Deepfakes: Gesichtserkennungs-Systeme der Banken ausgetrickst

Der Cybersecurity-Konzern Sensity hat sich auf Angriffe mit Gesichtern, die über künstliche Intelligenz generiert wurden, spezialisiert und nun die am häufigsten genutzten Verifizierungs-Systeme getestet. Sensity nutzt Deepfakes, um das Bild einer Zielperson auf eine ID-Karte zu kopieren und das Gesicht anschließend als Video zu übertragen. Banken und andere Institutionen greifen auf sogenannte Live-Tests zurück, um ihre Kunden identifizieren und sich damit vor Betrügern schützen zu können. In den Tests werden die Nutzer dazu aufgefordert, eine ID-Karte zu scannen und in die Kamera ihres Geräts zu schauen. Außerdem werden den Kunden unterschiedliche Anweisungen gegeben, sodass die Nutzer beispielsweise ihren Kopf zur Seite neigen oder lächeln müssen. Damit soll überprüft werden, ob der Kunde wirklich vor dem Bildschirm sitzt oder ob lediglich ein aufgezeichnetes Video abgespielt wird.

Neun von zehn Systeme sind unsicher

Von den zehn getesteten Verifizierungs-Systemen sollen neun Systeme anfällig für Deepfake-Angriffe sein. Das hat Sensity-COO Francesco Cavalli dem Online-Magazin The Verge mitgeteilt. Aus rechtlichen Gründen wurden die Namen der verwundbaren Dienste jedoch nicht veröffentlicht. Die anfälligen Live-Tests sollen bei Banken, Dating-Apps sowie Kryptowährungs-Startups zum Einsatz kommen. Ein System soll verwendet worden sein, um die Identität von Wählern bei einer nationalen Wahl in einem afrikanischen Staat zu verifizieren.

Die Deepfake-Attacken könnten sich vor allem zu einem Problem für Banken entwickeln. Betrüger haben die Möglichkeit, sich falsche Identitäten zu erstellen und die Konten dann für Geldwäsche und weitere illegale Aktivitäten zu nutzen. Da die Angriffe modifizierte Geräte voraussetzen, dürfte die Technik zunächst professionellen Betrügern vorbehalten bleiben.