. Nicht nur wird die Qualität der Phishing-E-Mails aufgrund perfekt geschriebener Texte in Zukunft deutlich ansteigen, Betrüger werden in der Lage sein, viel schneller, authentischer und in einem viel größeren Maßstab zu agieren, dank der Hilfe von ChatGPT.
„Ein einzelner Betrüger kann jetzt von seinem Laptop aus, überall auf der Welt, Hunderte oder Tausende von Betrügereien parallel laufen lassen, Tag und Nacht, mit Opfern auf der ganzen Welt, in allen erdenklichen Sprachen.“ (Quelle).
Bereits Anfang März hat Bitdefender auf eine neue Phishing-Kampagne aufmerksam gemacht, die eine gefälschte ChatGPT-Plattform nutzt, um arglose Investoren davon zu überzeugen, ihr Geld in die Plattform zu investieren und dann an den Auszahlungen zu profitieren.
Eine weitere Phishing-Kampagne nutzte die große Entlassungswelle in der Tech-Branche 2022, um sich an verzweifelte Arbeitskräfte zu wenden, die auf der Suche nach einem neuen Job sind. Die Betrüger geben sich als Arbeitgeber oder Personalvermittler aus und sind sehr geschickt darin, ihre Geschäftsprofile (z.B. LinkedIn) überzeugend aussehen zu lassen.
Sobald sie ein Opfer an der Angel haben, fragen sie nach einiger Zeit nach einer Zahlung für den Kauf eines Laptops und deren Bankdaten, damit angeblich eine Rückerstattung erfolgen kann. Das Opfer glaubt somit, einen neuen Job gefunden zu haben und erhält in den nächsten Tagen einen Laptop zusammen mit einer Rückerstattung dafür. In Wirklichkeit stehlen die Betrüger das Geld und die persönlichen Daten (einschließlich Ausweis und Bankdaten) und verschwinden dann für immer.
Automatisch generierter bösartiger Code
ChatGPT wurde nicht nur mit Milliarden von Texten trainiert, sondern auch mit unzähligen Codezeilen. Andere KIs wie GitHubs Copilot (oder Copilot X, das GPT-4 einbezieht) wurden ausschließlich mit Code trainiert.
Während diese Tools Entwicklern viel Zeit in ihrer täglichen Arbeit sparen können, schaffen sie auch ein vollkommen neues und enormes Problem: Sie erlauben es unerfahrenen Entwicklern, komplexe Malware mit einfachen Textanweisungen zu erstellen.
„Kurz nach der öffentlichen Veröffentlichung von ChatGPT demonstrierte ein Blog-Post von Check Point Research vom Dezember 2022, wie ChatGPT genutzt werden kann, um einen vollständigen Infektionsablauf zu erstellen, vom Spear-Phishing bis zum Ausführen einer Reverse-Shell, die englische Befehle akzeptiert.“ (Quelle)
Werbebetrug mit vollautomatisch erstellten Fake-Webseiten
Wenn man alle potenziell schädlichen Anwendungsfälle von ChatGPT kombiniert, wird schnell klar: Es war noch nie so einfach für Betrüger, sowohl das technische Fundament, die Inhalte als auch das „Marketing“ für eine gefälschte Webseite oder App voll zu automatisieren.
Der clevere Teil ist, dass diese Fälschungen keine Kopie einer bestehenden Webseite oder App sein müssen, sondern durch eine Kombination verschiedener KIs einzigartige Inhalte bieten können. Die sprachlich perfekten Texte für die Webseite stammen von ChatGPT, die Bilder von Midjourney oder Dall-E, und die Bannerwerbung, um Besucher auf die Seite zu locken, können mit Tools wie AdCreative erstellt werden.
Tatsächlich nutzen Betrüger bereits seit mehreren Jahren verschiedene Tools, um gefälschte Webseiten mit plagiierten Inhalten zu erstellen. Während in der Vergangenheit sogenannte „Article Spinner“-Tools verwendet wurden, die einfach einzelne Wörter durch Synonyme in einem vordefinierten Text ersetzten. Mit Tools wie ChatGPT und Bildgeneratoren wie Midjourney haben Betrüger jetzt die Möglichkeit, einzigartige Inhalte zu erstellen, die sich kaum von echten unterscheiden.
