Die besten Betrugsmaschen der Account-Übernahme und wie man sich davor schützt

In einer Branchenumfrage der Aite Group gaben 89% der Führungskräfte von Finanzinstituten (FI) an, dass Betrug bei der Übernahme von Konten (ATO-Betrug) als die häufigste Ursache für Verluste im digitalen Kanal ¹ .

Betrug bei der Kontoübernahme ist eine Art von Identitätsdiebstahl, bei dem Kriminelle Zugriff auf die Finanzdaten des Opfers erhalten, um einen Gewinn zu erzielen. Es ist verwandt mit einer anderen Art von Identitätsdiebstahl, die als synthetischer Identitätsbetrug bezeichnet wird, unterscheidet sich jedoch von dieser. In einem Kontoübernahmeszenario verwendet ein Krimineller die gestohlenen Daten oder personenbezogenen Daten (PII) eines legitimen Kunden, um auf sein bestehendes Konto zuzugreifen. Bei Betrug mit synthetischer Identität werden diese Daten jedoch mit erfundenen Details verknüpft, um eine gefälschte Identität zu erstellen, mit der ein neues Konto eröffnet wird.

Beide Arten von Betrug können Ihren Kunden ernsthaften Schaden zufügen. In diesem Blog-Beitrag konzentrieren wir uns auf den Betrug bei der Übernahme von Konten, indem wir einige der schädlichsten Strategien für die Übernahme von Konten beschreiben und untersuchen, wie FIs mithilfe eines mehrschichtigen Ansatzes diese Art von Betrug erkennen und vor ihm schützen können.

Betrugstechniken für die Übernahme von Konten

Datenverletzungen

Einige Angriffe auf Kontoübernahmen beginnen damit, dass Betrüger personenbezogene Daten sammeln. Dies kann lange vor einer betrügerischen Transaktion geschehen. Schlechte Schauspieler kaufen einfach personenbezogene Daten, die im Rahmen einer früheren Datenverletzung durchgesickert sind. Die vielen jüngsten Verstöße gegen große Unternehmen haben Milliarden von Benutzernamen, E-Mail-Adressen, Passwörtern, Kreditkartennummern und Sozialversicherungsnummern aufgedeckt. 

Mit diesen durchgesickerten Daten können Cyberkriminelle gezielte Phishing-Kampagnen vorbereiten. Sie können auch durch einen automatisierten Angriff unbefugten Zugriff auf Konten erhalten (oder bei weniger erfahrenen Betrügern durch manuelle Eingabe von Kombinationen von Anmeldeinformationen). Wenn die Authentifizierungsmechanismen eines FI auf schwachen Sicherheitsmaßnahmen wie statischen Passwörtern beruhen, verwenden Kriminelle eine Technik, die als Stuffing von Anmeldeinformationen bezeichnet wird. Das Ausfüllen von Anmeldeinformationen erfolgt, wenn eine Armee von Bots eine Liste gestohlener Anmeldeinformationen mit einer Reihe von Websites vergleicht, die auf eine Übereinstimmung hoffen. Wenn der Authentifizierungsprozess umfasst Multi-Faktor-Authentifizierung (z. B. Fingerabdruck und Einmalkennwort) Der unbefugte Zugriff auf ein Konto erfordert mehr Aufwand.

Phishing

Phishing-Angriffe sind eine Form des Social Engineering, die bestimmte menschliche Eigenschaften ausnutzt, indem sie ein Gefühl der Dringlichkeit erzeugen oder unser Vertrauen in etablierte Institutionen ausnutzen. Eine Phishing-E-Mail kann beispielsweise genau wie eine gültige Mitteilung des Finanzinstituts des Empfängers aussehen, die den Benutzer darauf hinweist, dass sein Konto gefährdet ist. Es kann auch Elemente enthalten, die sich als Dokument der Bank tarnen, oder andere Merkmale einer legitimen E-Mail enthalten, z. B. Logos, E-Mail-Signaturen und echte Mitarbeiternamen.

In einem solchen Szenario würde das Klicken auf den Link in der E-Mail den Benutzer zu einer gefälschten Website weiterleiten, die mit der Website seiner Bank identisch ist. Von dort aus würde die Webseite den Benutzer dazu verleiten, seine Anmeldeinformationen preiszugeben. Alternativ kann durch Öffnen eines E-Mail-Anhangs eine Malware auf ihrem Gerät installiert werden, die ihre Bankdaten abfängt, wenn sie das nächste Mal auf der legitimen Website der Bank eingegeben werden. Schließlich könnte die Phishing-E-Mail den Benutzer auffordern, eine angeforderte Nummer anzurufen. Am anderen Ende des Telefons befindet sich ein gut ausgebildeter Betrüger, der sich als Bankvertreter ausgibt.

