Was Banken tun können, um sich vor dem von Krebs gemeldeten Vishing-Betrug zu schützen?

Ben Balthazar, 6. Mai 2020
What Banks Can Do to Prevent the Krebs-reported Vishing Scam

Ich bin kürzlich auf einen interessanten Artikel von Brian Krebs gestoßen, der meine Aufmerksamkeit erregt hat.

In diesem Artikel, "Wenn Sie Zweifel haben: Auflegen, nachschlagen und zurückrufen" Krebs erzählt die Geschichte eines seiner Leser, alias "Mitch", der für 9.800 Dollar betrogen wurde. Es hat meine Aufmerksamkeit erregt, weil Mitch ein erfahrener Cybersicherheits- und technisch versierter Leser ist. Sie würden nicht erwarten, dass er auf solche Betrügereien hereinfällt.

Der Artikel enthält Anleitungen, wie Menschen sich vor Vishing-Betrug schützen können, untersucht jedoch nicht, wie die Bank den Angriff hätte erkennen oder verhindern können. In diesem Beitrag machen wir genau das. Ich empfehle Ihnen, den oben verlinkten vollständigen Artikel von Krebs zu lesen, aber ich biete eine Zusammenfassung des Betrugs unten. Wenn Sie den Artikel bereits gelesen haben, überspringen Sie den nächsten Abschnitt und gehen Sie auf meine Analyse des Angriffs ein.

Zusammenfassung des Artikels von Brian Krebs: „Wenn Sie Zweifel haben: Auflegen, nachschlagen und zurückrufen“

Mitch erhielt einen Anruf von seinem Finanzinstitut und warnte ihn vor Betrug auf seinem Konto. Mitch 'erster Instinkt war gut. Er verifizierte, dass die vom Anrufer verwendete Nummer mit der auf der Rückseite seiner Debitkarte aufgedruckten übereinstimmte. Mitch war sicherheitsbewusst und wusste, dass Betrüger diese Telefonnummer leicht fälschen konnten. Gleichzeitig überprüfte er sein Online-Banking, während er telefonierte. Mitch sah einige betrügerische Anschuldigungen und Geldautomatenabhebungen. Da der Anrufer während dieses Anrufs keine persönlichen Informationen angefordert hatte - und ihm stattdessen versicherte, dass die Bank die Gebühren stornieren würde -, nahm Mitch dies als echten Anruf von seiner Bank.

Am nächsten Tag erhielt er einen weiteren Anruf wegen Betrugs auf seinem Konto. Da der Anruf nicht stimmte, beschloss er, die Kundendienstabteilung seiner Bank anzurufen, während der erste Anruf gehalten wurde. Irgendwie konnte der Vertreter überprüfen und bestätigen, dass ein weiterer Anruf bei Mitch aktiv war. Dies überzeugte ihn, dass er tatsächlich mit seiner Bank sprach.

Der Anrufer teilte Mitch dann mit, dass er ihm ein Einmalkennwort (OTP) per SMS senden würde, um seine Identität zu überprüfen. Dies war etwas, was die Bank in der Vergangenheit getan hatte, also stimmte Mitch zu. Er erhielt das OTP und las es dem Anrufer vor. Am folgenden Montag, als Mitch sein Online-Banking überprüfte, sah er eine ausgehende Überweisung in Höhe von 9.800 USD auf seinem Konto. Später fand er heraus, dass die Überweisung auf ein Online-Bankkonto ging, das die Cyberkriminellen in seinem Namen eingerichtet hatten.

Meine Analyse des Vishing Attack

Die Betrüger verwendeten eine überflogene Karte, um einen aufwändigen Social-Engineering-Betrug einzuleiten, um Mitch vertrauliche Informationen, Kontonummern und Geld zu stehlen. Sie hatten es auch geschafft, Identitätsdiebstahl zu begehen und ein neues Bankkonto in Mitch 'Namen zu eröffnen, was ihnen später ermöglichte, die Transaktion zu umgehen, damit sie nicht von der Bank gekennzeichnet wurde.

