Einsatz von Risikoanalysen zur Betrugsbekämpfung und zur Einhaltung von Vorschriften

Mark Crichton, 2. November 2020

Die Bekämpfung von Finanzbetrug ist ein ständiger Kampf. In einem kürzlich veröffentlichten Bericht wurde festgestellt, dass der Gesamtwert der Kartenbetrugsverluste in Großbritannien im Jahr 2019 706 Millionen Euro betrug, wobei 76 Prozent dieser Verluste auf Fernkäufe entfielen. Angesichts des Wachstums des E-Commerce ist dies nicht überraschend. Seit der Pandemie sind Cyberkriminelle jedoch aktiver geworden, da sie Menschen nutzen, die digitale Plattformen nutzen, um finanzielle Interaktionen durchzuführen.

Seit Beginn der Sperrung in Großbritannien sind allein durch Einkaufsbetrug über 16,6 Millionen Pfund verloren gegangen, und die Zahl der Websites im Zusammenhang mit Phishing ist seit Jahresbeginn um 350 Prozent gestiegen. Diese Phishing-Angriffe in Verbindung mit den unzähligen schwerwiegenden Datenverletzungen haben über 15 Milliarden Verbraucheranmeldeinformationen - einschließlich Bankkonto-Logins - aufgedeckt, die jetzt im Dark Web verbreitet werden und es Kriminellen ermöglichen, betrügerische Aktivitäten im Namen von Bankkunden durchzuführen.

In der Zwischenzeit haben Finanz- und Datenvorschriften mehr denn je Wert auf Sicherheit gelegt. Die Einhaltung von Vorschriften wie PSD2 ist für Banken und Finanzinstitute von entscheidender Bedeutung, um schwerwiegende Auswirkungen von Branchenverbänden zu vermeiden.

Die Herausforderung für Banken und Finanzinstitute besteht darin, die Compliance-Anforderungen mit der Notwendigkeit in Einklang zu bringen, Kunden vor der wachsenden und sich schnell ändernden Betrugsgefahr zu schützen, ohne das allgemeine Kundenerlebnis zu beeinträchtigen.

Erhöhte Angriffe auf digitalen Betrug und Kontoübernahme

Als weltweit Sperrungen eingeführt wurden, waren die Verbraucher gezwungen, mobile und digitale Bankformen zu verwenden, um soziale Distanzierungsmandate einzuhalten. Kriminelle haben immer versucht zu verfolgen, wo sich das Geld befindet, und als die Transaktionen in diese Online-Bereiche verlagert wurden, nahmen die digitalen Formen des Betrugs zu.

Gleichzeitig haben wir auch Betrüger gesehen, die mit Ängsten und verstärkter Kommunikation gespielt haben, um die Verbraucher dazu zu bringen, auf Betrug hereinzufallen. Seit Beginn der Pandemie haben wir eine Fülle von Phishing-Kampagnen im Zusammenhang mit Coronaviren gesehen, die sich an Verbraucher richten, um vertrauliche Informationen zu stehlen, sowie mehrere andere Kampagnen, mit denen Einzelpersonen dazu gebracht werden sollen, schädliche Dateien wie Malware herunterzuladen. Als beispielsweise die Nutzung von Mobile Banking zunahm, verzeichnete der Kanal nach Untersuchungen von Kaspersky bald darauf einen Anstieg der Mobile Banking-Trojaner. Phishing- und Malware-Angriffe erleichtern alle Arten von Betrug, einschließlich Angriffe auf die Kontoübernahme.

Bei so vielen bereits offengelegten personenbezogenen Daten und Anmeldeinformationen besteht für Verbraucher immer das Risiko, dass ihre Daten ohne ihre Zustimmung für betrügerische Zwecke verwendet werden. In Verbindung mit der Zunahme digitaler Aktivitäten und Cyberangriffen müssen die Banken jedoch eine Sicherheitsinfrastruktur einrichten, die in der Lage ist, Betrug in Echtzeit zu erkennen, bevor Schäden verursacht werden.

Banken gegen Verbraucher

Verantwortung kann jedoch nicht allein an den Einzelnen gebunden werden. Banken verfolgen einen agilen, vielschichtigen Sicherheitsansatz, um die Konten ihrer Kunden mit gestohlenen Anmeldeinformationen vor Angriffen zu schützen. Banken und Finanzinstitute müssen risikobasierte Betrugserkennungssysteme einsetzen, die auf maschinellem Lernen basieren, um Betrugsversuche in Echtzeit zu erkennen und zu blockieren, ohne die Benutzererfahrung zu beeinträchtigen.

Risikoanalyse Analysieren Sie enorme Datenmengen aus einer Reihe von Kanälen, z. B. das verwendete Gerät, den Standort und den Transaktionsverlauf. Die Algorithmen für maschinelles Lernen können Banksitzungen ständig überwachen und Datenpunkte wie Tageszeit, Sitzungsdauer und Ausgabenmuster bewerten. All diese Informationen können verwendet werden, um ein umfassendes Bild des normalen Verhaltens einer Person zu erstellen. Jedes abnormale Verhalten, bei dem der Verdacht auf Betrug besteht, kann in Echtzeit erkannt und zusätzliche Sicherheitsmaßnahmen entsprechend implementiert werden. Wenn ein Benutzer beispielsweise von der Norm abweicht und 1.000 GBP von einem neuen Standort aus sendet, anstatt die Transaktion direkt zu blockieren, was zu Frustration führen kann, wird der Kunde möglicherweise aufgefordert, einen Fingerabdruck zur Ergänzung eines Passcodes bereitzustellen.

