Neuester Bildgenerator von ChatGPT erstellt täuschend echte Pässe

Schutzmechanismus aushebeln und in wenigen Minuten ist ein Pass erstellt, mit dem ein Bankkonto eröffnen oder eine Versicherungsleistung erschlichen werden kann. Die neuste Version der KI von OpenAI leiste der "Demokratisierung des Betrugs" Vorschub, demonstriert das Threat-Research-Team von Cato Networks. Unternehmen stellt diese Entwicklung vor erhebliche Herausforderungen.

Schutzmechanismus ausgehebelt: So leicht lässt sich Etay Maor, Chief Security Strategist bei Cato Networks, mit der neusten Version von ChatGPT einen israelischen Personalausweis erstellten

Gibt man das Porträtfoto einer Person bei ChatCPT ein, die nicht im prominent und somit auch nicht im öffentlichen Interesse steht, spuckt die KI den Hinweis aus: "Ergebnisse für Personen sind eingeschränkt". Man sollte annehmen, dass dies auch für die Erstellung von höchst offiziellen Dokumenten gilt. Etay Maor, Chief Security Strategist bei Cato Networks, hat sein Bild und einige persönliche Daten im neusten Bildgenerator von ChatGPT hochgeladen, mit der Anweisung, eine Visitenkarte in Stil eines Reisepasses zu erstellen. Er erhielt daraufhin ein täuschend echt wirkendes Ausweisdokument. Bei eine digitalisierten Indentitätsfeststellung, bei der man oft nur die Kopie eines Passes hochladen muss, kann man mit der Fälschung schon viel anfangen, zumal die KI nicht nur visuelle Details wie Stempel und Bildüberlagerungen reproduziert, sondern auch subtile Merkmale wie die Textur von Handschriften oder Unregelmäßigkeiten im Tintenauftrag, die in echten Dokumenten auf Authentizität hinweisen.

Diese Technologie, ursprünglich für kreative Zwecke wie die Erstellung von Avataren oder Symbolbildern entwickelt wurde, werde zunehmend von Kriminellen zweckentfremdet, um überzeugende Fälschungen zu erstellen, schreiben die Security-Experten von Cato Networks. Und zwar in wenigen Minuten ohne jegliches Wissen eines geübten Fälschers, der früher viele Stunden in Photoshop ein Plagiat erstellen musste. "Dies markiert einen Wendepunkt in der Bedrohungslandschaft und ebnet den Weg für sogenannte 'Zero-Knowledge'-Angreifer, also Kriminelle, die ohne tiefgreifende Fachkenntnisse ausgefeilte Betrugsstrategien umsetzen können", warnt Cato Networks. So lasse sich insbesondere der neueste Bildgenerator von OpenAIs ChatGPT zur Erstellung gefälschter Dokumente wie Pässen nutzen, wie Etay Maor am eigenen Beispiel zeigt. Die Einschränkungen des neuesten Bildgenerators von ChatGPT konnte er durch "geschickt formulierte Anfragen" aushebeln.

Es braucht mehrstufige Verifikationsprozesse

Die Folgen dieser Entwicklung sind weitreichend: Mit gefälschten Identitätsdokumenten können Kriminelle unter anderem neue Bankkonten eröffnen, bestehende Konten übernehmen oder Versicherungsbetrug begehen. Eine gefährliche Entwicklung, die diese "Demokratisierung des Betrugs" in Gang setzt, nennt Cato Networks sie wenig mit diesem wenig schmeichelhaften Begriff.

Das Beispiel zeigt, dass Unternehmen ihre Sicherheitsstrategien einmal mehr an die KI-Innovationen anpassen müssen, die ihrerseits von Kriminellen eingesetzt werden. "Neben den klassischen Maßnahmen gegen Phishing und Malware rückt die Prävention von dokumentenbasierten Angriffen in den Fokus. Es reicht nicht mehr aus, sich auf technologische Lösungen zu verlassen, vielmehr ist ein ganzheitlicher Ansatz erforderlich, der unter anderem mehrstufige Verifikationsprozesse umfasst", so Cato Networks.

Gegen perfiden KI-Betrug schützen KI-gestützte Betrugserkennungssysteme, die laut Cato Networks implementiert werden müssten, "um mit der rasanten Entwicklung der generativen KI Schritt zu halten". Die Schattenseite dieser "Demokratisierung von Hochtechnologie" ist offenkundig: Es findet ein Hochschaukeln auf beiden Seiten der Akteure statt, der guten wie der bösen Anwender von KI. Letztlich werden wohl nur gesetzliche Regelungen und Strafen helfen, wenn Unternehmen keine wirksamen technischen Maßnahmen gegen den betrügerischen Missbrauch ihrer KI-Tools ergreifen. Wenn, wann nicht jetzt, sollten Unternehmen auch alle Identifikationsprozesse auf ein Multifaktor-Authentifizierung umstellen – lediglich eine Authentifizierung vorzunehmen, reicht nicht mehr.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden

Die renommierten CRN Channel Award 2025 für Hersteller, Distributoren, IT-Dienstleister, Managerinnern und Manager: Jetzt bewerben – alle Infos hier