11/06/2025 5m read

Cato CTRL™ Threat Research: OpenAIs ChatGPT-Bildgenerator ermöglicht die Erstellung gefälschter Pässe 

Etay Maor
Etay Maor

Inhaltsverzeichnis

Zusammenfassung 

Am 25. März gab OpenAI die Einführung der Bildgenerierung für ChatGPT-4o und ChatGPT-4o mini bekannt. Am 31. März wurde angekündigt, dass das Tool allen Nutzern kostenlos zur Verfügung steht. Seitdem fanden Benutzer schnell heraus, dass der Bildgenerator von ChatGPT manipuliert werden kann, um gefälschte Quittungen zu erstellen und andere Dokumente zu fälschen.  

Wie der 2025 Cato CTRL-Bedrohungsbericht feststellt, führt das Aufkommen generativer KI-Tools (GenAI) wie ChatGPT zu einer Demokratisierung der Cyberkriminalität und zu einer bedeutenden Veränderung in der Bedrohungslandschaft – dem Aufstieg des „Zero-Knowledge-Bedrohungsakteurs“. Bei Bei Cato CTRL haben wir festgestellt, dass gefälschte Identitätsdokumente wie Pässe mit dem Bildergenerator von ChatGPT in wenigen Minuten erstellt werden können. Ein Jailbreak ist nicht erforderlich. Nur ein paar Prompts.  

Im Folgenden finden Sie eine Demonstration, wie der Bildgenerator von ChatGPT die Erstellung eines gefälschten Passes ermöglichen kann.  

Organisationen müssen ihre Betrugserkennungsmechanismen nicht nur für herkömmliche Phishing-Angriffe und Malware, sondern auch für dokumentenbasierte Angriffe aktualisieren. 

Technische Übersicht 

Die Evolution der Passfälschung: Damals vs. heute 

Cyberkriminelle beschäftigen sich seit Jahrzehnten mit der Erstellung und Verbreitung gefälschter Pässe. Anfang der 2010er-Jahre wurden gefälschte Pässe häufig im Dark Web und in Untergrundforen verkauft, wie Abbildung 1 zeigt.  

Gefälschte_Pässe_1

Abbildung 1. Beispiel eines gefälschten Passes, der im Dark Web angeboten wird.

Der Zugang zu diesen Ressourcen erforderte spezielle technische Kenntnisse und Verbindungen zu Untergrundnetzwerken. Die Schöpfer dieser Dokumente waren hochqualifiziert und hatten Zugang zu Tools wie Adobe Photoshop.  

Heute hat sich das Spiel drastisch verändert. KI-generierte Bilder haben das Fälschen so sehr vereinfacht, dass es keiner besonderen Fähigkeiten oder des Zugangs zu speziellen Tools mehr bedarf. Was einst technisches Geschick und illegale Materialien erforderte, kann jetzt mit einfachen Eingaben in KI-Plattformen wie ChatGPT repliziert werden. Cyberkriminelle können nun den Bildgenerator von ChatGPT (der ursprünglich für kreative Zwecke wie die Erstellung von Cartoon-Avataren gedacht war) in ein Betrugstool umwandeln. 

Ein eindrucksvolles Beispiel ist die Verwendung des ChatGPT-Bildgenerators zum Fälschen von Pässen. Was früher Stunden in Anspruch nahm, kann jetzt in Minuten erledigt werden.  

2025 Cato CTRL™ Threat Report | Download the report

Nutung des Bildgenerators von von ChatGPT zur Fälschung von Pässen 

Bei der Analyse des Bildgenerator von von ChatGPT trat ein alarmierender Fall auf, als ein gescannter Pass hochgeladen und um Änderungen gebeten wurde. Zunächst weigerte sich ChatGPT, das Bild aufgrund von Datenschutz- und rechtlichen Bedenken zu ändern. Aber durch eine leichte Umformulierung der Anfrage – es handelte sich um eine Visitenkarte im Stil eines Reisepasses – konnten diese Einschränkungen jedoch umgangen werden. ChatGPT änderte nicht nur den Namen, sondern tauschte auch das Foto aus. Das Ergebnis war ein überzeugend veränderter Pass, komplett mit Bildüberlagerungen und realistischen Stempelplatzierungen.  

