Massiver Mobile-Banking-Betrug zeigt Bedeutung von App-Sicherheit, Modernisierung der Authentifizierung und Risikoanalyse für Banken

Dieser Artikel entstand mit der freundlichen Unterstützung von Greg Hancell, Senior Manager im Bereich der Betrugsvorbeugung bei OneSpan, mit Beiträgen von Frederik Mennes, Director of Product bei OneSpan und Will LaSala , Director of Global Solutions bei OneSpan.

Im Sommer 2020 warnte das FBI vor einer Zunahme von Angriffen auf Schwachstellen bei mobilen Finanzdienstleistungen. Gerade zu diesem Zeitpunkt war die Popularität von Mobile Banking als Reaktion auf COVID-19 und die damit verbundenen Lockdowns stark angestiegen. Ende Dezember passierte es dann: Eine von Cyberkriminellen betriebene „Emulator-Farm" wurde entdeckt. Die Betrüger ahmten die mobilen Geräte der Opfer nach und betrogen so Bankkontoinhaber in den USA und Europa um Beträge in Millionenhöhe.

Dieser Artikel möchte Finanzinstitute für diese Problematik sensibilisieren und erläutern, wie ein mehrstufiger Ansatz diesen immer raffinierteren Betrügern das Handwerk legen kann.

Mobiler Betrug: Noch nie war das Ausmaß so groß, noch nie ging er so schnell vonstatten

Den Forschern zufolge hebt sich dieser Betrugsfall durch sein Ausmaß und seine Schnelligkeit von früheren Betrugsfällen mit mobilen Geräten ab. Die Angreifer bauten ein Netzwerk aus rund 20 Emulatoren auf, die 16.000 mobile Geräte nachahmten und buchten in nur wenigen Tagen automatisch Millionen von Dollar von Bankkonten ab. Ein Handy-Emulator ist ein virtuelles mobiles Gerät, das die Funktionalität echter mobiler Geräte imitiert und die Interaktion des Benutzers mit dem Gerät nachahmt. Emulatoren wurden ursprünglich entwickelt, um das automatisierte Testen von Software auf einer Vielzahl von Geräten zu ermöglichen. 

Zu den von den Angreifern automatisierten Aktionen gehörten die folgenden:

• Auslesen der Geräteattribute
• Eingabe von Benutzernamen und Kennwörtern
• Initiieren von Transaktionen
• Empfangen und Stehlen einmaliger Autorisierungscodes, die per SMS gesendet wurden
• Eingabe dieser gestohlenen SMS-Codes, um Transaktionen abzuschließen

Auslesen der Kennungen von Mobilgeräten

In einigen Fällen ahmten die Betrüger die vorhandenen Geräte des Opfers nach. In anderen Fällen simulierten die Betrüger, dass das Opfer ein neues Gerät benutzt, um auf sein Bankkonto zuzugreifen. Die Forscher sind sich nicht sicher, wie die Zugangsdaten für das Bankkonto überhaupt erlangt wurden. Es ist jedoch plausibel, dass die Zugangsdaten durch Malware gestohlen, über Phishing-Angriffe erlangt oder im Dark Web gefunden wurden. Wie genau die Gerätekennungen gesammelt wurden, ist unklar, aber es scheint logisch, dass solche Daten von mobiler Malware auf den Geräten der Opfer gesammelt wurden.

Was Finanzinstitute tun können, um ähnliche mobile Bedrohungen abzuwehren

Es gibt kein Patentrezept für die Sicherheit des mobilen Bankings, mit dem sich derartige mobile Bedrohungen komplett ausschalten ließen. Der beste Schutz ist der Einsatz eines mehrschichtigen, umfassenden Ansatzes, der aus den folgenden Elementen besteht (aber nicht darauf beschränkt ist):

1. Starke Kundenauthentifizierung
2. Client- und serverseitige Risikoanalyse zur Betrugsprävention
3. Abschirmung von Apps für mobile Geräte mit Laufzeitschutz

Bekämpfung der Kontoübernahme durch Modernisierung der Authentifizierung

Das Finanzdienstleistungsanalyseunternehmen Aite Group hat kürzlich in seinem "Bericht „Revisiting Your Authentication Control Framework"vorgeschlagen, dass „Finanzinstitute, Fintech-Firmen und Händler ihr System zur Authentifizierungskontrolle überprüfen sollten. Wenn die letzte Überprüfung einige Jahre her ist, ist angesichts der technologischen Fortschritte in diesem Zeitraum eine Aktualisierung wahrscheinlich unvermeidlich.“

