How can I tell if a video call is a deepfake if the person looks completely real?

Deepfakes often show subtle artifacts: unnatural blinking patterns, misaligned lip-sync during side angles, skin texture that looks too smooth or plastic, inconsistent lighting on the face versus background, or jarring transitions when the person moves their head quickly. Use dedicated deepfake detection software like Microsoft Video Authenticator, which analyzes digital fingerprints in video files. Most importantly, if someone calls you with an urgent request, hang up and call them back at a known number—no AI video can intercept an outbound call from your phone.

Can AI phishing bypass my company's email security system?

Advanced AI phishing can partially bypass some security measures because it uses legitimate authentication protocols and personalizes content in ways that appear normal to content filters. However, no AI phishing bypasses proper MFA implementation. Even if scammers access your email credentials, they cannot access your account if your MFA requires a hardware security key or authenticator app that only you control. Email security also improves dramatically when companies implement strict DMARC policies that reject unauthenticated emails claiming to be from your domain.

I think I clicked a phishing link and entered my password. What should I do immediately?

Change your password from a different device (not the computer where you clicked the link) using a secure network, then contact your IT security team or bank immediately—before the scammers use your credentials. Enable MFA on your account right away if it wasn't already active. Monitor your accounts for unauthorized activity and consider freezing your credit with the three major bureaus (Equifax, Experian, TransUnion) if the attack involved financial information or if you suspect identity theft components.

How can my company prevent AI-powered phishing attacks targeting our employees?

Organizations should implement strict email authentication (SPF/DKIM/DMARC), mandatory hardware security key-based MFA for all employees, regular phishing simulation training that includes AI scenarios, and real-time threat detection systems that flag unusual behavioral patterns. Additionally, establish clear internal protocols where urgent financial requests always require out-of-band verification, and educate employees about verifying requests through established channels rather than using contact information from the suspicious message itself.

Is there a way to protect myself if a scammer clones my voice or creates a deepfake of me?

Register your voice and facial biometrics with fraud prevention services that create authenticated profiles, which can help trusted contacts identify legitimate versus fraudulent communications. Limit the amount of video and audio content you share publicly on social media and YouTube, as this is the primary training data scammers use for AI synthesis. Advise your family and close contacts to use an established verification method before responding to any urgent requests, and consider registering with the FBI's IC3 (Internet Crime Complaint Center) if you believe your identity has been cloned for fraud purposes.

Kritisch Durchschnittlicher Schaden: $5,000 Typische Dauer: 1-7 days

KI-gestützte Phishing: Wie Betrüger KI nutzen, um Sie ins Visier zu nehmen

KI-gestützte Phishing stellt eine der ausgeklügeltsten Betrugsgefahr dar, die 2024 auftaucht. Im Gegensatz zu traditionellem Phishing, das sich auf generische Massen-E-Mails verlässt, analysieren KI-gesteuerte Angriffe Ihre Social-Media-Profile, frühere Kommunikationen und persönliche Daten, um unheimlich überzeugende, personalisierte Nachrichten zu erstellen. Betrüger nutzen Machine-Learning-Algorithmen, um Deepfake-Videos von vertrauten Kontakten zu generieren, Stimmen von CEOs oder Familienmitgliedern zu synthetisieren und E-Mails zu verfassen, die den Kommunikationsstil Ihrer Bank perfekt nachahmen – einschließlich genauer Logos, Terminologie und sogar interne Referenznummern, die aus Datenverletzungen stammen. Das FBI meldete in der ersten Hälfte 2024 einen Anstieg von 350% bei KI-gestützten Phishing-Versuchen, mit durchschnittlichen Verlusten von 5.000 Euro pro Opfer, obwohl einige CEO-Impersonationen über 100.000 Euro überschritten haben. Diese Angriffe werden typischerweise innerhalb von 1-7 Tagen ausgeführt und nutzen Dringlichkeitstaktiken kombiniert mit emotionaler Manipulation. Was KI-Phishing besonders gefährlich macht, ist, dass es viele traditionelle Sicherheitsmaßnahmen umgeht: Es besteht E-Mail-Authentifizierungsprüfungen, weil es legitime Domänenstrukturen nachahmt, personalisiert Inhalte auf Weise, die es unerkennbar als Spam machen, und erstellt Deepfake-Beweise, die unmöglich zu bestreiten scheinen.

