28 Aug 2017

Technologisch fortgeschrittener Telefonbetrug

Sicherheit

Den Lesern dieses Blogs sind Betrüge per Telefon vermutlich bereits bekannt – eventuell haben Sie selbst sogar schon einen oder zwei dubiose Anrufe erhalten. Sie nehmen weder Angebote von Fremden an noch geben Sie Ihre persönlichen Informationen preis? Dann müsste doch eigentlich alles in bester Ordnung sein, oder?

Leider ist die Antwort: Nein, es ist nicht alles in Ordnung. Vor nicht allzu langer Zeit warnte die Federal Communications Commission (FCC) vor einem ungewöhnlichen Telefonbetrug. Betrüger riefen ihre Opfer an und stellten ihnen eine scheinbar harmlose Frage: „Können Sie mich hören?“. Die Antwort „Ja“ reichte den Kriminellen schon aus. Mithilfe der Wiedergabe einer affirmativen Antwort können Betrüger ihre Opfer nämlich für zahlbare Dienste registrieren, die später in der Telefonrechnung der Zielperson erscheinen.

Die Betrugsart, bei der der Rechnung eines Abonnenten zusätzliche Dienste hinzugefügt werden, ohne dass dieser seine Zustimmung gegeben hat (zum Beispiel tägliche Nachrichten, die das Horoskop oder Nachrichten beinhalten), wird Cramming genannt.

Wie ist Cramming überhaupt möglich? Warum können Strafverfolgungsbehörden nichts dagegen unternehmen? Und: Ist es tatsächlich möglich jemanden mithilfe von Sprachaufnahmen für zusätzliche Dienste zu registrieren?

Technisch gesehen ist Cramming deshalb möglich, weil Telefonunternehmen es erlauben, die Dienste von Drittanbietern auf der Rechnung des Kunden zu berücksichtigen.

Der Trick selber ist gar nicht mal so neu: 800Notes.com, eine Webseite, die verdächtige Telefonnummern auflistet, informierte darüber bereits im Jahr 2008. Damals wurde der Trick genutzt, um Organisationen Dienste aufzuerlegen. Den Betroffenen zufolge wurden die Aufnahmen auf derartige Art und Weise manipuliert, dass es sich so anhörte, als würden die Opfer persönlich kostenpflichtigen Diensten zustimmen.

Behörden versuchen gegen Cramming vorzugehen; 2015 verpflichtete FCC die Telekom-Giganten Verizon und Sprint dazu 158 Millionen US-Dollar zu zahlen, um den Schaden derjenigen Kunden zu begleichen, die Opfer der Telefonmasche geworden waren. Trotzdem können Betrugstechniken wie Cramming mit der Entwicklung der modernen Technologien weiterhin wachsen.

Sprach-Banking

Mit der wachsenden Beliebtheit der Stimmauthentifizierung könnte in der nahen Zukunft eine verwandte Art des Crammings zum Problem im Bankensektor werden. Eine der größten Banken im Vereinigten Königreich, Barclays, führte 2016 die Stimmauthentifizierung für alle privaten Kunden ein.

Die globale Finance-Corporation HSBC bietet ihren Kunden ebenfalls die vorteilhafte Stimmauthentifizierung, anstatt auf die Verwendung eines Passwortes zu bestehen. Kunden müssen die Bank anrufen und sich selbst mit einem Codewort identifizieren und dann laut „Meine Stimme ist mein Passwort“ sagen.

HBSC behauptet, das System sei vor Versuchen geschützt, die es mit den Sprachaufnahmen der Kunden umgehen möchten. Angeblich erstellt die Technologie der Sprachauthentifizierung einen „Stimmabdruck“, der physische und verschiedene Verhaltensnuancen erkennt.

Zudem müssen Telefonbetrüger einen Weg finden, einen Bankkunden dazu zu bewegen, den gesamten geheimen Satz auszusprechen. Das scheint zwar fast unmöglich, trotzdem können Betrüger versuchen, den Kunden dazu zu bewegen, auch wenn dafür eventuell mehrere Anrufe notwendig sind.

