Banken haben damit begonnen, eine vermeintlich einzigartige Methode zur Identifizierung einer Person zu verwenden – die Stimmverifizierung. Aber in Wirklichkeit kann es durch die Stimme der künstlichen Intelligenz leicht gebrochen werden.
Gegen Ende des Winters drangen alarmierende Nachrichten an die Öffentlichkeit über eine einfache Möglichkeit, in das Sprachauthentifizierungssystem einzudringen, das Banken zur Authentifizierung von Kunden verwenden.
Im Ausland wurden mehrere Fälle festgestellt, bei denen das Spracherkennungssystem durch eine von künstlicher Intelligenz erzeugte Stimme oder durch die Stimmen von Personen aus Videos oder Podcasts verletzt wurde. Über das Problem er hat vor einiger Zeit geschrieben zum Beispiel das Vice-Portal.
Eine solche Schwachstelle könnte auch slowakische Banken betreffen, die die oben genannte Authentifizierungstechnologie verwenden. Die Sprachverifizierung wird von Tatra banka, Raiffeisen banka, 365.bank und Poštová banka angeboten. Wir haben daher untersucht, wie sie die Sicherheit ihres Systems wahrnehmen.
Statt einer sicheren Lösung eine Bedrohung?
Der Einsatz von Sprachauthentifizierungstechnologie im Bankensektor hat in den letzten Jahren deutlich zugenommen. Die Stimme sollte ein weiterer eindeutiger biometrischer Identifikator einer Person sein, beispielsweise ihr Fingerabdruck oder ihr Gesicht.
Vice-Portal-Reporter Joseph Cox hat vor nicht allzu langer Zeit eine Entscheidung getroffen MACHEN ein Experiment, um die Sicherheit dieser Technologie zu überprüfen. Also rief er die Kundenhotline seiner Lloyds-Bank in Großbritannien an. Zunächst erkundigte sich der Mitarbeiter nach dem Grund des Anrufs. Aber Cox selbst antwortete nicht, sondern spielte stattdessen eine von der KI generierte Aufnahme ab. Sie antwortete, dass sie gerne den Kontostand überprüfen würde.
Die Bank fragte nach dem Geburtsdatum, dann wurde der Kunde gebeten, den Satz „Meine Stimme ist mein Passwort“ zu wiederholen. Die Frage wurde erneut von einer künstlichen Intelligenzstimme beantwortet, die zu Cox‘ Überraschung als seine eigene erkannt wurde. Nach diesem Schritt hatte er plötzlich Zugriff auf alle kontobezogenen Informationen wie den Kontostand oder die getätigten Transaktionen.
Um in das Konto einzudringen, nutzte der Journalist ein Tool für künstliche Intelligenz von ElevenLabs, das kostenlos im Internet verfügbar ist.
Gerade die Tatsache, dass die angeblich hochsichere Lösung möglich ist bohren Auf einfache Weise, die jeder ausnutzen kann, löst es in der Cybersicherheitsgemeinschaft erhebliche Bedenken aus. Daher empfehlen Experten Unternehmen und Banken, auf andere Lösungen umzusteigen, also beispielsweise ausschließlich auf Multi-Faktor-Authentifizierung (bzw. Multi-Faktor-Authentifizierung) zu setzen.
Es ist einfach, eine Aufnahme der Stimme des Opfers zu erhalten
Dies ist jedoch nicht der einzige Fall einer Täuschung durch das Sprachverifizierungssystem. Gleich Forscher vom International Cybersecurity Institute Inszenierung Cyberangriff, um diese Form der Authentifizierung zu umgehen.
Zuerst riefen sie das Opfer an, „zwangen“ es, Fragen wie „Ja“, „Passwort“ und „Nein“ zu beantworten, mit denen sie dann in das Bankkonto einbrachen. Anschließend veränderten sie mit einem Audio-Editor die Stimme des Opfers, um den für den Zugriff auf das Konto erforderlichen Satz zu erstellen.
So haben Experten herausgefunden, dass Angriffe mittels Voice-Cloning einfacher sind, als es aussieht. Gleiche Erfahrung zerquetscht auch auf Spanisch mit einem ähnlichen Ergebnis. Für den Angriff reicht es aus, entweder die Stimme des Opfers aus dem Video zu gewinnen oder Social Engineering, in diesem Fall den Anruf des Opfers, einzusetzen. Es muss lediglich die Kontonummer oder Kundennummer hinzugefügt werden und schon kann sich der Cyberkriminelle relativ einfach Zugang zu jeder Bank verschaffen. In manchen Fällen reichen je nach den spezifischen Konditionen der jeweiligen Bank Basisdaten wie Name und Geburtsdatum völlig aus.