Die Abbildungen 2–4 zeigen den Prozess zur einfachen Fälschung eines Passes. Bitte beachten Sie, dass personenbezogene Daten in dieser Demonstration unkenntlich gemacht wurden.  

Pass_2

Abbildung 2. Hochladen meines Passes in ChatGPTs Bildgenerator

Änderungen_Pass

Abbildung 3. Aufforderung an ChatGPT, Änderungen an meinem Reisepass vorzunehmen 

Gefälschter_Pass_4

Abbildung 4. ChatGPT erstellt einen gefälschten Pass meines Cato CTRL-Kollegen (Vitaly Simonovich)

All dies wurde bemerkenswerterweise in Minuten mit einfachen Eingaben erledigt. Kein Code. Kein Photoshop. Kein Hintergrundwissen. 

Zero-Knowledge-Bedrohungsakteure und die Zukunft des Identitätsbetrugs 

Traditionell erforderten gefälschte Identitätsdokumente ein gewisses Maß an Fachwissen oder Zugang zu illegalen Netzwerken. Man musste wissen, wie man Bilder manipuliert, Handschriften imitiert oder Dienstleistungen im Dark Web kauft. Jetzt ist das alles nicht mehr nötig. Mit ein paar sorgfältig formulierten Prompts kann ein unerfahrener Angreifer gefälschte Identitätsdokumente mithilfe von KI-Plattformen erstellen. 

Das demokratisiert den Betrug für Zero-Knowledge-Bedrohungsakteure. Eine Person, die keine Erfahrung mit Cyberkriminalität hat, kann raffinierte Betrügereien begehen. Mit gefälschten Anmeldeinformationen könnte ein Zero-Knowledge-Bedrohungsakteur Folgendes erreichen:  

  • Betrug mit neuen Konten: Bankkonten eröffnen, Kreditkarten beantragen oder sich unter falschen Identitäten für Online-Dienste anmelden. 
  • Kontoübernahme: Mobilfunkanbieter oder Banken anrufen, um die Kontrolle über ein fremdes Konto zu erlangen – SIM-Swapping ist ein typisches Beispiel. 
  • Medizinischer und Versicherungsbetrug: Rezepte, medizinische Schreiben oder Versicherungsansprüche ändern, um illegalen Zugang zu Medikamenten zu erhalten oder Schadenersatzansprüche vorzutäuschen. 
  • Rechtliche und finanzielle Manipulation: Verträge, Arbeitsbescheinigungen oder Gehaltsabrechnungen fälschen, um Kredite zu sichern, Gerichtsverfahren zu manipulieren oder Steuerbetrug zu begehen. 

Denken Sie darüber nach, was das für die Betrugserkennung und -prävention bedeutet. Die Bedrohung besteht nicht nur darin, wie einfach es ist, diese gefälschten Identitätsdokumente zu erstellen, sondern auch darin, wie überzeugend sie geworden sind. KI kann jetzt nicht nur das Aussehen, sondern auch die Textur der Handschrift, die Unregelmäßigkeiten der Tinte und sogar die grafischen Details nachahmen, die Identitätsdokumente offiziell aussehen lassen. 

Was noch schlimmer ist, ist der schnelle Entwicklungszyklus. Da die KI-Plattformen immer besser und die Bildgeneratoren immer ausgefeilter werden, sinkt die Messlatte für realistische Fälschungen immer weiter. 

Fazit 

Wir haben ein neues Kapitel in der Cyberkriminalität betreten, in dem GenAI-Tools Zero-Knowledge-Bedrohungsakteure befähigen, qualitativ hochklassigen Betrug zu begehen. Organisationen müssen ihre Betrugserkennungsmechanismen nicht nur für herkömmliche Phishing-Angriffe und Malware, sondern auch für dokumentenbasierte Angriffe aktualisieren. 