Können wir Mitch beschuldigen, auf die Vishing-Anrufe hereingefallen zu sein? Ich denke nicht, dass wir sollten. Während Mitch einige kleine Fehler machte, zeigte er gute Reflexe. Mitch rief gleich zu Beginn seine Bank an und wusste, dass Cyberkriminelle die Anrufer-ID fälschen könnten.

Es ist wichtig zu wissen, dass Mitch mehr Branchenkenntnisse über Betrug und Social Engineering hat als die meisten Menschen, und dennoch ist er darauf hereingefallen. Wissen und Bewusstsein reichten in diesem Fall nicht aus. Um zu verhindern, dass diese Betrügereien in Zukunft andere Kunden beeinträchtigen, kann die Bank ausgefeilte Tools zur Erkennung und Vorbeugung einsetzen.

Hier sind vier Möglichkeiten, in denen die Bank ihre Strategie zur Betrugsprävention verbessern und künftige Vishing- und Betrugsversuche stoppen könnte:

  • Die Bank stützte sich auf ein einmaliges Passwort, das per SMS gesendet wurde, um eine vom Telefonbanking übermittelte Zahlung zu validieren.
  • Das Betrugserkennungssystem der Bank berücksichtigte nicht das übliche Verhalten und die Kanalnutzung des Kunden.
  • Die betrügerische Zahlung wurde nicht gekennzeichnet, da das Empfängerkonto denselben Namen hatte wie das Konto des Zahlers. Das Betrugserkennungssystem berücksichtigte nicht, ob der Kunde dieses Empfängerkonto zuvor verwendet hatte oder nicht.
  • Die Bank verfügte über unzureichende Überwachungs- und Überprüfungskontrollen, um verdächtige Zahlungen oder Maßnahmen auf dem Konto zu identifizieren und zu validieren.

Wie hätte die Bank Mitch besser schützen können?

Einmalpasswörter über SMS gesendet vs. Dynamische Verlinkung

Die Verwendung von SMS-Einmalkennwörtern zur Sicherung eines Online-Bankkontos ist keine gute Vorgehensweise. Darüber hinaus ist die Verwendung von SMS OTP zur Validierung von Zahlungen schlechter. SMS-Einmalkennwörter sind anfällig für Phishing, Vishing, Social Engineering, mobile Malware und andere Angriffe. Außerdem bieten sie keinen Kontext für die Transaktion. Der Kontext ist wichtig, wie dieser Fall gezeigt hat, da er dem Kunden das Wissen darüber vermittelt, wofür das Einmalkennwort verwendet wird.

In Mitch 'Beispiel wurde das OTP verwendet, um die Überweisung von 9.800 USD zu authentifizieren, die durch Telefonbanking initiiert wurde. Als er jedoch das Einmalpasswort erhielt, wurde ihm mitgeteilt, dass es seine Identität überprüfen sollte. Mitch konnte nicht wissen, dass ein Angreifer denselben Code verwenden konnte, um eine Zahlung in seinem Namen zu tätigen. Zwei wichtige Änderungen hätten diesen Angriff und viele ähnliche Vishing- und Phishing-Versuche wahrscheinlich verhindern können:

  1. Dynamische Verknüpfung :: Durch die dynamische Verknüpfung eines Einmalkennworts mit einer Zahlung oder Aktion kann dieses OTP nur für diese bestimmte Zahlung oder Aktion verwendet werden. Wenn Sie eine dynamische Verknüpfung anwenden, sollte dem Benutzer außerdem ein Kontext darüber bereitgestellt werden, wofür dieses OTP verwendet wird. In unserem Beispiel bedeutet dies, dass das Einmalkennwort mit der Zahlung verknüpft sein sollte und die Zahlungsdetails für Mitch sichtbar sein und von Mitch überprüft werden sollten, bevor das OTP irgendwo eingegeben wird.
     
