Die zunehmende Herausforderung des Betrugs bei der Kontoübernahme - Was es ist, wie es funktioniert und wie es vermieden werden kann [Experteninterview]

Will LaSala, 3. September 2020

Jüngsten Berichten zufolge stehen derzeit im Internet bis zu 15 Milliarden Verbraucheranmeldeinformationen zum Verkauf, wobei fast 25% der durchgesickerten Anmeldeinformationen Kontoinformationen in Bezug auf Bank- und andere Finanzdienstleistungen enthalten. Die Verfügbarkeit von durchgesickerten oder kompromittierten Daten macht es Hackern extrem einfach, Kontenübernahmeangriffe auf die Finanzkonten der Verbraucher durchzuführen. Andere Faktoren wie die Verfügbarkeit personenbezogener Daten in sozialen Medien und die aktuellen Arbeitsbedingungen in der Ferne haben die Verbraucher ebenfalls zu einem Hauptziel für finanzbezogene Cyber-Angriffe gemacht.

In diesem Interview diskutiert Will LaSala, Sicherheitsexperte und Direktor für Sicherheitslösungen bei OneSpan, mit Steven Bowcut, Chefredakteur des Brilliance Security Magazine, die Herausforderungen bei Angriffen auf Kontenübernahmen. Im Interview teilt Will sein Fachwissen auf Kontoübernahmebetrug , was es ist, wie es funktioniert und wie man es vermeidet.

Das Interview wurde ursprünglich als Podcast vom Brilliance Security Magazine veröffentlicht und mit Genehmigung abgedruckt. Sie können den Podcast hier anhören:

Steve Bowcut: Willkommen beim Brilliance Security Magazine Podcast und vielen Dank, dass Sie heute zu uns gekommen sind. Heute werden wir mit Will LaSala sprechen. Will ist der Director of Security Solutions bei OneSpan, und wir werden speziell darüber sprechen Kontoübernahmebetrug . Will kam 2001 zu OneSpan und brachte über 25 Jahre Erfahrung in den Bereichen Software und Cybersicherheit mit. Seit seinem Eintritt bei OneSpan war er an allen Aspekten der Produktimplementierung und Marktausrichtung innerhalb von Finanzinstituten beteiligt.

In dieser Folge werden wir uns auf Wills Fachwissen in Bezug auf Finanzinstitute stützen und den Betrug bei der Kontoübernahme untersuchen. Wir werden darüber sprechen, was es ist, welche Arten von Konten für diese Bedrohung anfällig sind, was Benutzer tun können, um sich selbst zu schützen, und was Finanzinstitute tun können oder sollten, um ihre Kunden zu schützen.

Wir begrüßen Sie herzlich, dass Sie heute Ihre Zeit bei uns verbracht haben. Wir wissen das zu schätzen. Beginnen wir damit, dass wir allen ein Level-Set geben. Können Sie bitte Ihre Definition des Betrugs bei der Kontoübernahme angeben? Sprechen Sie mit uns ein wenig darüber, was das ist.

Will LaSala: Absolut und danke, dass du mich hast, Steve. Beginnen wir mit einer kurzen Definition des Betrugs bei der Kontoübernahme. Die Kontoübernahme erfolgt, wenn das Konto eines Benutzers von einem Angreifer oder einer betrügerischen Person gestohlen oder übernommen und dann für schändliche Zwecke verwendet wird - beispielsweise zum Überweisen von Geld vom Konto oder zum Überweisen von Geld auf das Konto, damit es später verwendet werden kann oder vom Individuum genommen. Es gibt viele verschiedene Möglichkeiten, wie eine Kontoübernahme erfolgen kann. Meistens hängt dies jedoch mit der Fähigkeit des Angreifers zusammen, dieses Konto zu verwenden, um Angriffe gegen eine Einzelperson oder ein Unternehmen auszuführen.

Steve: Wenn dies geschieht, wird der Endbenutzer dies normalerweise sofort bemerken, oder können Personen hereinkommen und sich in diesen Konten aufhalten und Dinge für einen Zeitraum tun, von dem der Endbenutzer nicht einmal weiß ?

