Es ist kein Geheimnis: Im Internet tummeln sich viele üble Gestalten. Von denen kann man nicht nur via Spammail übers Ohr gehauen werden: So sind zahlreiche Onlinekaufhäuser reine Betrugswebseiten: Der österreichischen Plattform Watchlist Internet zufolge standen im vergangenen Jahr hinter 16.500 gemeldeten Internetbetrugsfällen 3182-mal sogenannte Fake-Shops. Wer dort bestellt, bekommt keine Waren und sieht sein Geld meistens nicht wieder.

Den Betreibern dahinter das Handwerk legen will "Sinbad". So heißt der Detektor, den das Österreichische Institut für angewandte Telekommunikation (ÖIAT) in Wien derzeit entwickelt und der User davor warnt, Opfer eines solchen digitalen Bauernfangs zu werden. Die Software, die durch das Sicherheitsforschungsprogramm Kiras der Forschungsförderungsgesellschaft FFG gefördert wird, soll schon bald für alle zum Download bereitstehen.

"Wir haben uns gefragt, ob die Ähnlichkeiten der Fake-Shops, die wir von außen sehen, auch maschinell erkannt werden können", erklärt Projektleiterin Louise Beltzung. Und so machte sich das ÖIAT – das auch Teil des KMU-Forschungsnetzwerks Austrian Cooperative Research (ACR) ist – in Kooperation mit dem Austrian Institute of Technology (AIT) in Wien ans Werk.

Typische Indizien

Grundsätzlich gibt es Hinweise, mit denen bereits die User selbst erkennen können, dass ihnen eine Falle gestellt wird: Vorkasse als einzige Bezahlmethode, auffällig niedrige Preise, merkwürdige Domainnamen, wenige Bewertungen oder fehlende AGB sind etwa typische Indizien für einen Fake-Shop.

Manches liegt aber auch im Verborgenen. Und in diesem Fall hilft dann das Plug-in: Bis zu 21.000 Faktoren untersucht die Software, wenn man ein digitales Warenhaus betritt. Bei seiner Analyse zieht es zahlreiche Aspekte in Betracht: Von der Struktur über die Sprache bis hin zum Code – all das kann im Detail verraten, ob Langfinger hinter der Homepage stecken. Diese künstliche Intelligenz nutzt für die Befragung verschiedene Algorithmen.

Bis es aber so weit war, musste man das Programm erst einmal schulen, sodass das Tool von einer umfangreichen Datenbank zehrt, in der viele Fake-Shops bereits dokumentiert sind: 7700 betrügerische Webshops hat das ÖIAT zusammengetragen. "Wir konnten mit guten Daten starten", sagt Beltzung.

Da das Verbrechen nicht ausstirbt, kommen jedoch immer neue Pages von Ganoven dazu. Deshalb unterzieht die Software jede Shoppingplattform nach dem Abgleich mit dem Archiv zusätzlich einer Echtzeitanalyse, um zu überprüfen, ob die typischen Charakterzüge eines Fake-Shops vorliegen. Die derzeitigen Detektionsraten liegen jetzt bereits bei 97 Prozent.

Breite Datenbasis

Aber das soll noch weiter verbessert werden: "Die Qualitätssicherung ist bei KI-Lösungen eine der größten Herausforderungen. Das betrifft vor allem die Datenbasis", sagt Beltzung. "Das Problem haben wir gelöst, indem wir auf die langjährige Archivierung von Fake-Shops durch Watchlist Internet zurückgreifen, sowie durch die Implementierung eines auf Expertise basierenden Detektionsprozesses.

Die Blacklists der KI enthalten nur durch Experten und Expertinnen bestätigte Warnmeldungen zu Online-Betrug im E-Commerce." Die KI liefere sehr gute Ergebnisse, allerdings sei eine händische Stichprobenüberprüfung immer notwendig, betont Beltzung.

Aber alles der Maschine überlassen wollen Beltzung und ihr Team ohnehin nicht: Schließlich kann sich auch die Software einmal irren. Wenn das Programm einen Verdacht hegt, den es aber nicht ausreichend belegen kann, werden die User an einen Leitfaden verwiesen, mit dem sie die entsprechende Plattform auf Herz und Nieren abklopfen können.

Risikoabschätzung

"Uns interessiert aber auch, wie die Leute auf solchen Seiten landen. Dazu haben wir uns etwa Werbung auf Social Media angesehen", sagt Beltzung. Die Forscherin selbst ist nämlich gar keine Informatikerin, sondern Sozioökonomin.

"Mich interessiert, welche positiven Beiträge KI-Anwendungen leisten können, insbesondere in Bezug auf die Risikoabschätzung. Auch was ethische Fragestellungen und Blickwinkel auf Organisationsdynamiken betrifft, kann die Sozioökonomie einen Beitrag leisten."

Sinbad, das Ende letzten Jahres mit einem ACR-Innovationspreis ausgezeichnet wurde, hilft aber nicht nur den Konsumentinnen und Konsumenten, sondern auch dem kleinen und mittelständischen Handel. Wenn Fake-Shops weiter grassieren, nütze das vor allem den großen einschlägigen Versandhäusern wie Amazon, weil die vermeintlich mehr Sicherheit bieten, sagt Beltzung.

Masken-Fake-Shops

Da bedingt durch die Pandemie mehr online geordert wird, kommt es möglicherweise auch zu mehr Betrugsfällen. Das hat die Wissenschafterin bisher aber noch nicht beobachtet. Die Diebe haben eher das Feld gewechselt: "Fake-Shops haben sich zum Beispiel auf Masken und Desinfektionsmittel spezialisiert. Während die Reise-Fakes abgenommen haben, sind Streaming-Fakes mehr geworden."

In einem weiteren Projekt unter dem Titel "Detect", ebenfalls in Kooperation mit dem AIT und gefördert im Rahmen der Netidee-Aktion der Internet Privatstiftung Austria, will man in Zukunft noch mehr die Userschaft in die Fake-Shop-Prävention einbinden.

Das Projekt folgt einem Gamification-Ansatz: Shopbenutzer sollen spielerisch animiert werden, Schwachstellen zu identifizieren und Elemente wahrzunehmen, die die KI so nicht bemerken kann. Auch im vollautomatischen Zeitalter bleibt der Mensch also weiter der treibende Faktor. (Johannes Lau, 23.3.2021)