Der Diebstahl von Benutzernamen und Passwörtern, die zur Authentifizierung von Nutzern und Zahlungen verwendet werden, hat die Voraussetzungen für diesen mobilen Betrug geschaffen. Diese statischen „Ein-Faktor“-Authentifizierungsdaten sind anfällig für Phishing, wenn sie nicht sogar bereits im Rahmen anderer Datensicherheitsverletzungen kompromittiert worden sind. Die Implementierung einer Multi-Faktor-Authentifizierung (MFA) oder einer zwei-Faktor-Authentifizierung, die dynamische, einmalige Authentifizierungscodes verwendet, mindert das Risiko einer Kontoübernahme erheblich. In einigen Fällen konnten die Angreifer nicht nur die vorhandenen Geräte der Benutzer imitieren, sondern auch neue Geräte mit den Konten der Opfer aktivieren.

Auch die Entscheidung, über welche Kanäle dynamische Authentifizierungs-/Autorisierungscodes übertragen werden, sollte eine Bank nicht auf die leichte Schulter nehmen. SMS-Codes sind bekanntermaßen anfällig für Phishing und können sogar abgefangen werden. Im oben beschriebenen Fall konnten die Drahtzieher die SMS-Codes mit den nachgemachten Geräten empfangen. Die Codes waren also für den Schutz der Bankkonten völlig unbrauchbar. Ein typischer Angriff auf SMS-Einmalkennwörter/Passcodes (OTP) beginnt damit, dass das Opfer auf eine Phishing-Webseite geleitet wird, die wie die Website der Bank aussieht. Dort gibt der Benutzer seine Daten ein, was die Übermittlung eines OTP über SMS auslöst. Die Malware auf dem Gerät des Opfers nimmt dann die SMS-Codes entgegen und leitet sie an den Angreifer weiter. Das Opfer tritt nie mit der Bank in Verbindung, sondern interagiert nur mit einer Phishing-Seite.

Push-Benachrichtigungen, die über einen verschlüsselten Kanal an eine mobile App gesendet werden, die während der Aktivierung fest an das Gerät des Nutzers gebunden ist, hätten Angreifer wahrscheinlich davon abgehalten, SMS-Einmalkennwörter zu erbeuten und für den Zugriff auf Konten oder die Autorisierung von Zahlungen zu verwenden. Darüber hinaus ist es durch die Nutzung der Hardwarefunktionen mobiler Geräte (z. B. Secure Enclave auf iOS-Geräten oder Trusted Execution Environment / Secure Element auf Android-Geräten) wesentlich schwieriger, Gerätekennungen zu stehlen. Wäre eine biometrische Authentifizierung in Verbindung mit der Bestätigung einer Push-Benachrichtigung notwendig gewesen, wäre dadurch eine weitere Verteidigungsebene entstanden, die diese Angreifer möglicherweise behindert hätte.

Zudem sollten Finanzinstitute fortschrittliche Anti-Manipulations-Technologie (siehe Abschirmung von Apps für mobile Geräte mit Laufzeitschutz unten) auf alle mobile Banking-Apps anwenden. Dies verringert das Risiko, dass Angreifer die Gerätebindung manipulieren oder zurückentwickeln könnten, um die Ausführung einer mobilen Banking-App eines legitimen Benutzers auf einem emulierten Gerät zu replizieren.

Bekämpfung von ausgeklügeltem digitalen Betrug mit client- und serverseitiger Risikoanalyse

Gartner hat einen System zur Erkennung von Online-Betrug vorgeschlagen, der aus fünf Präventionsschichten besteht – endpunktzentriert, navigations- und netzwerkzentriert, benutzer- und entitätszentriert, kanalübergreifend benutzer- und entitätszentriert und beruhend auf Big-Data-Benutzer- und Entitätsanalysen. Da die Betrüger einen Emulator verwendeten, konnten sie bestimmte Aspekte der ersten Präventionsschicht überwinden. Es ist immer öfter zu beobachten, dass raffinierte Betrüger in der Lage sind, clientseitige Daten wie Gerät, Standort und Uhrzeit zu simulieren.