Das ist nicht nur ein technisches Problem. Es ist ein menschliches Problem. Aufklärung, mehrstufige Verifizierung und KI-Strategien zur Betrugsbekämpfung sind jetzt unerlässlich. So wie sich die Cyberkriminellen weiterentwickeln, müssen auch wir uns weiterentwickeln. 

Related Topics

Etay Maor

Etay Maor

Etay Maor ist Chief Security Strategist bei Cato Networks, Gründungsmitglied von Cato CTRL und ein branchenweit anerkannter Cybersicherheitsforscher. Bevor er 2021 zu Cato kam, war Etay Chief Security Officer bei IntSights, wo er die strategische Cybersicherheitsforschung leitete. Etay hatte außerdem leitende Sicherheitspositionen bei IBM inne, sowie bei den Cyber ​​Threats Research Labs von RSA Security, wo er Malware-Forschungs- und Aufklärungsteams leitete. Etay ist außerordentlicher Professor am Boston College und Mitglied der Call for Paper (CFP)-Komitees für die RSA-Konferenz und die QuBits-Konferenz. Er hat einen BA in Informatik und einen MA in Terrorismusbekämpfung und Cyber-Terrorismus.

Read More

Weitere Artikel

Unkategorisiert

Cato CTRL veröffentlicht neuen SASE Threat Report

Cato CTRL veröffentlicht neuen SASE Threat Report
user photo
Etay Maor
Bedrohungsakteure entwickeln sich ständig weiter. Egal, ob es sich um nationalstaatliche Akteure, Cybercrime-Gruppen, Ransomware-Banden oder Nischenteams handelt, die es auf bestimmte Systeme abgesehen haben – Angreifer führen ständig neue Tools, Techniken und Verfahren ein. Diese Bedrohungen zu stoppen, ist vor allem deshalb schwierig, weil Cyber Threat Intelligence (CTI) nach wie vor fragmentiert ist. Aufschlussreiche Bedrohungsindikatoren...
Mehr lesen
Unkategorisiert

Frauen in der Tech-Branche: Ein Gespräch mit Shay Rubio von Cato Networks

Frauen in der Tech-Branche: Ein Gespräch mit Shay Rubio von Cato Networks
user photo
Dave Greenfield
Anlässlich des Internationalen Frauentags (8. März 2024) interviewte die deutschsprachige Software-Nachrichtenseite entwickler.de die Cato-Produktmanagerin Shay Rubio über ihren Weg in der High-Tech-Branche. Wann haben Sie angefangen, sich für Technologie zu interessieren, und was hat Ihr Interesse an Technik geweckt? Ich bin von Natur aus ein neugieriger Mensch und habe mich schon immer dafür interessiert, wie...
Mehr lesen
Unkategorisiert

GenAI-Sicherheit entmystifiziert - und wie Cato Ihnen hilft, den Zugriff Ihrer Organisation zu ChatGPT zu sichern

GenAI-Sicherheit entmystifiziert - und wie Cato Ihnen hilft, den Zugriff Ihrer Organisation zu ChatGPT zu sichern
user photo
Vadim Freger
Im vergangenen Jahr wurden unzählige Artikel, Vorhersagen, Prophezeiungen und Warnungen über die Risiken von KI geschrieben, wobei GenAI (Generative AI) und ChatGPT im Mittelpunkt standen. Das Spektrum reicht von der Ethik bis hin zu weitreichenden Auswirkungen auf die Gesellschaft und Arbeitskräfte („Nein, Mama, der Terminator wird erstmal nicht Wirklichkeit…“).Die Vorhersagen und Befürchtungen haben Cato Security...
Mehr lesen

Innovieren, wachsen und florieren

Mit einer echten SASE-Plattform

Mit Cato kann jedes Unternehmen die Vorteile der digitalen Transformation voll ausschöpfen, mit der Geschwindigkeit des Geschäfts vorankommen und für die nächsten Herausforderungen gerüstet sein…….

Kontakt