Häufige Methoden So erkennen Sie es So schützen Sie sich Reale Beispiele Häufig gestellte Fragen Wo melden

Häufige Methoden

• KI analysiert Ihr LinkedIn-Profil, Instagram-Verlauf und E-Mail-Metadaten, um Ihren Jobtitel, Namen Ihres Managers, aktuelle Projekte und Kommunikationsmuster zu identifizieren, und generiert dann eine hyper-personalisierte Phishing-E-Mail, die spezifische Details referenziert, die nur Ihre echten Kollegen kennen würden.
• Betrüger setzen Deepfake-Videotechnologie ein, um überzeugend wirkende Videos Ihres CEO, HR-Direktors oder Bank-Managers zu erstellen, der dringende Geldtransfers oder Passwort-Zurückstellungen anfordert, mit übereinstimmenden Gesichtsausdrücken, Sprachmustern und Büroumgebungen, die aus öffentlichen Videos extrahiert wurden.
• Sprachsynthesekunstliche Intelligenz repliziert die genauen vokalen Eigenschaften, Akzent und Sprachmuster vertrauter Kontakte und ermöglicht telefongestütztes Phishing, bei dem Opfer eine vertraute Stimme während einer zeitkritischen "Notfallsituation" hören, die sensible Informationen anfordert.
• Machine-Learning-Modelle klonen die E-Mail-Vorlagen, das Branding, die Sicherheitswarnungen und Fußzeilen von legitimen Banken oder Unternehmen, auch unter Einbeziehung echter aktueller Transaktionsverlauf, um die Glaubwürdigkeit zu erhöhen.
• KI-Chatbots führen realistische mehrstufige Gespräche mit Opfern, stellen bohrende Fragen, um Beziehungen aufzubauen und Anmeldedaten schrittweise zu extrahieren, anstatt offensichtlich verdächtige Anforderungen in einer einzelnen Nachricht zu stellen.
• Betrüger nutzen KI, um gefälschte, aber plausible Mitarbeiter-IDs, Sicherheitsausweise und interne Dokumentation zu generieren, die den Designstandards Ihrer Organisation entsprechen und falsche Autoritätsansprüche legitim erscheinen lassen.

So erkennen Sie es

Sie erhalten eine E-Mail von Ihrem CEO oder Manager, die sofortige Maßnahmen anfordert (Passwort-Zurückstellung, Geldtransfer, Identitätsprüfung) mit perfektem Branding und spezifischen Projektverweisen, aber die eigentliche E-Mail-Adresse des Absenders zeigt einen subtilen Unterschied wie "c0m" statt "com" oder eine ähnliche Domäne.
Ein Videoanruf oder eine aufgezeichnete Nachricht von einem vertrauten Kontakt erscheint leicht versetzt bei Timing oder Lippensynchronisation, mit unnatürlichen Pausen, roboterhaften Augenbewegungen oder ungewöhnlichen Beleuchtungsinkonsistenzen, die nicht mit ihrer typischen Einrichtung übereinstimmen.
Sie erhalten einen Telefonanruf von jemandem, der behauptet, von der Betrugsabteilung Ihrer Bank zu sein, und verwendet Ihre echte Kontonummer und aktuelle Transaktionsdetails, fordert aber sensible Informationen an, die Ihre echte Bank niemals anfragen würde.
Eine E-Mail von einem internen IT- oder HR-Kontakt nutzt die genaue Formatierung und das Logo Ihres Unternehmens, fragt Sie aber, einen Link anzuklicken, um "Ihr Konto zu verifizieren" oder "Ihre Identität zu bestätigen", besonders wenn es künstliche Dringlichkeit um einen nicht existierenden Sicherheitsvorfall erzeugt.
Sie bemerken in Videoanrufen, dass der Hintergrund, die Kleidung oder die Umgebung der Person genau öffentliche Informationen aus ihrem LinkedIn-Profil oder der Unternehmenswebseite entspricht und nahezu inszeniert oder per CGI gerendert wirkt.
Ein Nachrichtenverlauf zeigt natürliche Konversation, die zu perfekt ist – verweist auf Ihre jüngsten Lebensereignisse mit ungewöhnlicher Genauigkeit, nutzt interne Witze mit perfektik Timing oder antizipiert Ihre Einwände, bevor Sie diese äußern.

