| Phänomene | Über Fake Shops und was man gegen sie tun kann

Über Fake Shops und was man gegen sie tun kann

Lesezeit: 5 Min.

Onlineproduktangebote, welche nicht der angepriesenen Qualität oder Funktion entsprechen, gefakte Onlineshops, über die nach Bezahlung keine Produkte geliefert werden, oder gar Webseiten, die nur dazu dienen, um Informationen über Kunden zu sammeln und damit spätere Cyber-Crime-Angriffe durchzuführen, erfahren eine wachsende Attraktivität für Cyberkriminelle, da der mögliche Ertrag – im Vergleich zum eingegangenen Risiko, erwischt zu werden – sehr attraktiv ist. Mit dem Fake-Shop Detector gibt es ein effektives Werkzeug für Konsumentinnen und Konsumenten, das automatisiert und präventiv vor Betrug beim Onlineshopping schützt. Eine eigens trainierte künstliche Intelligenz (KI) misst die Ähnlichkeit von Webshops zu bekannten Fake Shops und warnt dann Userinnen und User über ein Ampelsystem in Echtzeit. Diese in Österreich entwickelte KI stellt somit einen effektiven Betrugsschutz dar, der über eine eigene App explizit von Onlinekundinnen und ‑kunden verwendet werden kann oder im eigenen Internetbrowser installiert wird und unter spezieller Beachtung der Privatsphäre unmittelbar vor jeder betrügerischen Onlineshoppingtransaktion schützt.

Vertrauensvolle KI made in Austria

Erstmals wurde damit in Österreich, unter anderem gefördert durch das österreichische Sicherheitsforschungsprogramm KIRAS des Bundesministeriums Finanzen, ein Tool entwickelt, das Konsumentinnen und Konsumenten durch eine geschickte Kombination von Expertenwissen und künstlicher Intelligenz (KI) vor Betrug im E-Commerce schützt. Dies gelang über die Bündelung der Expertise der Watchlist Internet und Expertinnen und Experten des ÖIAT [1], welche im Vorfeld die notwendigen Trainingsdaten von Tausenden Fake Shops systematisch gesammelt haben, dem Forschendenteam zu künstlicher Intelligenz und Machine Learning am Center for Digital Safety & Security [2] am AIT Austrian Institut of Technology sowie den IT-Profis des Linzer IT-Technologie- und Lösungsanbieters X-Net [3].

Aufbauend auf der Betrugsdatenbank der Watchlist Internet wurden Machine-Learning-Algorithmen auf über 12.000 archivierten Onlineshops trainiert, um die Ähnlichkeit von Webshops zu bekannten Fake Shops zu messen. Ein stetiges Relearning der Modelle ist erforderlich, um neu auftretende Angriffsmuster zu erkennen.

Der Fake-Shop Detector ist auch ein besonderes Beispiel für verantwortungsvoll eingesetzte und sichere KI, da menschliche Expertise und maschinelle Effizienz miteinander kombiniert werden. Der KI-Algorithmus durchsucht zuerst eine durch Expertinnen und Experten kuratierte Datenbank, die eine umfassende Whitelist von vertrauensvollen Webshops sowie eine Blacklist von mittlerweile über 26.700 Fake Shops umfasst. Ist ein Shop nicht in dieser Datenbank gelistet, wird diese Onlineshopseite von der KI in einer Echtzeitanalyse geprüft.

Die KI Expertinnen und Experten am Center for Digital Safety & Security am AIT haben hierfür eine neue Methode zur Klassifizierung von Fake Shops entwickelt, bei der technische Features zur Identifizierung von Fake-Onlineshops rein aus dem Source Code von Onlinewebseiten von bekannten Fake Shops extrahiert werden, statt Merkmale wie bisher üblich vorab manuell durch Expertinnen/Experten zu definieren. Die speziell entwickelte selbstlernende KI hat durch Trainingsprozesse mit bekannten Fake-Shop-Seiten über 21.000 technische Merkmale extrahiert, mit denen betrügerische Webshops derzeit mit einer Genauigkeit von bis zu 97 % erkannt werden können.

Die Kombination einer Vielzahl an Features führt zu dieser robusten Risikobewertung und stellt sicher, dass die kriminellen Akteure die automatisierte Detektion nicht durch einfache Veränderungen ihrer Websites aushebeln können.