  2. Verwenden eines sicheren Kommunikationskanals: Dies passt perfekt zum vorherigen Punkt. Anstatt sich auf einen anfälligen Kanal wie SMS zu verlassen, hätte die Bank die Technologie nutzen können, um ihren Kunden einen softwarebasierten Authentifikator bereitzustellen. Der Authentifikator kann eine eigenständige Anwendung oder sogar sein integriert in die Mobile-Banking-Anwendung . Anstatt dem Kunden eine SMS an eine Mobiltelefonnummer zu senden, die möglicherweise übernommen (mithilfe von SIM-Swap-Angriffen) oder von mobiler Malware gestohlen wurde, kann die Bank über ihre eigene mobile App einen direkten Kommunikationskanal mit dem Benutzer einrichten. Auf diese Weise kann die Bank zusätzlichen Schutz für die Kommunikation implementieren, indem sie die End-to-End-Verschlüsselung sowie die Geräteanalyse nutzt.

dynamisches Futter

Bei der dynamischen Verknüpfung sind die Transaktions- oder Operationsdetails Teil des Prozesses zur Generierung und Validierung von Einmalkennwörtern. Dem Benutzer werden die Details beim Generieren des OTP angezeigt, und das OTP kann nur zur Validierung dieses bestimmten Vorgangs verwendet werden. Die dynamische Verknüpfung ist ein Schlüsselinstrument zur Bekämpfung von Phishing und Social Engineering, da sie dem Benutzer Kontext bietet, wenn er eine Operation oder Transaktion autorisiert.

Wenn die Bank die oben genannten Änderungen vorgenommen hätte, anstatt ein Einmalpasswort per SMS zu erhalten, hätte Mitch eine Push-Benachrichtigung auf seinem Telefon erhalten.

  • Beim Öffnen der Benachrichtigung hätte die App Mitch gefragt, ob er die folgende Zahlung autorisieren möchte (und die Zahlungsdetails angezeigt).
  • Mitch müsste dann die Autorisierung mit einer PIN oder einer Biometrie überprüfen und bestätigen.
  • Die App hätte automatisch ein Einmalpasswort generiert und an die Bank zurückgesendet.
  • Selbst wenn das Passwort abgefangen wurde, kann es aufgrund der dynamischen Verknüpfung nur verwendet werden, um die Zahlung zu überprüfen, die Mitch gerade überprüft hat - sonst nichts. Daher kann ein Angreifer es nicht verwenden.

Übliches Kundenverhalten und Kanalnutzung 

Während dynamische Verknüpfungen und sichere Kanäle dazu beitragen würden, viele häufige Angriffe zu stoppen, kann noch mehr getan werden, um die Kunden der Bank zu schützen. In unserem Beispiel scheint Mitch kein häufiger Benutzer von Telefonbanking zu sein. Er tendiert dazu, den Online-Banking-Kanal zu bevorzugen. Die Bank hätte diese Änderung in Mitch 'üblichem Verhalten vom Online-Banking zum Telefonbanking in Verbindung mit einer erheblichen Überweisung auf ein Konto, auf das Mitch nie überweisen konnte, als Indikator für Betrug verwenden können. Die Bank hätte dann vor der Verarbeitung der Zahlung eine zusätzliche Überprüfung durchführen können.

Zahlerkonto und Begünstigtenkonto unter demselben Namen

Unser dritter Punkt ist interessant, weil er zeigt, dass die Angreifer möglicherweise Einblick in die Prozesse der Bank hatten. Es stellte sich heraus, dass sie das Geld auf ein Konto überwiesen hatten, das in Mitch 'Namen bei einer Online-Bank eröffnet worden war. Die Bank hat diese Kontoinformationen dann verwendet, um die Zahlung automatisch grünes Licht zu geben. Dies bedeutet, dass seine Bank ihre Betrugserkennungslösung kalibriert hat, um dem Onboarding-Prozess eines anderen Finanzinstituts ein gewisses Maß an Vertrauen zu schenken - ein Prozess, über den sie keine Kontrolle haben. Identitätsdiebstahl ist ein häufiges Ereignis, und Finanzinstitute können sich nicht aufeinander verlassen, um eine Zahlung von weiteren Kontrollen auszunehmen.

