Neues Jahr, Neue Angriffe

Hagen Pollmüller, 10. Februar 2022

Bei mobiler Sicherheit immer einen Schritt voraus sein

In der digitalen Welt nutzen wir unsere mobilen Geräte häufiger als je zuvor – vor allem, wenn es darum geht, unsere Bankkonten von unterwegs zu verwalten. Obwohl die Deutschen beim Thema Online- und Mobile-Banking konservativer als ihre europäischen Nachbarn sind (50 % aller Deutschen nutzen Online-Banking verglichen mit 93 %  in Norwegen), steigen auch hierzulande die Nutzerzahlen für Online- und Mobile-Banking, insbesondere bei jüngeren Menschen. Im Jahr 2018 nutzten bereits 71 Prozent aller Deutschen zwischen 18-29 Jahren Online-Banking. Auch mobiles Banking scheint zunehmend beliebter zu werden. Daten von Statista zeigen, dass im Jahr 2015 nur 34 % der Deutschen mobiles Banking nutzten – im Jahr 2021 ist diese Zahl auf 64 % gestiegen.

Mit der verstärkten Nutzung nahmen auch die Betrugsfälle im Zusammenhang mit Mobile- und Online-Banking zu. Von Phishing-E-Mails, SMS bis hin zu Telefonanrufen und sogar offiziell aussehenden Briefen per Post werden Betrüger immer kreativer, um an persönliche Daten wie PINs, TANs oder Kontonummern zu gelangen. Es ist ein lukratives Geschäft für Cyberkriminelle und das wird sich auch im Jahr 2022 nicht ändern.

Vor kurzem haben Wissenschaftler weitere Beweise dafür gefunden, dass mobile Banking-Apps ein äußerst verlockendes Angriffsziel für Betrüger sind. Die Wissenschaftler fanden heraus, dass Betrüger ihre Methoden anpassen, um neue Wege zur Umgehung der Beschränkungen im Google Play Store zu finden. So blieben harmlos und sicher erscheinende sog. „Dropper“-Apps über Monate hinweg ungefährlich, bis sie nach und nach mit Schadsoftware aktualisiert werden konnten. Da diese Angriffe nur langsam ablaufen, können einfache Antiviren-Scans die Bedrohung nicht erkennen. Sobald die Aktualisierung abgeschlossen ist, nutzen Betrüger die Schadsoftware, um Apps ohne die Erlaubnis des Nutzers herunterzuladen und schließlich Android-Banking-Trojaner zu installieren.

Zu Beginn des neuen Jahres hat Google die Richtlinien für Apps im Play Store weiter aktualisiert und Finanzinstitute müssen damit rechnen, dass sich Betrugsversuche auf mobilen Endgeräten trotz Googles guter Absichten weiterentwickeln und unbemerkt durchgeführt werden. Banken und Finanzinstitute müssen die Initiative ergreifen und die Sicherheit der Apps zukunftssicher gestalten, damit die Kundenkonten trotz Schadsoftware sicher sind. Schauen wir uns also genau an, wie es zu diesen Angriffen gekommen ist, was sie bewirkt haben und wie Finanzinstitute vorgehen können, um ähnliche Angriffe auf ihre Kunden in Zukunft zu verhindern.

Was wir über Banking auf mobilen Endgeräten lernen können

Mobile Anwendungen werden durch Hunderte, wenn nicht gar Tausende von Codezeilen erstellt, sodass Google Play letztlich einen Großteil der Scans automatisiert, um Schadsoftware in Tausenden von Apps täglich zu erkennen. Inzwischen stellen wir fest, dass diejenigen Apps, die zur Infiltrierung von App-Stores verwendet werden, über eine gewisse Funktionalität verfügen. Sie erscheinen in Scans fälschlicherweise als sicher. Anschließend können Cyberkriminelle den Angriff starten.

Sobald die Schadsoftware heruntergeladen wurde, können die Angreifer die Benutzer leicht austricksen, indem sie sie auffordern, ein Update für die App von einer unbekannten oder fremden Quelle herunterzuladen, die in der Regel schwächere oder gar keine Sicherheitsprüfungen aufweist.

Das Update ermöglicht es Cyberkriminellen, die Zugangseinstellungen zu missbrauchen, die zur Barrierefreiheit der App beitragen sollen. Funktionen des Mobilgeräts können so für Betrugszwecke automatisiert genutzt werden. Einige dieser bösartigen Anwendungen ermöglichen es Betrügern, diese Einstellungen zu missbrauchen, um Overlay-Angriffe durchzuführen und Keylogger zu integrieren. Damit können sie Benutzernamen und Kennwörter ausspionieren oder Codezeilen ausführen, um persönliche Daten zu erfassen. Um dem einen Schritt voraus zu sein, müssen verschiedene Bereiche beim Thema Sicherheit für mobile Apps proaktiv behandelt werden.