Betrugserkennungssysteme, die Risikoanalysen verwenden und maschinelles Lernen sind in der Lage, die ersten Anzeichen eines Phishing-Angriffs zu erkennen. Die Algorithmen können die Wahrscheinlichkeit bestimmen, dass der HTTP-Referrer von einer Phishing-Seite stammt, die durch eingerichtete Expertenregeln ergänzt werden kann. Diese Regeln legen fest, wie das System auf Phishing-Angriffe reagieren soll.

Diese Sicherheitsmechanismen verbessern die Präzision der Banken bei der Aufdeckung von Betrug, wenn mehr Daten gesammelt werden. Dies alles ohne Auswirkungen auf die Benutzererfahrung. Bei Transaktionen mit geringem Risiko wird der Customer Journey nur wenig bis gar keine Reibung hinzugefügt, während zusätzliche erforderliche Sicherheitsmaßnahmen nur für Transaktionen ergriffen werden, die als riskant oder abnormal eingestuft werden.

Während Banken und Technologie eine wichtige Rolle bei der Betrugsbekämpfung spielen, müssen die Verbraucher ebenfalls auf der Hut sein. Banken, Einzelhändler, Regierungen und andere Branchenverbände sollten ihre Kunden über die Bedrohungen informieren, denen sie möglicherweise ausgesetzt sind, und über die Schritte, die sie unternehmen können, um aktiv für eine Verteidigung zu sorgen. Verbraucher sollten beispielsweise verstehen, wie sie eine verdächtige E-Mail erkennen, bei der es sich möglicherweise um einen Phishing-Versuch handelt, was zu tun ist, wenn sie versehentlich auf einen böswilligen Link klicken, und warum sie keine persönlichen identifizierbaren Informationen per Telefon oder E-Mail bereitstellen sollten.

Risikoanalyse und Einhaltung

Die Implementierung von Risikoanalysen hilft Banken und Finanzinstituten auch dabei, die PSD2-Anforderungen für die Transaktionsüberwachung zu erfüllen. PSD2 schreibt die Verwendung der Transaktionsüberwachung vor, um betrügerische Zahlungen zu verhindern und Bedrohungen wie Kontoübernahme, Betrug mit neuen Konten und Betrug mit Mobilgeräten zu verhindern. Finanzinstitute müssen auch in der Lage sein, Wirtschaftsprüfern und Aufsichtsbehörden die Wirksamkeit ihrer Überwachungssysteme nachzuweisen.
Mithilfe von Risikoanalysen werden Mobil-, Anwendungs- und Transaktionsdaten in Echtzeit analysiert, um bekannte und aufkommende Betrugsarten in den Online- und Mobile-Banking-Kanälen zu erkennen. Diese Analyse führt zu einem wunden Transaktionsrisiko, das dann zu intelligenten Workflows führen kann, die sofortige Maßnahmen auf der Grundlage vordefinierter und / oder kundendefinierter Sicherheitsrichtlinien und -regeln auslösen.
Durch die Berücksichtigung einer Reihe risikobasierter Faktoren - einschließlich bekannter Betrugsszenarien, Erkennung von Malware-Infektionen und des Transaktionsbetrags - ermöglicht die Transaktionsrisikoanalyse den Banken, Compliance zu erreichen, ihre Kunden besser zu schützen und ihre Betriebskosten zu senken.
Da sich die Verbraucher zunehmend an den bereits wachsenden Trend des digitalen Bankgeschäfts gewöhnen, werden Banken und Finanzinstitute herausgefordert sein, immer ausgefeiltere Formen von Betrug zu vereiteln und die Einhaltung gesetzlicher Vorschriften zu gewährleisten, ohne die Benutzererfahrung zu beeinträchtigen. Die neuesten Risikoanalysetechnologien bieten Unternehmen in der Finanzbranche die Möglichkeit, diese Herausforderungen zu meistern und in abgelegenen digitalen Umgebungen erfolgreich zu sein.

Risikoanalyse zur Betrugsprävention: Top-Anwendungsfälle im Bankwesen
Whitepaper

Risikoanalyse zur Betrugsprävention: Top-Anwendungsfälle im Bankwesen

In diesem Whitepaper werden die kontinuierliche Betrugsüberwachung und die dynamische Risikobewertung im Kontext der wichtigsten Anwendungsfälle im Bankwesen erläutert, damit Führungskräfte im Bankwesen den Wert eines durch maschinelles Lernen gesteuerten Risikoanalysesystems besser verstehen.

Jetzt herunterladen

Dieser Artikel, verfasst von Mark Crichton, Senior Director für Sicherheitsproduktmanagement, erschien erstmals am 22. Oktober 2020 am ITProPortal.com .

Mark Crichton is the Senior Director of Security Product Management at OneSpan, with over 20 years’ experience in architecting, deploying, developing and strategic consulting within the realm of global IT security and payment security solutions.