Sobald jemand einen Weg gefunden hat Leute auszutricksen, gibt es wieder jemanden, der nach einem Weg sucht zu verhindern ausgetrickst zu werden. Pindrop zum Beispiel hat eine Technologie entworfen, die bei der Überprüfung der Authentizität eine Vielzahl von Faktoren berücksichtigt, unter anderem den Standort. Ein Anruf, der zum Beispiel von der anderen Seite des Planeten getätigt wird, alarmiert das System. Banken nutzen diese Art von Technologie ebenfalls zur Betrugsbekämpfung.

Ein weiteres Zeichen – auch wenn es nicht 100%-ig sein mag – stellt der gewählte Kommunikationskanal dar. Den Statistiken von Pindrop zufolge nutzen Scammer VoIP in 53 % der Fälle, während die Proportion für echte Kunden eine ganz andere ist: nur 7 % der Kunden nutzen VoIP, um ihre Bank zu kontaktieren. Aus diesem Grund registriert das System automatisch VoIP-Anrufe.

Natürlich ergreifen Betrüger deshalb Gegenmaßnahmen – zum Beispiel, indem eine Verbindung schlechter Qualität simuliert wird, die es dem System erschwert, den Anrufer zu identifizieren. Es liegt auf der Hand, dass Telefonbetrüger ihre Arsenale bald mit neuen und leistungsstärkeren Tools erweitern werden.

Nichts sagen

Das Projekt VoCo (Photoshop-for-voice) wurde 2016 auf der Adobe-MAX-Konferenz vorgestellt.

Nach der Analyse eines Sprachfragments erzeugt das System eine Probe der Stimme dieser Person; eingeschlossen sind gesprochene Wörter, die nicht Teil der Quellaufnahme waren. Diese Entdeckung hat BBC-Berichten zufolge Besorgnis unter den Informationssicherheitsexperten ausgelöst. VoCo, genau wie sein grafischer Vorgänger, kann entweder zu einem Tool der Kompromittierung werden oder zu einer Methode, um Spracherkennungssystemen zu umgehen.

Adobe steht damit allerdings nicht alleine da. Google kündigte 2016 sein eigenes Projekt zur realistischen Sprachsynthese an, und Lyrebird, ein Start-up-Unternehmen mit Sitz in Kanada, stellte seine Technologie zur Sprachgenerierung im April 2017 in Aussicht. Eine 1-minütige Aufnahme ist ausreichend, um das System darauf zu trainieren, Sätze mit der zuvor aufgezeichneten Stimme einer Person zu formen. Sogar die Entwickler gaben zu, dass die Fähigkeit der Sprachsynthese gefährlich sein könnte; besonders für Personen, die in der Politik tätig sind.

Die Gründer von Lyrebird haben das ethische Problem ihrer Technologie mit dem folgenden Statement begründet: „Wir hoffen, dass bald jeder darüber Bescheid weiß, dass es eine derartige Technologie gibt und das die Imitation der Stimme einer anderen Person durchaus möglich ist“.

Wie kann man damit umgehen?

  1. Die Besonderheiten der Attacke, bei der das Opfer dazu gebracht wird ein einziges Wort („Ja“) zu sagen, verlangt eine radikale Lösung. Die FCC rät dazu, keine Anrufe von unbekannten Rufnummern anzunehmen. Wenn jemand wirklich mit Ihnen sprechen muss, wird er Ihnen eine Nachricht hinterlassen.
  2. Geben Sie keine persönlichen Daten preis.
  3. Überprüfen Sie alle Rechnungen auf Ungewünschtes.
  4. Eine individuelle Methode, die Schutz vor Telefonspam bietet, ist die Auflistung Ihrer Kontaktinformationen im nationalen Register der Nummern von telefonischen Verkäufern, um diese von der Liste auszuschließen. Natürlich gilt das nur für Länder, die über solche Register verfügen – die USA, zum Beispiel. In der EU ist das Ganze etwas schwieriger, da es kein allgemeines europäisches Register gibt. Dennoch gibt es nationale „Nicht-Anrufen“-Listen.