Phishing hat viele Gesichter, darunter:

1. Spear Phishing: Ein Phishing-Versuch, der auf eine bestimmte Person oder Gruppe abzielt.
    
2. Walfang: Ein Angriff, der auf eine hochkarätige Person abzielt.
    
3. Vishing oder „Voice Phishing“: Ein Phishing-Betrug über das Telefon. 
    
4. Smishing: Textnachrichten, die einen Link zu einem gefälschten Bankportal oder einem Messenger-basierten Betrug enthalten können. 

SIM-Swap-Angriffe

Mobilfunkbetreiber bieten einen legitimen Dienst zum Austauschen der SIM-Karte eines Benutzers an. Kunden nutzen diesen Service häufig, wenn sie zu einem neuen Gerät wechseln, das ihre vorherige SIM-Karte nicht mehr unterstützt. Betrüger können diesen Dienst missbrauchen. Sie verwenden Social-Engineering-Techniken, um die SIM-Karte eines Opfers zu deaktivieren und eine neue Karte mit der Telefonnummer und den Daten des Benutzers zu erhalten. Auf diese Weise kann der Betrüger auf Banklösungen abzielen, die Mobiltelefone im Authentifizierungsablauf verwenden. Wenn die Registrierung einer Mobile-Banking-App beispielsweise über den SMS-Kanal erfolgt, können Betrüger durch SIM-Austausch diese App auf ihrem Telefon aktivieren. Wenn der Authentifizierungsmechanismus der Bank Textnachrichten als Mittel zur Übermittlung von Einmalkennwörtern enthält, ist die Übernahme der Opfernummer eine attraktive Möglichkeit für Kriminelle, betrügerische Transaktionen zu authentifizieren oder andere Vorgänge innerhalb der Bankensitzung auszuführen.

Malware

Eine andere Möglichkeit, die Kontrolle über ein Bankkonto zu übernehmen, ist Malware. Diese schädliche Software kann durch eine Vielzahl von Benutzeraktionen auf dem Computer oder dem Mobilgerät des Opfers installiert werden. Dazu gehören der Besuch riskanter Websites, das Öffnen von Anhängen aus Phishing-E-Mails oder das Herunterladen mobiler Apps aus nicht vertrauenswürdigen Quellen. Es kann auch mit anderen Programmen gebündelt werden (z. B. Maskieren als Flash Player-Update). Malware-Programme können verschiedene Arten von Angriffen ausführen. Einige installieren Konfigurationsdateien auf dem infizierten Computer, um das Opfer auf eine schädliche Website umzuleiten. Einige, sogenannte Key Logger, fangen alles ab, was der Opfer-Typ hat, einschließlich seiner Bankdaten. Andere können einen Webbrowser infizieren, indem sie ihn als Add-On installieren. Sie werden als Man-in-the-Browser-Angriff bezeichnet und können Anmeldeinformationen abfangen oder Transaktionsdetails oder andere Daten ändern. 

Mobile-Banking-Trojaner sind eine Bedrohung, deren Anzahl und Komplexität zugenommen hat. im letzten Jahr einen historischen Höchststand erreicht . Eine der Funktionen eines Mobile-Banking-Trojaners ist ein Overlay-Angriff. Bei einem Overlay-Angriff erstellt eine Malware eine zusätzliche Ebene über der Benutzeroberfläche des Mobilgeräts. Diese zusätzliche Ebene ist eigentlich ein Fenster, das die legitime Bankanwendung abdeckt und deren Design nachahmt. Sobald festgestellt wird, dass die Banking-App ausgeführt wird, wird sie aktiviert, die Ziel-App in den Hintergrund gerückt und stattdessen eine eigene Anmeldeschnittstelle angezeigt. Ein ahnungsloses Opfer durchläuft den Authentifizierungsprozess und die Malware sammelt die Anmeldeinformationen des Benutzers.

Mobile-Banking-Trojaner können noch weiteren Schaden anrichten. Die Malware kann aktiv bleiben und die Daten ändern, während das Opfer andere Aktionen innerhalb der Bankensitzung ausführt. Beispielsweise kann ein Banking-Trojaner einen Geldtransfer abfangen und das Geld auf ein betrügerisches Konto umleiten. Wenn Sie mehr über einen solchen Angriff erfahren möchten, lesen Sie unseren Blog: „ Schutz vor der BankBot Android Banking Malware mit RASP . ”

Der Mann in der Mitte

Bei dieser Art von Angriff positionieren sich Betrüger zwischen dem FI und dem Benutzer, um Mitteilungen abzufangen, zu bearbeiten, zu senden und zu empfangen, ohne Verdacht zu erregen. Übernahme des Kommunikationskanals 
Zwischen dem Gerät des Benutzers und dem Server kann ein schädliches Wi-Fi-Netzwerk als öffentlicher Hotspot (als Rogue Access Point bezeichnet) eingerichtet werden. Über diesen Zugangspunkt kann ein Betrüger alle Daten abfangen, die das Opfer sendet und empfängt. 