So schützen Sie sich

Implementieren Sie Multi-Faktor-Authentifizierung (MFA) auf allen E-Mail-, Bank- und Finanzkonten mit Authentifizierungs-Apps statt SMS-Codes, die schwerer für Betrüger abzufangen sind bei KI-gestützten Angriffen.
Etablieren Sie ein Out-of-Band-Verifizierungsprotokoll: Wenn Sie dringende Anforderungen von Führungskräften oder Finanzinstitutionen erhalten, rufen Sie immer unter einer Telefonnummer an, die Sie unabhängig finden (nicht aus der E-Mail), und klicken Sie niemals auf Links oder rufen Sie Nummern an, die in verdächtigen Nachrichten angegeben sind.
Nutzen Sie Rückwärts-Bild- und Videoverifizierungstools wie Google Lens oder spezialisierte Deepfake-Erkennungssoftware, um verdächtige Videos zu analysieren, bevor Sie ihre Authentizität akzeptieren – suchen Sie nach KI-Artefakten wie unnatürlicher Hautstruktur, Augenbewegungen oder Hintergrund-Störungen.
Trainieren Sie sich selbst, um Muster der sozialen Manipulation zu erkennen, indem Sie mindestens 10 Minuten pausieren, bevor Sie auf zeitkritische Anforderungen reagieren, die Notfälle, Systemausfälle oder sofortige Maßnahmen beanspruchen – legitime Institutionen werden auf ordnungsgemäße Verifizierung warten.
Konfigurieren Sie E-Mail-Authentifizierungsstandards (SPF, DKIM, DMARC) auf Unternehmensdomänen und aktivieren Sie strikte Verifizierungsflaggen in Ihrem E-Mail-Client, die unauthentifizierte oder gefälschte Nachrichten hervorheben, und melden Sie dann alle authentifizierten Phishing-Versuche sofort an Ihr IT-Sicherheitsteam.
Erstellen Sie einen persönlichen Verifizierungsschlüssel oder eine Sicherheitsfrage mit vertrauten Kontakten (Familie, enge Kollegen, Finanzberater), die Sie vorher etablieren – wenn Sie dringende Anforderungen erhalten, bitten Sie sie, die Antwort auf diese vorab vereinbarte Frage zu geben, bevor Sie fortfahren.

Reale Beispiele

Ein Softwareingenieur erhält eine E-Mail, die scheinbar von ihrem CTO stammt und sofortige Passwort-Zurückstellung aufgrund eines "kritischen Sicherheitsvorfalls" anfordert. Die E-Mail enthält das genaue Logo des Unternehmens, verwendet genaue interne Projektnamen und verweist auf einen echten Verstoß, der einen ihrer Anbieter betrifft. Der Ingenieur klickt auf den Link und gibt Anmeldedaten auf einer nahezu identischen Anmeldeseite ein. Innerhalb von Stunden greifen Betrüger auf das Quellcode-Repository des Unternehmens zu und erpressen das Unternehmen für 50.000 Euro.

