Wie Sie Mobile Banking mit erweiterter App‑Sicherheit schützen können

Ralitsa Miteva, 20. Mai 2021

Wir veranstalten regelmäßig Webcasts zu Themen wie digitale Transformation, Betrugsprävention und Best Practices für mobile Sicherheit. Wenn Sie unseren jüngsten Webcast "How to Protect Mobile Banking with Advanced App Security" verpasst haben, finden Sie hier eine 10-minütige Zusammenfassung. Die vollständige Präsentation ist als On-Demand-Version verfügbar.

Die Nutzung von Mobile Banking nimmt aufgrund der COVID-19-Pandemie weiter zu. Im Einklang mit diesem Trend haben auch die Fälle von Mobile Banking-Betrug im letzten Jahr zugenommen. 2020 markierte einen massiven Anstieg der Zahl der kompromittierten Identitätsdatensätze sowie eine Zunahme ausgeklügelter mobiler Betrugsangriffe und den Anstieg von Crime-as-a-Service.

Während es sich um ein Rekordjahr für Finanzbetrug handelte, ist es auch erwähnenswert, dass von den 4,6 Milliarden aktiven Internetnutzern auf der ganzen Welt 91 % mobile Internetnutzer sind. Von den Schwellenländern bis hin zu den Industriestaaten gehört das Mobiltelefon zu den beliebtesten Banking-Kanälen, sogar im Vergleich zum Online-Banking. Laut Forrester "gibt in Nordamerika und Europa etwa die Hälfte der erwachsenen Online-Nutzer an, dass sie ihr Smartphone mindestens einmal pro Woche für ihre Bankgeschäfte nutzen; und für australische, chinesische und indische Online-Nutzer ist die mobile App der bevorzugte Banking-Kanal."

Es liegt auf der Hand, dass mobile Endgeräte ein kritischer Endpunkt für Finanzinstitute sind, den es abzusichern gilt. In unserem letzten Webinar "How to Protect Mobile Banking with Advanced App Security" haben mein Kollege Greg Hancell und ich die Auswirkungen fortschreitender mobiler Bedrohungen und fortschrittliche Sicherheitsmaßnahmen zum Schutz der Nutzer von Mobiltelefonen diskutiert. Im Folgenden finden Sie die Highlights.

Übliche Gefahren für mobiles Banking

Finanzdienstleister und ihre Kunden wurden im vergangenen Jahr Opfer der stetig zunehmenden digitalen Kriminalität und kompromittierter Identitätsdaten. Weltweit wurden etwa 37 Millionen Datensätze kompromittiert, was etwa 10 % der weltweiten Online-Bevölkerung entspricht. Dies hat direkte Auswirkungen auf die Finanzkriminalität und liefert Kriminellen das Rohmaterial, um eine schwindelerregende Menge an Betrug zu begehen, von Kontoübernahmen bis hin zu synthetischem Identitätsbetrug. Laut einer Studie der Aite Group (US Identity Theft: The Stark Reality) hat der Identitätsdiebstahl seit Beginn der Pandemie um 42 % zugenommen. Das virtuelle Onboarding von Kunden hat zu einem sprunghaften Anstieg des Antragsbetrugs geführt, bei dem Kriminelle aus der Ferne mit gefälschten oder gestohlenen Identitäten neue Bankkonten eröffnen.

Erschwerend kommt hinzu, dass im Dezember 2020 eine Emulator Farm entdeckt wurde. Dies zeigt, dass mobile Betrüger mittlerweile ihre Prozesse automatisieren, problemlos Identifikatoren von Mobilgeräten sammeln, GPS-Standorte fälschen und SMS-Nachrichten abfangen können, um die statische Authentifizierung zu umgehen. Durch das Erreichen eines ungeahnten Ausmaßes und einer ungeahnten Arbeitsgeschwindigkeit gelang es den Cyberkriminellen, ahnungslose Nutzer und mobile Geräte zu emulieren, um in Rekordzeit Millionenbeträge von Online-Bankkonten abzuheben.

SIM-Swaps, die Elemente des Identitätsdiebstahls und der Kontoübernahme kombinieren, haben ebenfalls einen Aufschwung erlebt. Da mobile Zahlungen immer beliebter werden, bietet die Nutzung von Mobile Banking eine Gelegenheit für mehr SIM-Swap-Angriffe. Bei einem SIM-Swap-Angriff verwendet ein Täter die gestohlenen persönlichen Daten eines Opfers, um Mobilfunkbetreiber dazu zu bringen, die Nummer des Opfers auf einer neuen SIM-Karte zu aktivieren. Kriminelle nutzen die Informationen von SMS- oder Sprach-Einmal-Passwörtern (OTP), um auf Bankkonten zuzugreifen und Geld zu stehlen. Viele Opfer von SIM-Hijacking-Betrügereien haben erlebt, dass Online-Konten, die mit ihrer Telefonnummer verbunden sind, übernommen wurden. Social-Media-Konten wie Facebook oder Linkedin sind ein Beispiel dafür, da hierüber Zugang zu sensiblen Informationen wie dem Geburtsdatum erlangt werden kann und von Cyberkriminelle für deren SIM-Swap-Angriffe genutzt werden können (sie können auch Daten von Social-Media-Konten verwenden, um die klassische Übernahme von Bankkonten und Identitätsdiebstahl zu erleichtern). Die jüngsten Datenpannen bei Facebook und Linkedinsind aktuelle Beispiele.