Man-in-the-Middle-Angriffe können sich auch auf den Mobile-Banking-Kanal auswirken. Menschen nutzen öffentliche Hotspots und bemerken nicht, dass sie ihre Zahlungsdaten möglicherweise über ein Netzwerk übertragen, das von einem schlechten Schauspieler kontrolliert wird. Natürlich sollten Mobile-Banking-Apps bei der Kommunikation mit einem Server bestimmte Sicherheitsmaßnahmen anwenden. Durch unsachgemäßes Design kann eine App jedoch anfällig werden. Eine falsche Konfiguration oder das Fehlen eines sicheren Kanals für die Übertragung mobiler Daten erhöht auch das Risiko dieser Art von Angriff.

Mehrschichtiger Schutz gegen Kontoübernahmebetrug

Ohne solide Sicherheitsmaßnahmen kann ein Kontoübernahmeangriff wochen- oder sogar monatelang unbemerkt bleiben, insbesondere wenn es Betrügern gelingt, die gesamte Bankkommunikation des Opfers auf ihre digitalen Kanäle umzuleiten. Manchmal erkennt das Opfer den Angriff nur, wenn es in seinem Kontoauszug merkwürdige Aktivitäten bemerkt.

Trotz Gegenmaßnahmen der Banken wie der Kundenschulung geraten viele Nutzer immer noch in die Falle. Ein mehrschichtiger Sicherheitsansatz ist der beste Weg, um das Risiko zu minimieren, dass Kunden eines FI Opfer von Übernahmbetrug werden. Dieser Ansatz vereint mehrere Lösungen, die Bankgeschäfte und Kunden schützen, ohne die Benutzererfahrung zu beeinträchtigen.

Prävention - Sicherung des Benutzers und der Anwendung

Angesichts der zunehmenden Vielfalt und Komplexität von Angriffsszenarien ist es für Finanzinstitute wichtig, Lösungen anzubieten, die ihren Kunden helfen, Verwirrung zu vermeiden und so das Risiko einer Interaktion mit einem Betrüger zu minimieren. Ein Betrugspräventionssystem sollte Funktionen kombinieren, die beide schützen Benutzer und ihre Geräte .

Benutzer schützen

OneSpan Cronto ^® Die visuelle Signaturfunktion für Transaktionen schützt Benutzer vor Social Engineering, Man-in-the-Middle-Angriffen und anschließend vor Opfern von Betrug bei der Kontoübernahme.

Die Cronto-Transaktionssignaturlösung von OneSpan erstellt für jede Transaktion eine eindeutige Transaktionssignatur unter Verwendung von Daten wie Kontonummern, Transaktionsbetrag und Zeitstempel.

Cronto beschränkt die Möglichkeit, den Inhalt der zu signierenden Transaktion zu ändern, da der generierte visuelle Code direkt mit der Finanztransaktion selbst verbunden ist. Jede Änderung dieser Details macht den Code ungültig. Transaktionsdetails sind für den Benutzer beim Autorisieren einer Transaktion deutlich sichtbar, wodurch das Man-in-the-Middle-Szenario verhindert wird. Darüber hinaus kann keine betrügerische Partei die Erstellung eines Cronto-Codes manipulieren. Dieser Code kann nur unter Einbeziehung der Bank generiert werden, basierend auf den Details der vom Benutzer angeforderten Transaktion.

Schutz der Anwendung und des Kommunikationskanals

Eine mobile Anwendung kann Teil des Authentifizierungsprozesses im Online-Banking sein. Es kann auch einen separaten Mobile-Banking-Kanal darstellen - derzeit eine der obersten Prioritäten für Finanzinstitute, aber auch ein sehr wertvoller Angriffsvektor für Betrüger. Mobile Geräte können zu einer Sicherheitslücke in der digitalen Customer Journey werden, aber mit geeigneten Sicherheitskontrollen können sie tatsächlich zu einem Aktivposten werden, der zu einer sicheren Benutzererfahrung beiträgt.

