Ein Urlaubsbild, ein Selfie aus dem Fitnessstudio oder ein Schnappschuss mit der Familie – was harmlos wirkt, kann plötzlich zur Grundlage für einen gezielten Betrugsversuch werden. Eine aktuelle Analyse des IT-Sicherheitsunternehmens Trend Micro zeigt, wie Cyberkriminelle mithilfe von Künstlicher Intelligenz aus öffentlich geposteten Fotos innerhalb kürzester Zeit täuschend echte Betrugsmaschen entwickeln. Dabei braucht es weder ein Datenleck noch einen Hackerangriff. Alles, was notwendig ist, liefern Nutzer oft selbst, freiwillig und öffentlich.
Die Analyse zeigt, dass moderne KI-Systeme Fotos regelrecht "lesen" können. Sie erkennen nicht nur offensichtliche Dinge wie Orte oder Marken, sondern auch feine Details: Tageszeiten, Routinen, Beziehungen oder sogar Hinweise auf den Gesundheitszustand. Ein einziges Bild kann so überraschend viele Informationen liefern. Aus diesen Daten entsteht ein persönliches Profil. Genau das nutzen Betrüger aus. Sie bauen darauf abgestimmte Nachrichten, die auf den ersten Blick glaubwürdig wirken, weil sie reale Details enthalten.
Laut Untersuchung gelingt es, aus einem Bild innerhalb von rund 30 Minuten eine komplette Betrugsmasche zu erstellen – inklusive E-Mail und gefälschter Website. Wie konkret das aussehen kann, zeigt ein Beispiel aus der Analyse: Ein gepostetes Urlaubsfoto mit erkennbarer Hotelmarke, Fitness-Armband und Familienbezug liefert genug Hinweise. Daraus entsteht etwa eine Nachricht im Namen eines Reiseanbieters mit dem Hinweis auf eine "Bestätigung der Kinder-Ermäßigung". Die Mail greift echte Details auf – Ort, Zeitraum oder Marke.
Genau diese Mischung macht die Masche so gefährlich. Die Nachricht wirkt persönlich, passend und zeitlich stimmig. Viele Empfänger schöpfen deshalb keinen Verdacht und geben ihre Daten auf einer täuschend echten Seite ein. Die Untersuchung macht auch klar, dass das Problem längst nicht nur private Nutzer betrifft. Persönliche Fotos können auch im Job-Kontext missbraucht werden. Wenn etwa Reisepläne, Termine oder Marken aus dem Alltag bekannt sind, lassen sich auch berufliche Phishing-Mails überzeugender gestalten.
Damit verschwimmt die Grenze zwischen privatem Posting und beruflichem Risiko zunehmend. Klassische Sicherheitsfilter stoßen hier an ihre Grenzen, weil die Inhalte nicht offensichtlich verdächtig sind. Namen, Anlass und Zeitpunkt passen einfach zu gut. Besonders brisant ist laut Trend Micro ein Punkt: Für diese Angriffe braucht es keinen Zugriff auf Accounts oder interne Daten. Die Täter greifen ausschließlich auf frei verfügbare Inhalte zurück und nutzen gängige Tools, die grundsätzlich legal sind. Das macht die Methode leicht skalierbar.
Viele Opfer können gleichzeitig ins Visier genommen werden, ohne großen Aufwand. Die Analyse zeigt deutlich, dass öffentliche Fotos heute mehr sind als nur persönliche Erinnerungen. Sie können sicherheitsrelevant werden. Wer sich schützen will, sollte genauer überlegen, welche Details sichtbar sind. Besonders heikel sind erkennbare Orte, Zeitangaben oder sensible Informationen wie Tickets oder Dokumente. Auch bei unerwarteten Nachrichten gilt: Vorsicht bei Druck oder Dringlichkeit. Wichtig: Erst prüfen, statt direkt auf etwas zu klicken.