Schutz der Privatsphäre

Zu jedem Zeitpunkt fokussierte das Design des Gesamtsystems auf den zuverlässigen Schutz der Privatsphäre der Konsumentinnen und Konsumenten. Durch die spezielle Privacy-by-Design- und Datenminimierungs-IT-Architektur, bei der die Black- und Whitelists zur Überprüfung nicht durch einen Serverzugriff abgefragt werden, sondern diese Listen auf den Rechner in den Cache des Plug-ins geladen werden, kann der Fake Shop Detector eine Verifikation direkt auf dem Gerät der Userin/des Users durchführen, ohne dass das Browserverhalten an einen Server kommuniziert werden muss. Das im Internetbrowser installierte Plug-in des Fake-Shop Detectors (FSD) fragt Informationen in Echtzeit ab und zeigt diese an, speichert aber somit keine privaten benutzerbezogenen Daten. Ist nun eine Onlineshopadresse nicht in diesen Black- und Whitelists vorhanden, wird die Adresse des neuen Onlineshops durch das Plug-in an die KI übermittelt. Es werden dabei aber keine sonstigen benutzerbezogenen Daten an die KI übermittelt. Die KI gibt nun der Userin/dem User eine Risikoeinschätzung als unmittelbares Feedback zurück. Gleichzeitig wird diese Analyse den Expertinnen und Experten der Watchlist Internet zur Qualitätsüberprüfung übermittelt, die dann durch menschliche Kontrolle die Black- und Whitelists entsprechend aktualisieren.

Vergleichbarkeit mit analogen Phänomenen

Die umfassende Digitalisierung verändert unsere gesellschaftlichen Verhaltensmuster und Gewohnheiten im täglichen Leben. Auch die Handelsbranche ist mit disruptiven Veränderungseffekten durch den Trend des Onlinehandels betroffen. Der Onlinehandel umfasst mittlerweile in Deutschland einen Umsatz von über 88 Milliarden Euro mit einem Wachstum von über 3 % pro Jahr. Da auch diese Branche durch Globalisierungseffekte charakterisiert ist, entstehen auch hier neue Formen der global funktionierenden Cyberkriminalität, um Konsumentinnen und Konsumenten in der virtuellen Welt um ihr Geld zu bringen.

Gesellschaftliche Relevanz

Ist einmal bezahlt, ist das Geld oft verloren. Wurden Kreditkartendaten gestohlen, folgen oft noch lange Zeit danach Probleme für die Betrugsopfer. Der Schaden durch Fake Shops in Österreich geht mittlerweile in die Millionen. 2022 kam es allein in Österreich zu über 27.000 Anzeigen im Bereich Internetbetrug, ein Plus von über 23 % im Vergleich zum Vorjahr [4]. Die Watchlist Internet [5] – eine unabhängige Informationsplattform in Österreich zum Thema Internetbetrug, die Privatpersonen und Unternehmen zu aktuellen Betrugsfällen im Internet informiert, um sich vor Internetbetrug zu schützen – schätzt den Schaden für Einzelpersonen pro Betrugsfall auf etwa 20 bis 2.000 Euro. Andere Berechnungen gehen von einem direkten Schaden von mindestens 16 Millionen Euro für österreichische Konsumentinnen und Konsumenten aus. Eine repräsentative Umfrage unter den Internetnutzenden in Deutschland ergab 2018, dass in Deutschland jährlich bei über vier Millionen Nutzenden von einem Betrug durch Fake Shops ausgegangen werden muss [6].

Die polizeiliche Ausforschung der Betrüger ist allerdings nicht so einfach. Einerseits geht es um grenzüberschreitende globale Kriminalität – und in dem Moment, in dem der Betrug auffällt, sind die Shops aber meist schon wieder verschwunden. Fake Shops sind oft nur kurze Zeit online, um Opfer leichter zu täuschen und eine Strafverfolgung entsprechend zu erschweren.

Umso wichtiger ist dadurch eine effektive Prävention, um Kaufhandlungen auf Fake-Onlineshops von vornherein zu verhindern und dadurch die Kundinnen und Kunden zu schützen. Um die Strafverfolgung durch Behörden gegen Onlinebetrüger zu unterstützen und kriminelle Akteure rascher und zuverlässiger zu identifizieren, wurde mit der Zentralstelle Cybercrime Bayern (ZCB) eine entsprechende Kooperation realisiert. Bayerns Justizminister Georg Eisenreich unterzeichnete im August 2023 eine Kooperationsvereinbarung mit dem AIT, um Bayern im Kampf gegen den Onlinebetrug noch besser aufzustellen [7].