Unzureichende Überwachungs- und Überprüfungskontrollen

Der letzte Punkt sind Spekulationen, aber es gibt Anzeichen dafür, dass der Betrugsüberwachungsprozess der Bank nicht ausgereift ist. Es könnte sogar sein, dass sie die richtigen Werkzeuge haben, aber sie wissen nicht, wie sie richtig eingesetzt werden sollen. Ein Indikator für mich ist die Tatsache, dass diese Zahlung automatisch zugelassen wurde, da sie auf ein gleichnamiges Konto überwiesen wurde.

Ein weiteres Problem besteht darin, dass das Betrugsüberwachungssystem keine Maßnahmen gegen die betrügerischen Kreditkartengebühren ergriffen hat, da es den Angreifern gelungen ist, eine Reisemitteilung auf dem Konto zu platzieren. Diese Reisemitteilung informierte das System, alle mit seiner Kreditkartennummer verbundenen geografischen Warnungen für diesen Zeitraum zu ignorieren.

Beachten Sie jedoch, dass Mitch auf sein Online-Banking-Konto zugegriffen hat, als die Betrüger ihn anriefen. Dies bedeutet, dass die Bank hätte bemerken können, dass Mitch sich von Kalifornien aus bei seinem Online-Banking anmeldet, während er seine Karte in Florida verwendet. Diese Art von kanalübergreifenden Informationen wird von Banken häufig nicht korrekt verwendet, kann jedoch bei der Identifizierung von Betrug äußerst wertvoll sein. Wenn überhaupt, hätte dies eine eingehendere Untersuchung durch die Betrugsabteilung auslösen können, die möglicherweise das laufende System hätte identifizieren können.

Hinzufügen komplementärer Schichten

Tiefenverteidigung: Das Hinzufügen komplementärer Ebenen erhöht die Fähigkeit eines Unternehmens, Angriffe zu verhindern und zu erkennen.

Fazit: Erforschen Sie einen mehrschichtigen Sicherheitsansatz

Betrüger arbeiten ständig daran, neue Strategien zur Umgehung von Betrugsteams zu entwickeln, und dieses Beispiel im Krebs-Artikel zeugt davon. Aus diesem Grund ist es wichtig, dass Finanzinstitute ausgefeiltere Systeme zur Aufdeckung und Verhinderung von Betrug einsetzen. Mit dem richtigen System und Sicherheitstools wie dynamischer Verknüpfung gepaart mit einem sicheren Kommunikationskanal und Kontinuierliche Überwachung von Betrug und Verhalten Banken können Kunden vor ausgeklügelten Social-Engineering-Programmen sowie vor anderen Arten von Betrugsangriffen schützen, darunter Phishing, Malware und mehr.

Weitere Informationen zu dynamischen Verknüpfungs- und Betrugslösungen finden Sie in den folgenden Ressourcen:

ebook cover
E-Buch

Betrug durch Account-Übernahme: Wie Sie Ihre Kunden und Ihr Unternehmen schützen

Tragen Sie dazu bei, Betrug durch Account-Übernahmen zu verhindern und Kunden in jeder Phase ihrer digitalen Aktivitäten zu schützen.

Jetzt herunterladen

Ben Balthazar ist Betrugsberater bei OneSpan und hilft Finanzinstituten in Europa, dem Nahen Osten und Asien bei der Abwehr von Finanzkriminalität. Ben begann seine Karriere bei OneSpan im Jahr 2014 und zog 2016 von Belgien nach Dubai.