Eine der ältesten - und dennoch erfolgreichsten - Taktiken ist Phishing. Nach so vielen Jahren liegt die Vermutung nahe, dass niemand auf diese Betrügereien hereinfallen kann. Aber immer wieder, von Telefonanrufen bis hin zu raffiniert gestalteten E-Mails, bringen Angreifer ihre Opfer durch Täuschung dazu, ihre Zugangsdaten preiszugeben. 2020 war da nicht anders. Tatsächlich hat COVID-19 im Jahr 2020 sogar noch mehr Möglichkeiten für Phishing und Smishing geschaffen als 2019 und es Kriminellen ermöglicht, den erhöhten Fokus auf das Thema für Ihre Zwecke zu nutzen.

Smishing-Angriffe sind auch aufgrund der verstärkten Nutzung von mobilen Geräten weit verbreitet. Diese Angriffe ähneln typischerweise SMS-Authentifizierungsanfragen von Banken oder einer Warnung, dass es eine verdächtige Aktivität auf dem Konto des Opfers gegeben hat. Das Problem ist, dass sie für den ahnungslosen Nutzer legitim erscheinen, aber Links enthalten, über die Malware heruntergeladen wird, mit der Informationen von Smartphones gestohlen werden können.

Strategien zur Erkennung und Prävention von mobilem Betrug

Was können Finanzinstitute vor diesem Hintergrund tun, um ihre Kunden zu schützen?

  • Statische Anmeldedaten (Nutzername/Passwort) sollten niemals zur Authentifizierung verwendet werden.
    Sie sollten auch nicht für die Geräteregistrierung, die Bereitstellung oder Aktivierung eines Authentifizierungs-Tokens, die Anmeldung, die Transaktionsautorisierung, die Erstellung von Begünstigten/Zahlungsempfängern oder andere Prozesse, die eine Authentifizierung erfordern, verwendet werden. Durch die Modernisierung ihres Authentifizierungsrahmens können Finanzinstitute den Angriffen einen Schritt voraus sein.
  • Verwenden Sie Mobile App Shielding, um die Sicherheit des Quellcodes der mobilen App selbst zu schützen.
    Dies erfordert einen App-Schutz, der innerhalb der App operiert. Diese Technologie wird als App Shielding bezeichnet. Angreifer suchen typischerweise nach Angriffsmöglichkeiten auf zwei Seiten: auf der Kundenseite und im Back-End der Bank (auch bekannt als Server-Seite). Banken haben viel mehr Kontrolle über das Back-End und können effektiver sicherstellen, dass ihre Infrastruktur den Sicherheitsstandards entspricht. Mobile Banking-Apps hingegen befinden sich auf den Geräten der Kunden, also außerhalb der Kontrolle der Bank. Und trotz aller Bemühungen, die Plattform zu sichern, werden die Nutzer zum schwachen Glied. Schließlich werden sich einige Nutzer auf riskante Aktivitäten einlassen, darunter:

    a. Jailbreaking oder Rooting ihrer Geräte, um kostenlose Apps herunterzuladen (und das nicht immer aus den offiziellen App-Stores)
    b. Verbinden mit öffentlichen WLAN-Hotspots oder Netzwerken, unabhängig von deren Vertrauenswürdigkeit
    c. Aufschieben kritischer Sicherheitsupdates für ihr Betriebssystem
  • Implementieren Sie eine mehrschichtige Cybersicherheitsstrategie. Es gibt zusätzliche Sicherheitsebenen, die Ihre Verteidigungsmaßnahmen stärken. Dazu gehören sichere Bereitstellung, sichere Kanalkommunikation, kunden- und serverseitige Risikoanalyse und kontinuierliche Sitzungsüberwachung mit Risikobewertung und maschinellem Lernen.
  • Nutzen Sie die Fülle an mobilen Daten, die Finanzunternehmen zur Verfügung stehen, um die steigende Zahl von Cyberangriffen zu bekämpfen. Erkenntnisse aus dem Verhalten der Nutzer sowie Daten über ihr Telefon (z. B. ob Jailbreak stattgefunden hat, ob es Malware oder Indikatoren für andere Sicherheitsrisiken enthält, welche Betriebssystemversion, Geolocation verwendet wird usw.) können zur Vorhersage und Erkennung von Finanzbetrug in Echtzeit genutzt werden.