Mit Mobile Sicherheit von OneSpan Suite, FIs können Einblick in das Risiko mobiler Kanäle gewinnen und zur Minderung von Betrug beitragen. Die Lösung hilft dabei, Vertrauen aufzubauen, und wendet einen umfassenden Ansatz für die mobile Sicherheit an, indem sie Folgendes berücksichtigt: App, Gerät, Schnittstelle, Kommunikation, Speicher und Benutzer. Es kann Schwachstellen im Gerät des Benutzers erkennen und genau definierte Sicherheitsmaßnahmen anwenden. Mit der Anwendungsabschirmung und dem Laufzeitschutz wird verhindert, dass Overlay-Angriffe, Key Logger und andere schädliche Technologien Benutzerdaten stehlen oder ändern. Beispielsweise verfügt OneSpan App Shielding über einen integrierten Mechanismus, der erkennt, wie die Anwendung in den Hintergrundzustand versetzt wurde. Zusammen mit anderen Kriterien kann dies dazu beitragen, festzustellen, ob der Benutzer Opfer eines Overlay-Angriffs ist.

Proaktive Betrugserkennung über alle digitalen Kanäle hinweg

FIs müssen in der Lage sein, Anzeichen einer Kontoübernahme proaktiv zu erkennen, bevor ihre Kunden betroffen sind. Benutzer-, Geräte- und Transaktionsdaten enthalten Signale, die darauf hinweisen können, dass Kunden angegriffen werden. Eine Übersicht über alle Kundenaktionen kann auch dazu beitragen, verdächtige Ereigniskombinationen zu erfassen. Wenn beispielsweise mehrere Benutzer plötzlich eine Kennwortänderung anfordern oder wenn sich erfolglose Anmeldeversuche häufen, kann dies ein Indikator für die Kontoübernahme sein.

OneSpan Risk Analytics kann helfen. Risk Analytics bewertet jede Aktion und jeden Benutzer in allen digitalen Kanälen. Es sammelt Wissen über alle Aktionen vor, während und nach der Bankensitzung, um einen vollständigen Überblick über die Situation zu erhalten. Es verwendet eine Risikoanalyse-Engine, die maschinelles Lernen nutzt, um Hunderte von Datenpunkten zu analysieren, Anomalien im Benutzerverhalten zu erkennen und Authentifizierungsanforderungen basierend auf hochgenauen Risikobewertungen zu empfehlen. Schließlich kann dies dazu beitragen, verschiedene Szenarien der Kontoübernahme zu verhindern, z. B. die unbefugte Erstellung neuer Zahlungsempfänger, Änderungen des neuen Kontoprofils und Geldtransfers.  

Intelligente adaptive Authentifizierung - Verbessern Sie das Kundenerlebnis und stärken Sie gleichzeitig die Sicherheit

OneSpan Intelligente adaptive Authentifizierung Die IAA-Lösung bietet das genaue Sicherheitsniveau zum richtigen Zeitpunkt für jede Transaktion, basierend auf einer Echtzeit-Risikoanalyse von Benutzer-, Geräte- und Transaktionsdaten. Jede Authentifizierungsreise ist anders. Aus diesem Grund bewertet die Lösung alle Benutzeraktionen von Fall zu Fall, um anhand des Risikograds die am besten geeigneten Authentifizierungsmethoden zu ermitteln. Durch die Anpassung des Authentifizierungsflusses an jede einzelne Transaktion wird es für Betrüger schwieriger, ihre Angriffe vorherzusagen und zu planen. Diese Unvorhersehbarkeit vereitelt den Versuch eines Betrügers, mit minimalem Aufwand einen schnellen Gewinn zu erzielen.

Blick in die Zukunft des Betrugs bei der Kontoübernahme

Der Betrug bei der Kontoübernahme wird immer weiter zunehmen und schneller wachsen. Es ist eine relativ einfache Gewinnquelle für schlechte Akteure, die weiterhin alle verfügbaren Schwächen im Finanzbankensystem ausnutzen werden. Ein moderner und vielschichtiger Sicherheitsansatz kann jedoch erheblich dazu beitragen, die Angriffe zu verringern, die zur Übernahme von Konten führen. Lösungen zum Schutz des Benutzers, des Geräts, der App und des Kommunikationskanals sowie eine umfassende Risikoanalyse-Engine und ein intelligentes Authentifizierungs-Framework sind für die weitere Bekämpfung von Betrug bei der Kontoübernahme von entscheidender Bedeutung.

1. Betrugsbekämpfung bei digitalen Kanälen: Weiterentwicklung zu Mobile-First, Aite Group LLC, https://www.onespan.com/resource-center/digital-channel-fraud-mitigation-evolving-to-mobile-first