Demo zum Klonen von Stimmen mit dem AI-Tool von Eleven Labs:
Trotz dieser Feststellungen tun mehrere Banken dies weiterhin er gibt vor, dass die Sprachauthentifizierung garantiert sicher ist, da die Stimme so einzigartig sein soll wie ein Fingerabdruck. Ihre Systeme sollen über 100 Stimmmerkmale untersuchen.
Das Risiko betrifft auch die Slowakei
Obwohl das vorliegende Experiment im Ausland durchgeführt wurde, ändert dies nichts an der Tatsache, dass alle Institutionen, die die genannte Technologie nutzen, gefährdet sind. Das Problem betrifft auch Kunden slowakischer Banken, da einige von ihnen die Sprachverifizierung zu den möglichen Verifizierungsmethoden zählen. Dies sind Tatra Banka, Raiffeisen Banka, 365. Banka und Postová Banka. Wir haben sie gefragt, wie sie die Situation wahrnehmen.
Slowakische Banken betonen im Allgemeinen die Bedeutung von Sicherheitsmaßnahmen bei der biometrischen Überprüfung. Tatra Banka und Raiffeisen Banka Sie sagen, dass ihr „Spezialteam jede mögliche betrügerische Aktivität überwacht“. Es beobachtet auch Angriffe auf Stimmbiometrie im Ausland und das Umfeld, in dem sie durchgeführt wurden, genau.“ Derzeit planen sie jedoch nicht, diesen Dienst zu deaktivieren, da sie nach ihren Worten „ein komplexes System der permanenten Kontrolle und Überprüfung geschaffen“ haben. Sie geben außerdem an, dass sie neben slowakischen Experten auch mit ausländischen Universitäten zusammenarbeiten.
Zur Überprüfung der Identität sind derzeit mehrere Schritte erforderlich. Neben der anfänglichen Spracherkennung durch das System muss eine Person auch weitere Daten wie Name oder Geburtsdatum angeben. Anschließend wird der Person eine Kontrollfrage gestellt, die auf den von ihr bei der Bank gemachten Angaben basiert. Ziel ist es unter anderem, die Person länger sprechen zu lassen, damit das System ausreichend überprüfen kann, ob die Stimme original ist.
Postová banka und 365.bank Sie halten die Technologie auch für sicher. Bei der Stimmverifizierung ist zudem die Eingabe zusätzlicher Daten erforderlich, etwa einer Geburtsnummer oder eines Namens, die im Zusammenhang mit der Stimmbiometrie stehen. Das System überprüft dann die Übereinstimmung. Die Banken geben an, dass sie „der Cybersicherheit große Bedeutung beimessen, auch für die Sprachauthentifizierungstechnologie selbst“. Sie schließen jedoch nicht aus, dass in Zukunft sicherere Lösungen zum Beispiel in Form eines zusätzlichen Authentifizierungsfaktors zum Einsatz kommen. Poštová und 365 banka sind zwei verschiedene Marken, gehören aber zu einer Einheit.
Kunden slowakischer Banken dürften aufgrund der Notwendigkeit einer zusätzlichen Identitätsprüfung durch zusätzliche Daten relativ sicher sein. Verifizierungsfragen sorgen für ein höheres Maß an Zuverlässigkeit bei der Überprüfung der wahren Identität einer Person. Das Problem besteht weiterhin darin, dass Daten wie das Geburtsdatum oder der Name einer Person selbst aus offenen Quellen und öffentlich zugänglichen Informationen leicht zu finden sind. Darüber hinaus werden diese Daten häufig durch Datenlecks von Unternehmen und Organisationen kompromittiert, weshalb es für Angreifer nicht schwierig ist, an sie zu gelangen.
Auch längere Gespräche mit einer Person garantieren nur eine relative Verbesserung der Sicherheitslage. Künstliche Intelligenz kann eine Stimme relativ schnell und einfach nachahmen. Selbst diese Entscheidung der Banken löst die Situation nicht.
Daher gelten die Empfehlungen ausländischer Experten auch für Slowaken. Wenn Sie den Sprachauthentifizierungsdienst nutzen, sollten Sie gerade wegen eines möglichen Missbrauchs darüber nachdenken, ihn zu deaktivieren. Es gibt verschiedene Möglichkeiten, die Identität zu überprüfen, die angesichts der neuen Realitäten deutlich sicherer sind. Eine davon ist die oben erwähnte Multi-Faktor-Authentifizierung. Dies ist beispielsweise eine Situation, in der Sie Ihre Identität über die mobile Anwendung der Bank überprüfen müssen.
Freiberuflicher Unternehmer. Web-Pionier. Extremer Zombie-Evangelist. Stolzer Bier-Befürworter