Sicherheit durch Partner

Bei Google und den anderen Anbietern von App-Stores werden die Sicherheitsverfahren laufend überprüft, um die Sicherheit der Plattformen und Geräte zu verbessern. Da sich jedoch große Technologieunternehmen wie Google ständig mit derart vielen neuen Apps und Updates befassen müssen, lässt es sich nicht vermeiden, dass sich einige davon unweigerlich als bösartig erweisen oder auf Betrug ausgelegt sind.

Schon seit langem wird versucht, die Kunden über die Bedrohungen aufzuklären, mit denen sie konfrontiert sind. Finanzinstitute unternehmen erhebliche Anstrengungen, um ihre Kunden vor potenziellen Gefahren zu warnen, z. B. vor dem Anklicken verdächtiger Links in SMS oder E-Mails oder davor, etwas von einer nicht vertrauenswürdigen Quelle auf ihr Gerät herunterzuladen.
Dennoch ist es unvermeidlich, dass jemand einen Fehler macht, da Betrüger verschiedene Techniken anwenden, um das Vertrauen der Nutzer zu gewinnen. Mit scheinbar harmlosen Apps ist es nur allzu leicht, einen Fehler zu begehen. Bis Finanzinstitute ihre Kunden vor bestimmten Gefahren warnen, haben die Betrüger wahrscheinlich bereits neue Methoden entwickelt, um ihre ahnungslosen Opfer zu täuschen.

Selbst wenn die großen Technologieunternehmen die Sicherheitsanforderungen für ihre App-Stores regelmäßig aktualisieren und ihre Kunden umfassend aufklären, sind fortschrittliche Sicherheitstechnologien unerlässlich, um potenziell betrügerische Aktivitäten einzudämmen – unabhängig davon, ob es sich um eine bekannte oder unbekannte Bedrohung handelt.

Hohe Sicherheit auch in unsicheren Umgebungen

Banken und Finanzinstitute können nicht kontrollieren, was ihre Nutzer auf ihren mobilen Geräten außerhalb ihrer eigenen Anwendungen tun. Der erste Schritt zur Sicherung mobiler Bankanwendungen besteht also darin, anzunehmen, dass die Banking-Apps immer in unsicheren Umgebungen ausgeführt werden. Andernfalls wird die Sicherheitsverantwortung zwangsläufig an große Technologieunternehmen übertragen. Die Kunden werden jedoch weiterhin erwarten, dass ihre Bank das Geld auf ihren Konten schützt.

Zur Eindämmung derartiger Angriffe müssen Bankanwendungen Technologien einsetzen, die jegliche böswillige Aktivität oder Störung einer mobilen Anwendung erkennen, bevor Gelder transferiert werden können – selbst dann, wenn Kunden von bisher unbekannten Bedrohungen betroffen sind. Bei der Abschirmung mobiler Anwendungen werden eine Reihe von Technologien kombiniert, wie z. B. biometrische Verfahren, um sicherzustellen, dass gestohlene Zugangsdaten nicht missbraucht werden können, sowie ein Laufzeitschutz, der dafür sorgt, dass infizierte Geräte erkannt und an der Ausführung von Schadsoftware gehindert werden.

Die Abschirmung mobiler Anwendungen gewährleistet nicht nur einen starken Schutz vor unbekannten Bedrohungen auf nicht vertrauenswürdigen Geräten, sondern stellt auch sicher, dass die eingesetzten Sicherheitsmechanismen nur geringe oder gar keine Auswirkungen auf das Benutzererlebnis haben.

Noch während wir über die neuesten Betrugstechniken diskutieren, planen die Betrüger bereits ihre nächste Offensive und arbeiten an Weiterentwicklungen. Im Laufe des nächsten Jahres werden Wissenschaftler weiterhin neue Bedrohungen und Techniken dokumentieren. Um jedoch den Schaden, den diese zukünftigen Bedrohungen anrichten können, zu mindern, müssen fortschrittliche Technologien eingesetzt werden. Diese müssen in der Lage sein, neue Bedrohungen zu erkennen und zu verhindern, sobald sie auftauchen.

Mobile App Shielding
White Paper

Mobile App Shielding: How to Reduce Fraud, Save Money, and Protect Revenue

Discover how app shielding with runtime-protection is key to developing a secure, resilient mobile banking app.

Download Now

Dieser Blog, geschrieben von Hagen Pollmüller, DACH Regional Strategy Director bei OneSpan, wurde erstmals in finanzwelt. Februar 2022.

Hagen Pollmüller arbeitet als DACH Regional Strategy Director bei OneSpan eng mit Top-Banken im Bereich Online & Mobile Banking zusammen, um deren Kunden-Interaktionen sicher und effizient zu machen. ls Spezialist in den Themen intelligenter Betrugsabwehr und Automatisierung, verfügt Hagen Pollmüller über langjährige Erfahrung in den Bereichen IT, Security sowie Governance und Compliance. .