Wille: Manchmal merkt man es sofort. In den frühen Tagen der Kontoübernahme wurden Sie durch die Kontoübernahme von Ihrem Konto ausgeschlossen. Der Angreifer würde hereinkommen und Sie sofort von Ihrem Konto stoßen und Ihr Konto übernehmen. Heute sitzen sie oft und warten. Sie haben möglicherweise über einen längeren Zeitraum Zugriff auf Ihr Konto und nehmen möglicherweise sogar geringfügige Änderungen an Ihrem Konto vor, die Ihnen in diesem Zeitraum nicht bekannt sind. Das ist hauptsächlich so, damit sie unter das Radar gehen können.

Je länger der Angreifer in der Lage ist, Ihr Konto zu manipulieren und sich in Ihrem Konto zu befinden, desto mehr Schaden kann er Ihnen und Ihrem Vermögen zufügen. Heute sehen wir noch mehr davon bei Social-Engineering-Angreifern. Angreifer können sich heute als Bank ausgeben. Sie sprechen möglicherweise mit Ihnen, als wären sie Mitglied der Bank, und übernehmen dann Ihr Konto. Nach dem Gespräch könnten Sie denken: "Oh, ich habe gerade mit der Bank telefoniert, sie haben mein Konto nicht übernommen", und Sie werden möglicherweise wochenlang nicht bemerken, dass Sie angegriffen wurden.

Steve: Wow, das ist ein bisschen beängstigend. Meiner Meinung nach wären die offensichtlichen Konten mein Bankkonto, mein Girokonto oder mein Sparkonto, aber ich gehe davon aus, dass es andere Arten von Konten gibt, die für diese Art von Bedrohung anfällig sind. Kannst du darüber reden?

Wille: Ja absolut. Sicherlich sind Unternehmenskonten eines der häufigsten Konten, die für Übernahmeangriffe anfällig sind. Unternehmenskonten enthalten normalerweise mehr Geld, daher werden Unternehmensbankumgebungen normalerweise sehr stark angegriffen.

Bei so vielen gestohlenen unterschiedlichen Identitäten, die im Internet verfügbar sind, werden außerdem viele Spar-, Scheck- und Einzelhandelskonten angegriffen. Sie sehen auch viele Kryptowährungskonten oder Händlerkonten, die angegriffen werden.

Normalerweise sind das, wonach Sie suchen oder wonach der Hacker sucht, hochwertige Konten. Sie können von hohem Wert sein, weil sie eine große Geldsumme enthalten, aber sie können auch von hohem Wert sein, weil sie zum Überweisen und zur Geldwäsche verwendet werden können. Sie können also ein Konto eines anderen angreifen, sein Geld nehmen, es auf ein anderes Konto verschieben, das sie bereits gestohlen haben, und später, wenn die Küste klar ist, dieses Konto verwenden, um die von ihnen gestohlenen Gelder zu extrahieren. Oft werden einige Konten als Sleeper-Konten verwendet. Sie werden nur verwendet, um Dinge zu bewegen.

ebook cover
E-Buch

Betrug durch Account-Übernahme: Wie Sie Ihre Kunden und Ihr Unternehmen schützen

Tragen Sie dazu bei, Betrug durch Account-Übernahmen zu verhindern und Kunden in jeder Phase ihrer digitalen Aktivitäten zu schützen.

Jetzt herunterladen

Steve: Interessant. Ich denke also, dass mit einem Unternehmenskonto viele Leute Zugriff darauf haben können. Wenn Finanzleute, die C-Suite und mehr Zugriff auf dieses Konto haben, kann eine weitere Person, die einen "Sleeper" -Zugriff auf dieses Konto hat, für einige Zeit unbemerkt bleiben? Mehr als wenn Geld auf ein persönliches Girokonto oder ein persönliches Sparkonto überwiesen würde?

Wille: Wahr.

Steve: Das ist interessant. Bisher geht es nur um Bankkonten. Gibt es andere Arten von Konten wie Kreditkartenkonten oder Treuekonten mit Meilen, die gegen Geld eingelöst werden können und die ebenfalls anfällig für Angriffe sind?