Warum Daten für die Sicherheit beim Mobile Banking wichtig sind

Betrugstrends haben deutlich gemacht, dass es nicht mehr ausreicht, sich bei der Anmeldung auf einen Nutzernamen und ein Passwort zu verlassen, um sich vor betrügerischen Aktivitäten zu schützen. Wenn jedoch jemand auf ein Konto zugreift oder versucht, auf ein Konto zuzugreifen, ermöglicht dies den Zugriff auf eine Vielzahl von Daten, anhand derer festgestellt werden kann, ob es sich um einen legitimen Kunden handelt und ob die angeforderte Transaktion legitim ist. Dazu gehören:

  • Nutzerdaten: Die Art der Authentifizierungsmethode, die für die Anmeldung verwendet wird, Verhaltensprofil etc.
  • Gerätedaten: Die Art des Mobiltelefons, das die Nutzer verwenden, ob das Gerät bei der Bank registriert wurde, Jailbreak/Root-Status etc. 
  • App-Daten: App-Version, Sprache etc.
  • Gerätestatusdaten: Screenshot-Erkennung, Code-Injection-Alarm, Overlay-Alarm etc.

Finanzdienstleister haben die Daten, aber sie sammeln und analysieren sie möglicherweise nicht. Tatsächlich ist das Mobiltelefon das Tor zu einer enormen Menge an Daten, aber 60 % der Webinarteilnehmer gaben an, dass sie nicht genügend Einblick in das Verhalten und die Geräte der Nutzer haben. Um sich diesen Fragen anzunehmen, benötigen Banken, Kreditgenossenschaften und andere Finanzinstitute eine risikobasierte Lösung zur Betrugsprävention, die umfangreiche Daten analysiert, um die Aktionen und Attribute des Verhaltens eines Nutzers zu verstehen und Indikatoren für das Vorliegen von Betrug zu identifizieren.

Benutzerverhaltensumfrage

Für Betrugsanalysten oder Datenwissenschaftler wäre es unmöglich, solche Datenmengen manuell zu verarbeiten. Im Gegensatz zu Menschen besitzt maschinelles Lernen die leistungsstarke Fähigkeit, riesige Datenmengen zu verstehen, in großem Umfang und im Kontext zu analysieren und eine Risikobewertung in Echtzeit zuzuweisen.

Diese Technologie ermöglicht es einem risikobasierten Betrugspräventionssystem, durch Step-up-Authentifizierung genau das richtige Maß an Sicherheit zum richtigen Zeitpunkt anzuwenden. Maschinelles Lernen ist die einzige Möglichkeit, die in Umfang und Komplexität zunehmenden Betrugsangriffe effektiv zu bekämpfen

Die Aufnahme und Analyse aller verfügbaren Daten erfordert ein Betrugspräventionssystem, das auf maschinellem Lernen basiert. Multi-Faktor-Authentifizierung (MFA), zusätzlich zu auf maschinellem Lernen basierender Betrugsprävention, kann die Begehung von Cyberkriminalität für Betrüger erheblich erschweren. Diese Methoden ermöglichen es dem System, Betrugsfälle abzufangen und in Echtzeit zu stoppen, bevor ein nennenswerter Schaden angerichtet wird. Wenn Finanzinstitute dies richtig machen, wird hierdurch nicht nur die Sicherheit und das digitale Vertrauen erhöht, sondern auch die Reibung im Kundenerlebnis reduziert.

Rekapitulation: Sicherheitsmaßnahmen, um Mobile Banking sicherer zu machen

Aufgrund der schnellen Entwicklung mobiler Bankdienstleistungen ist der Lernprozess von Banken im Bereich digitale Bedrohungen bei weitem nicht abgeschlossen. Zusammengefasst sind hier einige der wichtigsten Schritte, die Finanzinstitute unternehmen können, um Kunden zu schützen und Betrug einzudämmen:

  1. Stellen Sie sicher, dass Ihre Banking-Apps gut abgesichert sind. Wenden Sie App Shielding an, um Ihre mobilen Banking-Apps zu sichern, da Sie die Umgebung, in der sie arbeiten, nicht kontrollieren können.
  2. Bieten Sie Ihren Kunden eine sichere und bequeme Authentifizierung. Verwenden Sie eine Multi-Faktor-Authentifizierung (auch bekannt als MFA oder starke Kundenauthentifizierung). Sich bei der Anmeldung auf einen Nutzernamen und ein Passwort zu verlassen, reicht nicht mehr aus, um sich vor betrügerischen Aktivitäten zu schützen.

