Nur das Geburtsdatum und die Stimme waren nötig, um das Konto zu knacken.

Bankkonto lässt sich mit künstlich generierter Stimme knacken

24.02.2023

Viele Banken bieten ein Login via Stimmerkennung an. Wer eine solche Methode nutzt, sollte das allerdings überdenken.

Dieser Artikel ist älter als ein Jahr!

Viele Banken in Europa und den USA nutzen Stimmerkennungssoftware, damit Kund*innen auch am Telefon auf ihren Account zugreifen können. Der Journalist Joseph Cox hat jedoch gezeigt, dass diese Art von Login eher unsicher sein dürfte. Er hat sein eigenes Konto mit einer künstlich generierten Stimme gehackt.

Stimme soll sicher sein

Das Experiment wurde bei der Lloyds Bank in Großbritannien durchgeführt. Diese bewirbt den "Voice ID"-Service als sicher, die Stimme sei "einzigartig wie ein Fingerabdruck". Nicht nur Stimmlage, sondern auch Sprachstil und Akzent würden bei der Authentifizierung berücksichtigt.

Digital Life

Mit Deepfake die Stimme vom Chef imitiert, 220.000 Euro ergaunert

Cox nutzte allerdings eine künstliche Intelligenz, um seine Stimme zu klonen. Eine 5-minütige Aufnahme reichte aus, um die Software zu trainieren. Danach konnte er einfache Sätze schriftlich eingeben, die dann von der KI vorgelesen wurden.

Synthetische Stimme und Geburtsdatum nötig

Nachdem er die synthetische Stimme erstellt hatte, versuchte sich Cox am Telefon in seinen Account einzuloggen. Dafür war allerdings noch sein Geburtsdatum nötig - eine Information, die sich laut Cox dank zahlreicher Datenlecks verschiedener Online-Services wohl einfach ermitteln ließe.

Der Hack funktionierte zwar nicht auf Anhieb, doch nach einigen Versuchen hatte Cox mit seiner "falschen" Stimme Zugriff auf den Account. Auf Nachfrage bei Lloyds Bank gab ein*e Sprecher*in an, dass man sich des Sicherheitsrisikos durch synthetische Stimmen bewusst sei. Bisher habe man allerdings noch keine Fälle registriert, bei denen die Methode zum Einsatz kam.

Öffentliche Personen leicht angreifbar

Laut Cox sei es nur eine Frage der Zeit, bis Cyberkriminelle auch synthetisch generierte Stimmen nutzen würden, um an Bankdaten oder vertrauliche Informationen zu gelangen. Öffentliche Personen, deren Stimme im Internet verfügbar ist - etwa in Videos, Radiosendungen oder Podcasts - seien am leichtesten angreifbar.

Dass diese Art von künstlicher Intelligenz bereits von Trollen und Kriminellen genutzt wird, zeigt ein Blick in das Forum 4chan. Dort lassen Nutzer*innen bekannte Persönlichkeiten rassistische oder homophobe Sprüche klopfen oder eine falsche Emma Watson aus "Mein Kampf" vorlesen.