Wille: Ja absolut. Sie sehen, dass viele verschiedene Konten übernommen werden. Vor einigen Jahren mussten Online-Gaming-Konten einen starken Anstieg der Kontoübernahmen hinnehmen. Sie könnten denken: "Nun, warum sollten Hacker meinen World of Warcraft-Account angreifen wollen?" Die Realität ist, dass diese Konten auch Geld wert waren. Wenn von einem Konto Geld verdient werden kann, kann dieses Konto angegriffen werden.

Vor kurzem haben wir einen ziemlich massiven Angriff auf Twitter für viele Einzelpersonen gesehen. Das sind auch Kontoübernahmeangriffe. Ich denke, diese Betrügereien fordern die Leute tatsächlich auf, ihnen Bitcoin zu spenden. Solange Geld zu verdienen ist, werden sich Kontoübernahmeangriffe auf diese Konten konzentrieren. Sie können also so ziemlich alles sein, was sich im Internet oder in einigen Fällen sogar in Unternehmensnetzwerken und außerhalb des Netzwerks befindet.

Steve: Das ist wahrscheinlich eine wertvolle Sache zu verstehen. Die meisten von uns, entweder in ihrem Privat- oder Geschäftsleben, gehen mit Bankkonten ziemlich vorsichtig um, aber mit unserem Twitter-Konto sind wir möglicherweise nicht so vorsichtig. Mit Twitter und Facebook oder sogar unserem Treueprogramm in einem Hotel oder der Fluggesellschaft ändern wir das Passwort möglicherweise nicht sehr oft und sind möglicherweise nicht so misstrauisch, wenn sich jemand mit einem potenziellen Social-Engineering-Betrug an uns wendet.

Steve: Sprechen Sie mit uns speziell darüber, was Endbenutzer tun können, um sich vor dieser Art von Betrug zu schützen. Was können sie tun, um sich selbst zu schützen, ob es sich um einen einzelnen Endbenutzer oder einen Endbenutzer eines Unternehmens handelt?

Wille: Das erste, was ich meinen Kunden und Endbenutzern (und meiner Mutter, meinem Vater und anderen) immer sage, ist die Aktivierung der Zwei-Faktor-Authentifizierung. Verschiedene Websites haben unterschiedliche Möglichkeiten, dies zu tun. Die meisten Websites, egal ob es sich um eine Bank- oder eine Social-Media-Website handelt, bieten eine Möglichkeit, die Zwei-Faktor-Authentifizierung zu ermöglichen. Dies geschieht häufig in Form eines SMS-Passworts, das an Sie gesendet wird.

Es ist wichtig zu verstehen, dass Sie bei Verwendung der Zwei-Faktor-Authentifizierung nicht nur ein SMS-Passwort haben möchten. Das ist kein Zwei-Faktor-Passwort - ein SMS-Passwort ist eine Ein-Faktor-Authentifizierung. Sie möchten SMS mit anderen Dingen kombinieren. Manchmal bedeutet dies, dass Sie ein statisches Passwort oder eine PIN zusammen mit dem Code eingeben, den Sie aus Ihrer SMS erhalten.

Ich empfehle immer, dass Benutzer ihre mobile Anwendung als Authentifikator im Vergleich zu SMS verwenden, da SMS einige bekannte Sicherheitslücken aufweist. Hacker können SMS stehlen. Sie tun dies durch einen sogenannten Sim-Swap, bei dem sie die Karte aus dem Telefon nehmen und klonen. Sobald der Hacker eine Kopie Ihres Telefons hat, kann er alle Ihre Textnachrichten erhalten. SMS ist also ein kleiner Schritt zur Sicherung Ihres Kontos. Die Verwendung einer mobilen Anwendung, die Codes für Sie generiert, oder sogar eines Hardwaregeräts, das Codes für Sie generiert, ist viel sicherer.