Der oben zitierte Vorfall im Bereich mobiler Betrug und die zunehmende Komplexität von Online-Betrugsringen im Allgemeinen zeigen, dass eine umfassendere Lösung zur Betrugsprävention mit entsprechend konfigurierten, zusätzlichen Schichten erforderlich ist. Gegenwärtig ist es für Angreifer viel schwieriger, die nachfolgenden Präventionsschichten zu überwinden:

• 1. Schicht: Endpunktzentriert – Analyse des Verhaltens und der Standortkorrelationen von Endpunkten; diese Schicht umfasst auch Malware-Erkennung und Geräte-Fingerprinting
• 2. Schicht: Navigations- und netzwerkzentriert – Analyse des Sitzungs-, Netzwerk- und Navigationsverhaltens sowie verdächtiger Muster
• 3. Schicht: Benutzer- und entitätszentriert (einzelner Kanal) – Analyse des Benutzer-/ Entitätsverhaltens nach Kanälen (z. B. Online-Banking, Mobile-Banking usw.)
• 4. Schicht: Benutzer- und entitätszentriert über Kanäle und Produkte hinweg – Analyse von anomalem Verhalten in Korrelation über Kanäle hinweg
• 5. Schicht: Big-Data-Verknüpfung von Benutzer und Entität - Analyse von Beziehungen zur Erkennung von kriminellen Machenschaften und geheimen Absprachen

Wie Sie vielleicht schon erraten haben, ist das Sammeln und Korrelieren von Risikosignalen in all diesen Bereichen „mit der Geschwindigkeit, die Menschen erreichen können“, nahezu unmöglich. Ein komplettes System zur Erkennung von Online-Betrug muss serverseitiges maschinelles Lernen und kontextabhängige automatisierte Regeln nutzen, um hier etwas bewirken zu können.

Erkennen von automatisierten, nicht-menschlichen Interaktionen

Die Emulator-Farm der Cyberbetrüger simulierte die Geräte der Opfer. Das bringt alle Banken in Gefahr, die ausschließlich einen ID oder einen per SMS gesendeten Einmalcode einsetzen, um ein mobiles Gerät zu identifizieren bzw. um dieses als vertrauenswürdig einzustufen. Hätten die anvisierten Bankanwendungen Sitzungsanalysen zusammen mit Endpunktverhalten und Standortkorrelationen ermöglicht, hätte das Gerät aufgrund des fehlenden „menschenähnlichen“ Interaktionsverhaltens (d. h. der Art und Weise, wie ein Mensch mit einem Gerät interagiert, wie z. B. Tipprhythmus, Winkel, Größe und viele andere Verhaltensmerkmale) als emuliert identifiziert können. 

Jedes Mal, wenn ein Benutzer mit einer Sitzung interagiert, gibt dies Aufschluss über sein übliches Verhalten bei einer Sitzung. Dies ist eine zusätzliche Präventionsschicht, die die Arbeit eines Angreifers erschweren kann, da der automatisierte Emulator die Interaktionsgeschwindigkeit des menschlichen Opfers konsequent nachahmen müsste.

Überwachung von mehr als nur dem Log-in-Ereignis: Kontinuierliche Sitzungsüberwachung

Sehen wir uns Schichten 3 und 4 an: Hier ist es wichtig, die Aktivitäten einer Bankensitzung über das erste Einloggen hinaus zu überwachen. Schließlich wird ein Angreifer nicht die Rechnungen eines Benutzers für ihn bezahlen - sein Ziel ist es, Geld abzuheben. Daher ist es unerlässlich, dass die Banken eine kontinuierliche Überwachung durchführen, um neue Geräte, Begünstigte und Transaktionen zu überprüfen. Mit dieser Überprüfung soll ermittelt werden, ob Geräte, Begünstigte oder Transaktionen neu sind bzw. von anderen Privat- oder Geschäftskunden einer Bank bekannt sind (d. h. von diesen verwendet werden).