    Ersetzen Sie außerdem SMS-OTP durch eine sicherere Alternative. Während die Übermittlung von Einmal-Authentifizierungscodes per SMS als einfaches und bequemes Mittel zur Kommunikation mit dem Endkunden angesehen wird, haben Sicherheitsexperten vor den Schwachstellen von SMS als Methode zur Authentifizierung von Nutzeraktionen (Logins, Finanztransaktionen, Profiländerungen, Registrierung/Reaktivierung von Mobile Banking-Apps usw.) gewarnt. Tatsächlich hat die Europäische Bankenaufsichtsbehörde (EBA) kürzlich bestätigt, dass SMS OTP die PSD2 SCA-Anforderungenfür dynamische Verknüpfungen nicht erfüllt. Es gibt mehrere Alternativen zu SMS-OTP, darunter:

    a. Push-Benachrichtigungen, die direkt von einer mobilen Banking-App gesendet werden
    b. Einmalige Passcodes, die von einer eigenständigen mobilen Authentifizierungs-App generiert werden.
    c. Biometrie
    d. Out-of-Band-Transaktionssignierung mit Technologie wie Cronto von OneSpan
  3. Richten Sie einen sicheren Kanal zwischen Ihrem Kunden und dem Bankserver ein. Dies verhindert, dass Daten kompromittiert werden und ermöglicht die Erstellung eines zuverlässigen Profils des mobilen Geräts auf dem Server.
  4. Implementieren Sie eine Lösung zur Risikobewertung. Die Analyse des Nutzerverhaltens und der gesammelten Daten aus Ihren digitalen Banking-Kanälen kann eine bessere Risikominderung für das Gerät ermöglichen. Durch die kontinuierliche Bewertung des Geräts bei jeder Nutzeraktion können wir den ihm zugewiesenen Vertrauensgrad in Echtzeit bewerten. Ein vertrauenswürdiges Gerät kann auch als sichere Authentifizierungsmethode für Omnichannel-Banking verwendet werden. 
  5. Balance zwischen Nutzerfreundlichkeit und Sicherheit. Adaptive Authentifizierung ist der beste Weg, das zu erreichen. Aber um den Grad der Authentifizierung an jede einzelne Transaktion anzupassen, benötigen Sie ein risikobasiertes Betrugspräventionssystem. Das zugrunde liegende Konzept ist einfach: Durch die Anpassung der Authentifizierung an das Risikoniveau einer Transaktion oder Interaktion kann ein Finanzinstitut das Kundenerlebnis sowohl sichern als auch erleichtern.

Wesentliche Erkenntnisse

Die Nutzung von Mobile Banking-Anwendungen hat sich durch die Pandemie beschleunigt. Infolgedessen ist das Mobile Banking ein häufiges Ziel von Cyberangriffen geworden. Finanzinstitute müssen Schritte unternehmen, um diese Angriffe zu entschärfen, einschließlich der Implementierung von Lösungen zur Risikobewertung.

Lösungen wie das Betrugspräventionssystem Risk Analytics von One Spanvon One Span nutzen maschinelles Lernen zur Analyse von Kundendaten, um kriminelle Aktivitäten in Echtzeit zu erkennen. Da betrügerische Aktivitäten immer raffinierter werden, sollten Unternehmen die Multi-Faktor-Authentifizierungund den auf maschinellem Lernen basierenden Betrugsschutz als hocheffektive Lösung zum Schutz von Mobile Banking-Kunden betrachten.

Abschirmung mobiler Apps
White Paper

Mobile App Shielding: How to Reduce Fraud, Save Money, and Protect Revenue

Discover how app shielding with runtime-protection is key to developing a secure, resilient mobile banking app.

Download Now

1. https://www.statista.com/statistics/617136/digital-populationworldwide/#:~:text=How%20 viele%20 Menschen%20 benutzen%20 die ... Die%20 Internet%20 über%20 Handy, Mobiltelefon%20 Geräte
2. Der Forrester Digital Experience Review ™: Zusammenfassung der globalen Mobile Banking-Apps, 2020
3. https://www.iii.org/fact-statistic/facts-statistics-identity-theft-and-cybercrime#:~:text=There%20 wurden%204 .8%20 Million%20 Identität, auf%20 von%20651%2 C000%20 im%202019
4. https://www.paymentscardsandmobile.com/140-yoy-growth-37-billion-data-breach-records-leaked-in-2020/

Ralitsa Miteva ist Managerin für Betrugserkennungs- und -präventionslösungen bei OneSpan, wo sie Finanzinstitute und andere Organisationen über die sich entwickelnde Betrugslandschaft berät und ihnen hilft, die neuen Präventionsherausforderungen während ihrer digitalen Transformation zu bewältigen.