Ich denke auch, dass die Leute darauf achten müssen, was sie teilen. Während COVID-19 haben wir viel übermäßigen Informationsaustausch gesehen. Zu Beginn der Pandemie sahen wir, dass Angreifer Kampagnen in sozialen Medien aufbauten, um die Informationen der Menschen zu sammeln. Sie erstellten Fragebögen, die sie in den sozialen Medien verschickten und sagten: "Hey, hier ist eine süße kleine Liste von Fragen. Warum beantwortest du diese nicht?" Und die Leute waren. Sobald die Leute diese Fragen beantwortet hatten, hatten Angreifer eine einfache Möglichkeit, nach diesen Informationen zu suchen - Informationen, die an eine Person und ihr soziales Konto gebunden waren. Plötzlich hatten sie viele Informationen, die sie für Social-Engineering-Angriffe verwenden konnten. Achten Sie also wirklich darauf, was Sie teilen. Teilen Sie Ihre Informationen nicht zu weit und achten Sie auf Ihre Umgebung.

Es gibt auch viele Kunden, die nicht darüber nachdenken wann Sie benutzen ihre Konten. Egal, ob sie eine Kreditkarte verwenden oder an einen Geldautomaten gehen, sie achten einfach nicht auf die Umgebung. Es gibt Kartenabschäumer, die Ihre Kreditkarte und Ihre PIN lesen können. Dies ist auch eine Form der Kontoübernahme - Angreifer können Ihre Kreditkarte übernehmen und für andere Zwecke verwenden. Zusammenfassend gesagt, achten Sie wirklich auf Ihre Umgebung und darauf, was Sie tun. Geben Sie Ihre Informationen nicht weiter, schützen Sie sie nicht und verwenden Sie die Zwei-Faktor-Authentifizierung, wenn Sie können.

Steve: Danke, das ist ein guter Rat. Gehen wir weiter zu dem, was Banken und alle Institute, bei denen ich möglicherweise ein Konto habe, tun sollten, um mich als Kunden oder mein Unternehmen vor solchen Angriffen zu schützen. Was kann man am Ende tun?

Wille: Banken haben diesen Kampf schon lange geführt. Sie haben viele Technologien und es gibt einige Dinge, die sie tun können, um zu helfen. Das erste ist, die Identität eines Benutzers zu beweisen. Dies bedeutet zu identifizieren, wer ein Benutzer ist. Dies kann bedeuten, dass der Benutzer mithilfe einer Gesichtserfassung durch zusätzliche Rahmen wie Biometrie springt oder seine Lizenz scannt. Die Identifizierung des Benutzers ist das erste, aber auch während dieses Prozesses müssen Institute Risikofaktoren analysieren. Dies bedeutet nicht nur die Analyse der Risikofaktoren Ihres Kunden, sondern auch anderer Risikofaktoren. Hat sich dieses Konto beispielsweise für drei verschiedene Angebote von uns allen gleichzeitig angemeldet? Das ist eine rote Fahne, da der Benutzer nur ein Benutzer ist und sich wahrscheinlich nicht für drei Angebote gleichzeitig anmelden kann. Dies könnte bedeuten, dass ein synthetischer Identitätsangriff stattfindet, bei dem Angreifer reale Daten von mehreren Personen verwenden, um eine gefälschte oder synthetische Person zu erstellen. Das passiert oft. Wenn Finanzinstitute über neue Risiko- und Betrugstools verfügen, die die eingehenden Daten analysieren, können sie diese Muster mithilfe künstlicher Intelligenz erfassen und diese Art von Betrug erkennen.

Um Ihnen ein weiteres Beispiel zu geben, nehmen wir an, dass mehrere Personen dieselbe Adresse verwenden, um ein Konto zu eröffnen, und wir wissen, dass es sich nicht um einen Apartmentkomplex oder etwas anderes handelt. Künstliche Intelligenz und Risikoumgebungen werden dies aufgreifen und sollten aufhören und darauf hinweisen. Die Verwendung der biometrischen Authentifizierung ist eine wirklich wichtige Komponente.

Institutionen können ihre mobile App auch härten, um sie vor Angriffen zu schützen. Wenn Sie Ihre mobile App sichern, erschweren Sie es den Angreifern jetzt erheblich, Ihr Produkt anzugreifen, und sie fahren mit der nächsten fort. Es geht immer um die niedrigsten hängenden Früchte für Angreifer. Sie möchten so viele Angriffe wie in der Vergangenheit wiederverwenden und werden sie nur ein wenig aktualisieren, damit sie die nächste große Bank in der Zukunft angreifen können. Vor ihnen zu bleiben ist also eine wirklich wichtige Aufgabe.