Es überrascht nicht, dass es im Internet bereits zahllose Anleitungen gibt, wie man automatisiert eine Webseite in Kombination mit ChatGPT erstellen kann.
Technisch unerfahrene Betrüger können so noch einfacher gefälschte Seiten erstellen, die sie mit Werbeplätzen ausstatten. Die Werbeplätze werden dann hauptsächlich von Werbetreibenden über sogenannte Open-Auction-Inventare gekauft.
Das Problem ist, dass diese gefälschten Webseiten von echten Menschen oft nie gesehen, sondern mit bot-generiertem Traffic monetarisiert werden. Werbetreibende zahlen also für Werbung an Bots auf Webseiten, die automatisch von der KI generiert wurden.
Unsere Prognose: ChatGPT wird das Leben für Betrüger deutlich erleichtern
Nachdem wir eine Vielzahl verschiedener Anwendungsmöglichkeiten von ChatGPT im Hinblick auf (Werbe-)Betrüger aufgezeigt haben, möchten wir mit einer kleinen Prognose schließen.
Wir denken, dass KIs wie ChatGPT das Leben für Betrüger deutlich erleichtern werden. Es war noch nie einfacher, Texte, Bilder und Code automatisch zu erstellen und die einzelnen Komponenten zu kombinieren.
Konkret gehen wir von folgenden Dingen aus:
Mehr Propaganda- und Desinformationskampagnen
Die Aussagen von künstlicher Intelligenz wie ChatGPT könnten als Maßstab für die Wahrheit herangezogen werden. Schließlich muss etwas wahr sein, wenn eine Maschine, die auf Milliarden von Texten basiert, es sagt. Besonders in Zeiten eines Wahlkampfs kann dies enormen Schaden und Vertrauensverlust verursachen.Bessere Phishing-Kampagnen
Die Qualität in Bezug auf Rechtschreibung und Grammatik von Phishing-E-Mails wird sich schnell stark verbessern. Dadurch wird es zunehmend schwieriger, Betrug von echten Mails zu unterscheiden. Auch die E-Mail-Kommunikation zwischen Betrügern und Opfern könnte in Zukunft automatisiert werden. Dies wird die Zeit, die Betrüger benötigen, enorm reduzieren, und sie können sich darauf konzentrieren, noch mehr und noch bessere Phishing-Mails zu erstellen.Mehr gefälschte Webseiten
Wir gehen auch von einem massiven Anstieg gefälschter Webseiten aus, die für Werbebetrug missbraucht werden. Diese Seiten erscheinen in sogenannten DSPs (Demand Side Platforms) und werden hauptsächlich genutzt, um Werbung für künstlich generierten Traffic anzuzeigen. Der Grund für den Anstieg: Zum einen wurde die Eintrittsbarriere für technisch unerfahrene Betrüger extrem gesenkt, und zum anderen haben erfahrene Betrüger nun eine Möglichkeit, Webseiten noch realistischer erscheinen zu lassen. Wir erwarten auch, dass solche gefälschten Webseiten sich immer häufiger in den organischen Suchergebnissen finden. Ein wesentlicher Faktor von ChatGPT ist, dass obwohl die Texte auf bereits bestehenden Inhalten basieren, die generierten Texte nicht im klassischen Sinne „duplicate content“ darstellen, da sie keine 1:1-Kopie sind. So wird es für Webseiten, die ausschließlich auf KI-generierte Inhalte setzen, leicht, organische Rankings in Suchmaschinen zu erreichen. Leider fehlt heute immer noch eine zuverlässige Erkennung, ob Texte mit Hilfe einer KI erstellt wurden.
Wir hoffen, dass wir dir mit unserem Artikel einen guten ersten Einblick in das Potenzial von ChatGPT in Verbindung mit (Werbe-)Betrug geben konnten und dein Bewusstsein für die bevorstehende Zukunft etwas geschärft haben.
