Eine neue Phishing-Kampagne bedroht rund 2,5 Milliarden Gmail-Nutzer. Mittels Künstlicher Intelligenz setzen die Betrüger auf E-Mails und Anrufe, die täuschend echt wirken - selbst auf erfahrene Technik-Profis. Darauf macht nun Microsoft-Berater Sam Mitrovic in seinem Blog aufmerksam, der selbst beinahe auf den "super realistischen" Phishing-Betrug hereinfiel.

In seinem Fall begann der Angriff mit einer E-Mail, die zur Bestätigung einer Kontowiederherstellung aufruft. Diese Mails sind üblicherweise mit zwei Buttons versehen für "Ja, das war ich" und "Nein, Konto sichern". Betrüger nutzen diese Aufmachung gerne, um auf eine gefälschte Log-In-Seite zu locken und sensible Daten abzufangen. Das weiß auch Mitrovic und ignorierte die Nachricht. Rund 40 Minuten später erhielt er einen Anruf, scheinbar von "Google Sydney".

KI-Betrug am Telefon: Experte warnt vor "super realistischen" Fakes

Die Stimme am Telefon habe "höflich und professionell" geklungen, im Hintergrund seien dezente Geräusche, wie aus einem Callcenter zu hören gewesen und das Tippen der Tastatur. "Er stellte sich vor und sagte, dass es verdächtige Aktivitäten auf meinem Konto gibt. Er fragte, ob ich auf Reisen sei. Als ich dies verneinte, fragte er, ob ich mich von Deutschland aus eingeloggt habe, worauf ich mit Nein antwortete", beschreibt Mitrovic das Gespräch. All diese Fragen sollen Vertrauen in den Anrufer schaffen und Angst beim Empfänger schüren. Dann teilt der vermeintliche Google-Mitarbeiter mit: Jemand greife schon seit einer Woche auf das Gmail-Konto zu und habe Nutzerdaten heruntergeladen.

Mitrovic suchte währenddessen im Internet nach der angezeigten Rufnummer. Diese steht auch tatsächlich in den offiziellen Kontaktdaten von Google, mit dem Hinweis "Über diese Telefonnummern nimmt Google Kontakt auf". Dennoch verlangte der Microsoft-Berater eine E-Mail, die den Fall bestätigt und auf den ersten Blick scheint auch diese legitim. Ein Detail macht ihn jedoch misstrauisch.

Da er länger nicht sprach, sagte die Stimme am Telefon "Hallo?" und nach etwa zehn Sekunden kam ein zweites, identisches "Hallo?". "An diesem Punkt erkannte ich, dass es sich um eine KI-Stimme handelte, da die Aussprache und die Abstände zu perfekt waren", so Mitrovic. Er legte deshalb auf. Wäre er aber noch länger im Gespräch geblieben, hätte ihn die KI womöglich dazu gebracht, eine Kontowiederherstellung zu bestätigen und die Betrüger hätten Zugriff auf seinen Account und alle vertraulichen Daten darin. 

Warnzeichen erkennen: So schützt du dich vor Phishing mit KI

"Trotz einiger Warnzeichen, die sich beim genaueren Hinsehen zeigen, erscheinen die KI-Anrufe seriös genug, um viele Menschen auszutricksen", betont Mitrovic. Er vermutet, dass die Erfolgsrate der Anrufe relativ hoch sei. Das beste Werkzeug gegen moderne Betrugsmaschen sei erhöhte Wachsamkeit. Gmail-Nutzer sollten bei den folgenden Anzeichen misstrauisch sein:

  • E-Mails zur Kontowiederherstellung oder zum Passwort zurücksetzen, die du nicht selbst veranlasst hast
  • Anrufe von Google, obwohl du kein Google Business Profil mit deinem Konto verknüpft hast
  • Vermeintliche Mitarbeiter, die deine Konto-Details und andere sensible Daten erfragen wollen

Solltest du einen verdächtigen Anruf erhalten, helfen dir die folgenden Tipps von den Experten:

  • Lass dich nicht unter Druck setzen.
  • Prüfe die Absenderadresse von E-Mails und Rufnummern gründlich.
  • Klicke nie auf Links in E-Mails, wenn du die Anfrage nicht selbst ausgelöst hast.
  • Gib niemals sensible Daten am Telefon oder per Mail weiter, vor allem keine Anmeldedaten.
  • Für zusätzlichen Schutz solltest du die Zwei-Faktor-Authentifizierung aktivieren. Im Google-Konto gibt es außerdem das "Advanced Protection Program", mit dem deine Daten noch sicherer sind.

Im aktuellen Fall nutzen die Betrüger zwar Technik, damit die Nummer des Anrufers als echte Google-Rufnummer angezeigt wird. Bei genauem Nachlesen auf der entsprechenden Google-Support-Seite wird jedoch klar, dass Google die gelisteten Rufnummern nur benutzt, um Google Business Konten zu kontaktieren. Das passiert etwa, um Öffnungszeiten für Google Maps zu verifizieren oder um die Aktualität der Unternehmensdaten auf Google Business zu prüfen - nicht, um Nutzer über einen angeblichen Hack ihres Kontos zu informieren.

Du kannst auch auf einfachem Wege selbst überprüfen, ob sich eine fremde Person, in dein Konto eingeloggt hat. Klicke dafür auf keinen Fall den Link in der möglicherweise gefälschten E-Mail, sondern logge dich direkt über die App oder den Browser ein. In deinem Google-Konto unter dem Bereich "Sicherheit" kannst du sicherheitsrelevante Aktivitäten wie Anmeldungen von neuen Geräten oder Standorten einsehen.

Ebenfalls einer immer beliebtere Betrugsmasche: das sogenannte Quishing, das Menschen auf offener Straße abzockt.