Steve: Wenn Sie Citibank sind und täglich Tausende von Kontoanfragen erhalten, ist es für eine Person unmöglich, dort zu sitzen und die Risikofaktoren für jede Anfrage zu beurteilen. Sie haben über Software gesprochen, die das für sie tun würde. Könnten sie alle so etwas einsetzen oder ist das eine ziemlich neue Technologie? Wo befinden wir uns in der Entwicklung der Technologie, um diesen Schutz zu gewährleisten?

Wille: Das ist eine gute Frage. Die meisten Banken haben Punktlösungen für einzelne Anwendungen implementiert. Vielleicht haben sie eine Risikoanalyse für ihre Geldmarktkonten, aber normalerweise sind sie nicht auf allen Konten verteilt. Sie sehen das nicht ganzheitlich. Ein Benutzer hat möglicherweise mehrere Konten und nimmt die Daten nicht aus all diesen und aggregiert sie, um sie zu identifizieren. Dies liegt zum Teil daran, dass dort viele Daten vorhanden sind und viele Systeme dafür nicht schnell genug sind.

Der Umgang mit Echtzeitangriffen war früher sehr schwierig, aber heute hat sich das geändert. Jetzt beschäftigen wir uns mit Echtzeitdaten und über mehrere Endpunkte und große Mengen von Datensätzen hinweg. Das ist alles neues Zeug, und genau das beginnen die Banken zu implementieren. Wir sehen, dass viele große Banken damit beginnen, aber selbst die kleineren Banken und Verarbeiter kombinieren all ihre Informationen oder ihre Risiko- und Betrugsanalysten in all ihren Angeboten, damit sie Angreifer fangen können, wenn sie hereinkommen. Das ist wirklich wichtig.

Steve: Eine letzte Frage hier - könnten Sie sich ein paar Minuten Zeit nehmen und über OneSpan, Ihre Lösung, sprechen, wo sie in alles passt, worüber wir heute gesprochen haben?

Wille: OneSpan konzentriert sich auf die Finanzbranche und bietet eine Reihe von Lösungen, die Banken dabei helfen Risiko erkennen und Betrug verhindern sowie implementieren Zwei-Faktor-Authentifizierung , Sicherheit mobiler Anwendungen und elektronische Signaturen . Unsere Lösungen bringen einen Kunden von einer unbekannten zu einer vertrauenswürdigen Identität. Wir bauen das Vertrauen in die mobile Plattform auf, also härten wir dieses mobile Gerät und vertrauen ihm. Wenn der Benutzer dann Transaktionen erstellt, bauen wir Vertrauen in diese Transaktionen auf, indem wir das Risiko und den Betrug analysieren und eine starke Authentifizierung als diese Transaktionen verwenden gehen.

All dies bieten wir auf unserer vertrauenswürdige Identitätsplattform Dies ermöglicht einer Bank im Wesentlichen, mehrere Komponenten zu verwenden, um ein vollständiges Vertrauensbild zu erstellen, das den Benutzern hilft, sicherer zu sein und mehr mit dem Finanzinstitut zu tun. Außerdem können die Banken den Nutzern mehr Lösungen anbieten.

In einer vertrauenswürdigen Umgebung wie der OneSpan Trusted Identity Platform Banken können mehr Dienstleistungen anbieten und mehr Kunden gewinnen, die länger bleiben.

Steve: Offensichtlich besteht ein großer Bedarf an solchen Lösungen, um uns zu schützen, da die Bedrohungen immer größer und größer werden. Also vielen Dank und vielen Dank für Ihre Zeit heute.

Will LaSala ist Director of Security Solutions bei OneSpan.  Er trat 2001 in das Unternehmen ein und bringt über 25 Jahre Erfahrung in den Bereichen Software und Cybersicherheit mit. Seit seinem Eintritt bei OneSpan war Will an allen Aspekten der Produktimplementierung und Marktausrichtung innerhalb von Finanzinstituten beteiligt.