Automatisierte Betrugserkennung/Betrugsprävention durch Einsatz vom maschinellem Lernen

Analysen über typische Aktivitäten aller Benutzer und Geräte können helfen, die Aktivierung von Geräten in großem Umfang, die Erstellung von Begünstigten in großem Umfang und die Durchführung von Transaktionen in großem Umfang zu erkennen. All dies sind Anzeichen für einen skalierten Angriff. Im oben beschriebenen Fall lässt sich im Nachhinein sagen, dass die Bank die Möglichkeit gehabt hätte, in einem der vielen Stadien des Angriffs darauf aufmerksam zu werden. Beispielsweise bei der Aktivierung zahlreicher neuer Geräte, der Emulation von Geräten, der Schaffung neuer Begünstigter, der Überweisung hoher Beträge, dem Abbuchen von Kontoguthaben und der Überweisung von Geldern auf zuvor unbekannte Konten durch die Angreifer.  

Derartige Indikatoren, sowie Tausende weitere, können als Datensätze beim maschinellen Lernen genutzt werden. Maschinelles Lernen arbeitet in ganz anderen Dimensionen, die die Fähigkeiten von Menschen bei weitem übertreffen, und erlaubt so eine Vorhersage (Anomalie/Risiko-Score) in Echtzeit. Auf diese Weise kann eine Bank den Angriff bereits im Keim ersticken und seine Ausbreitung verhindern - ganz einfach und komplett automatisiert.

Abwehr von Emulatoren und anderen Bedrohungen für mobile Geräte mit Abschirmung von Apps und Laufzeitschutz

Es ist zwar nicht bekannt, wie die Angreifer die Schwachstellen in den mobilen Apps und Systemen zur Betrugserkennung der Opferbanken identifiziert haben, aber es ist zu vermuten, dass sie in der Lage waren, bestimmte Aspekte der mobilen App zurückzuentwickeln. Wahrscheinlich haben die Angreifer einfach die legitimen Apps aus den offiziellen App-Stores heruntergeladen und in einem Emulator untersucht, wie die App ausgeführt wird. 

Ein Abschirmung von Apps für mobile Geräte mit Laufzeitschutz hätte solche Aktivitäten erkannt und die App sofort geschlossen, um diesen Missbrauch zu verhindern. Eine fortschrittliche Abschirmung von Apps für mobile Geräte verhindert nicht nur, dass eine App auf einem Emulator ausgeführt wird, sondern erkennt und blockiert auch mehrere Tools, die von Angreifern verwendet werden, um die App zurückzuentwickeln und zu untersuchen, wie die App funktioniert. 

Angesichts der Komplexität dieser Bedrohung kann man davon ausgehen, dass es den Angreifern gelang, die App zurückzuentwickeln, und zu analysieren, wie sie an das Gerät des Benutzers gebunden war (wenn überhaupt) und wie sie mit den serverseitigen APIs der Bank kommunizierte. Die Abschirmung von Apps für mobile Geräte mit Laufzeitschutz hätte eine weitere Ebene der Sicherheitskontrolle hinzugefügt, die die Arbeit der Betrüger sehr viel zeitaufwändiger und teurer gemacht hätte. 

Neben der Reduzierung dieses „Reverse-Engineering“ bietet die Abschirmung von Apps mit Laufzeitschutz mehrere Sicherheitsfunktionen für mobile Bankanwendungen, die es Angreifern erschweren, Cyberangriffe auf mobile Bankanwendungen und Benutzer durchzuführen:

• Verhinderung von App-Impersonation durch Erkennung von App-Repackaging (d. h. böswillige Modifizierung und Neuveröffentlichung einer App)
• Identifizierung von Code-Veränderungen und/oder Einschleusung von bösartigen Laufzeitbibliotheken in eine App
• Verringerung des Risikos von Datenlecks durch Unterbindung von Screenshots und dem Hacken von Tastaturen
• Aufspüren von Privilegienerweiterung durch Erkennung von Geräten mit Jailbreak oder Rooting
• Entschärfung von UI-Overlay-Angriffen durch Verhinderung der Überschreibung des Vordergrunds auf Android-Geräten 

Zusammenfassung und Cybersicherheit

Banken, die ihre Kunden und Filialen vor den sich ständig weiterentwickelnden Sicherheitsrisiken durch Hacker schützen wollen, müssen einen mehrschichtigen Ansatz zur Bekämpfung von Online-Banking-Betrug verfolgen: Eine starke Kundenauthentifizierung, serverseitige Risikoanalyse und fortschrittliche Sicherheit von Apps für mobile Geräte einschließlich der Abschirmung von Apps für mobile Geräte mit Laufzeitschutz gehören dazu.