Synthetische Stimme verschafft Zugang zu Bankdaten
Mit einem Klon seiner eigenen Stimme gelang es einem Journalisten, sich per "Voice ID" Zugang zu gesicherten Konten bei seiner Bank zu verschaffen.
In einem kurzen YouTube-Video demonstriert der Journalist Joseph Cox, wie er mit einer computergenerierten Stimme die Sicherheitsmechanismen seiner Bank aushebelt. In dem IT-Blog Motherboard (Teil des US-Magazins Vice) beschreibt Cox ausführlich, wie er das Experiment vorbereitete und wie es verlief.
Cox ist Kunde bei der britischen Lloyds Bank. Diese Bank bietet Kontoinhabern an, sich am Telefon mit ihrer Stimme zu legitimieren, um auf ihre Konten zuzugreifen. Für das "Voice ID" genannte Verfahren verwendet die Bank Stimmerkennungssoftware. Auf ihrer Website bezeichnet sie das Verfahren als "schnell, einfach und sicher". Die eigene Stimme sei einzigartig wie ein Fingerabdruck, heißt es dort weiter.
Cox klonte seine Stimme mithilfe der Software "Prime Voice AI" des US-amerikanischen Start-ups ElevenLabs. Sie erzeugt aus Audioaufnahmen einer Person eine sogenannte synthetische Stimme, die Stimmlage, Sprechweise und auch Eigenheiten wie Akzente nachahmen kann. Er berichtet, dass fünf Minuten von ihm eingesprochenes Audiomaterial genügt hätten, um ein synthetisches Pendant seiner Stimme zu erstellen. In Text-to-Speech-Programmen (TTS) kann man solche synthetischen Stimmen verwenden, um beliebige Texte vorzulesen.
Mehrere Versuche nötig
Das Einloggen in seinen Account funktionierte anschließend nicht im ersten Anlauf. Zudem gehört zum Login-Prozedere auch die Eingabe des Geburtsdatums per Sprache – tatsächliche Angreifer müssten sich also auch diese Information vorab besorgen. Allerdings, so Cox, sei das aufgrund der vielen Datenschutzverletzungen, und weil Personen persönliche Daten oft leichtfertig weitergeben, sicher kein großes Problem.
Um "Voice ID" zu nutzen, nennt der Anrufer zunächst auf Aufforderung der automatischen Hotline sein Anliegen, dann das Geburtsdatum und spricht schließlich noch den Satz "My voice is my password." Nach einigen Versuchen akzeptierte die Bank die von der synthetischen Stimme gesprochenen Eingaben und Cox konnte auf seine Konten zugreifen, Kontostände abfragen und kürzlich getätigte Transaktionen einsehen.
Hohes Missbrauchspotenzial
Viele Banken in Europa und den USA bieten ihren Kunden die Identifikation per Stimme als eine Möglichkeit des Logins an. Auch das Klonen von Stimmen wird immer gebräuchlicher. 2022 entstand auch bei heise online ein Stimmklon – eine digitale Kollegin für Isabel Grünewald, die Sprecherin des Nachrichtenüberblicks "Kurz informiert".
Die Technik ist inzwischen so weit fortgeschritten, dass insbesondere die Stimmen öffentlicher Personen, die im Internet verfügbar sind, leicht zum Gegenstand von Deepfakes und Betrügereien werden können.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(dwi)