Ein CFO erhält einen Videoanruf von jemandem, der sein Unternehmens-CEO zu sein scheint und einen dringenden Geldtransfer von 85.000 Euro anfordert, um "einen Akquisitionsdeal vor Marktöffnung abzuschließen". Der "CEO" hat perfekte Gesichtserkennung, passenden Anzug und Büroumgebung und verweist auf spezifische Vorstandsmitglieder namentlich. Der CFO genehmigt den Transfer über normale Bankkanäle, bevor er realisiert, dass der echte CEO sich in einer anderen Zeitzone befand und kein Wissen über diesen Deal hatte.

Ein HR-Manager erhält eine Reihe von scheinbar natürlichen Textnachrichten von seinem Chef, der ihn bittet, eine Notfall-Darlehensanforderung eines Mitarbeiters zu bearbeiten und einen Geldtransfer von 7.500 Euro zu beschleunigen. Die Konversation enthält gemeinsame Verweise auf aktuelle Unternehmensherausforderungen und erwähnt sogar die jüngste Beförderung einer gegenseitigen Verbindung. Der Manager bearbeitet die Anforderung, um später zu entdecken, dass das Opfer-Mitglied einen identischen KI-generierten Phishing-Angriff erhalten hatte, der ihn aufforderte, seine Bankdaten einzureichen, um ein falsches Darlehen zu "bearbeiten".

Häufig gestellte Fragen

Wie kann ich feststellen, ob ein Videoanruf ein Deepfake ist, wenn die Person völlig echt aussieht?

Deepfakes zeigen oft subtile Artefakte: unnatürliche Blinkräter, fehlausgerichtete Lippensynchronisation bei Seitenwinkeln, Hautstruktur, die zu glatt oder plastisch wirkt, inkonsistente Beleuchtung auf dem Gesicht versus Hintergrund, oder Übergänge mit Ruck, wenn die Person ihren Kopf schnell bewegt. Verwenden Sie spezialisierte Deepfake-Erkennungssoftware wie Microsoft Video Authenticator, die digitale Fingerabdrücke in Videodateien analysiert. Am wichtigsten ist: Wenn jemand Sie mit einer dringenden Anforderung anruft, legen Sie auf und rufen Sie ihn unter einer bekannten Nummer zurück – keine KI-Video kann einen abgehenden Anruf von Ihrem Telefon abfangen.

Wo melden — Deutschland

Offizielle Stellen in Ihrer Region zum Melden dieses Betrugs.

BSI Bürger-CERT

Cyberkriminalität

Bundesamt für Sicherheit in der Informationstechnik – Warnungen und Beratung für Bürger.

Besuchen →

Polizei Online-Wache

Meldung

Online-Anzeige von Betrug bei der Polizei Ihres Bundeslandes.

Besuchen →

Verbraucherzentrale

Verbraucherschutz

Beratung für Verbraucher bei Online-Betrug und Phishing.

Besuchen →

BaFin Verbraucherschutz

Finanzaufsicht

Bundesanstalt für Finanzdienstleistungsaufsicht – Anlagebetrug und Banken-Beschwerden.

Besuchen →

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), ki-gestützte phishing: wie betrüger ki nutzen, um sie ins visier zu nehmen is described at https://scamlens.org/de/encyclopedia/ai-powered-phishing.

https://scamlens.org/de/encyclopedia/ai-powered-phishing

Hier starten

Sicherheitsprüfung

Intelligence

Tools & Berichte

Premium-Dienste

Erweiterung & API

KI-gestützte Phishing: Wie Betrüger KI nutzen, um Sie ins Visier zu nehmen

Häufige Methoden

So erkennen Sie es

So schützen Sie sich

Reale Beispiele

Häufig gestellte Fragen

Wo melden — Deutschland

BSI Bürger-CERT

Polizei Online-Wache

Verbraucherzentrale

BaFin Verbraucherschutz

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide