Video

Warum Kontoübernahmeangriffe die größte Bedrohung für Banken darstellen

Greg Hancell, Betrugsexperte bei OneSpan, spricht mit Finextra TV darüber, wie Banken Betrug bei der Übernahme von Konten verhindern können

Ícone de vídeo

Greg Hancell, Manager Global Consulting bei OneSpan, spricht mit Finextra TV darüber, warum Angriffe auf Kontoübernahmen eine der größten Herausforderungen für Finanzinstitute darstellen und wie sie diese Art von Angriffen besser erkennen und abschwächen können.

Sehen Sie sich das Interview vollständig an oder lesen Sie das Transkript unten.  

Hannah Wallace: Hallo Greg, vielen Dank, dass du heute zu uns gekommen bist.

Greg Hancell: Danke Hannah, es ist mir eine Freude, hier zu sein.

Hannah: Was sind einige der größten Herausforderungen, denen sich Finanzinstitute im Zusammenhang mit Betrug gegenübersehen?

Greg: Die größte Herausforderung, die wir meiner Meinung nach haben, ist der Betrug bei der Übernahme von Konten. Der Grund dafür ist, dass es tatsächlich von Jahr zu Jahr zunimmt. Von 2017 bis 2018 gab es laut neuen Daten einen Anstieg von 162%, und wir erwarten einen erneuten Anstieg.

Sie könnten fragen, warum es so stark zunimmt? Wenn Sie in der Vergangenheit böswillig Daten von jemandem erhalten oder stehlen wollten, müssen Sie möglicherweise manuelle Aufgaben ausführen, z. B. Aufklärung, Stehen auf der Straße oder Stehlen der Brieftasche. Es wäre eine sehr manuelle Aufgabe und würde einige Zeit in Anspruch nehmen. Während Sie jetzt einen Phishing-Angriff ausführen können, bei dem Sie eine E-Mail senden oder Malware hinzufügen, die das Gerät infizieren und die Daten abrufen kann. Wenn es sich um einen Phishing-Angriff handelt, klicken sie möglicherweise auf einen Link und geben ihre Identität und ihre Anmeldeinformationen an. Die Kontoübernahme nimmt zu, da böswillige Akteure jetzt viel schneller zu persönlichen Informationen gelangen und diese Daten dann auch automatisiert werden können.

Im vergangenen und im Vorjahr wurden rund 3,2 Milliarden personenbezogene Daten kompromittiert. Unsere Identität ist nicht unsere eigene und es gibt böswillige Akteure, die Kriminalität als Dienstleistung betreiben und Identitäten online verkaufen. Wenn Sie ein Angreifer sind, können Sie sehr einfach persönliche Informationen abrufen und dann einen Kontoübernahmeangriff durchführen.

Die Kontoübernahme hört hier nicht auf. Wenn wir darüber nachdenken, wie sich dies verbreiten kann - wenn Sie ein Kunde sind, kann die Kontoübernahme dazu führen, dass ein neuer Begünstigter erstellt wird, oder die Anwendung für ein neues Produkt, oder es kann eine vollständige Kontoübernahme geben, bei der Ihr Gerät tatsächlich entfernt wird und sperren Sie und / oder gefährden möglicherweise Ihre Wiederherstellungs-E-Mail-Adresse und die Telefonnummern. Finanzinstitute müssen nicht nur darüber nachdenken, wie hoch das Risiko ist, dass Kundendaten erfasst werden (Benutzername und Passwort), sondern auch über den verwendeten Wiederherstellungsprozess. Meiner Ansicht nach sind Kontoübernahmen ein großes Problem für Finanzinstitute.

Hannah: Wie können Finanzinstitute Betrugsattacken bei der Übernahme von Konten besser erkennen und abschwächen?

Greg: Ich glaube, wir müssen darüber nachdenken, was Vertrauen ist und wie Finanzinstitute über Benutzer, ihre Daten und ihre Geräte denken. Wir müssen berücksichtigen, dass Vertrauen nicht statisch, sondern dynamisch ist. Es verändert sich laufend.

In der Vergangenheit haben wir Benutzer möglicherweise während der Anmeldung oder einer Transaktion authentifiziert. Während wir jetzt über eine Fülle von Daten verfügen, weil Benutzer über das Web oder Mobile Banking auf ihr Konto zugreifen und es Ereignisse gibt, die ständig an die Finanzinstitute übertragen werden, während ein Benutzer seine Benutzerreise fortsetzt. Diese Umstellung auf digitales Banking eignet sich gut für die kontinuierliche Überwachung, die Fähigkeit, alle auftretenden Ereignisse zu überwachen - nicht nur die Anmeldung und die Transaktion, sondern auch die Anforderung eines Guthabens oder die Schaffung eines neuen Begünstigten und / oder die Schaffung eines Benutzers oder Benutzer wechseln.

Wir müssen auch über die Sitzung nachdenken, da es sich möglicherweise nicht nur um ein Gerät handelt, das zum Anmelden und Authentifizieren verwendet wird. Ein Benutzer kann sich von einem Webgerät aus anmelden und sich dann von einem mobilen Gerät aus authentifizieren. Das Risiko auf beiden Geräten ist unterschiedlich, die Sitzung ist jedoch gleich. Daher muss sie vereinheitlicht werden, und es muss festgelegt werden, wie das Risiko für beide Geräte ist und wie es mit diesem Verhalten korreliert.

Verhalten ist ein großer Punkt und das eignet sich für maschinelles Lernen. Finanzinstitute müssen in der Lage sein zu antworten:

  • Was ist das normale Benutzerverhalten?
  • Wie interagieren sie mit den Geräten hinsichtlich Tippen, Wischen, Ziehen und Geschwindigkeit über Seiten hinweg?
  • Wie interagieren sie mit den Sitzungen?
  • Wann richten sie eine Web-Sitzung oder eine Mobile-Banking-Sitzung ein?
  • Wie bewegen sie sich durch diese Seiten?
  • Welche Seiten werden in welcher Reihenfolge besucht?

Durch das Stellen dieser Fragen kann maschinelles Lernen die Geschwindigkeit eines Benutzers und sein Verhalten profilieren und diese dann beispielsweise sehr schnell einem Bot gegenüberstellen. Maschinelles Lernen kann das Verhalten auch in Bezug auf Ausgaben profilieren.

Dies ist eine ziemliche Herausforderung für Banken. Sie verfügen in der Regel über viele Betrugslösungen, weisen jedoch eine Lücke hinsichtlich des Produktrisikos im Bereich Digital Banking und Mobile Banking auf. Viele Finanzinstitute suchen jetzt nach einer Lösung, die eine kontinuierliche Überwachung in ihren Websitzungen ermöglicht, aber es gibt auch einen Mangel an Experten weltweit. Ich denke, es wird geschätzt, dass bis 2021 1,1 Millionen Experten für finanzielle Cyberkriminalität fehlen werden. Finanzinstitute durchlaufen einen Wissensprozess, in dem sie Informationen zu Kompromissindikatoren in Websitzungen sowie zu einer Prozessentwicklung erhalten.

Hannah: Wie gehen die Regulierungsbehörden mit diesen Problemen um?

Greg: Die Aufsichtsbehörden waren in den letzten Jahren wirklich präsent. Wir sehen das hauptsächlich bei der Richtlinie über Zahlungsdienste 2 (PSD2) und der DSGVO. Mit der Richtlinie 2 über Zahlungsdienste ist das, was die Regulierungsbehörden tun, tatsächlich eine Herausforderung - Was ist eine starke Kundenauthentifizierung? Ein Benutzer, der sich mit einem Einmalkennwort authentifiziert, reicht meiner Ansicht nach nicht unbedingt aus. Die Richtlinie 2 über Zahlungsdienste verweist ebenfalls darauf und erklärt, dass es eine Fähigkeit zur dynamischen Verknüpfung geben muss. Das bringt Kontext. Finanzinstitute müssen fragen:

  • Warum authentifiziert sich jemand?
  • Worauf authentifizieren sie sich?

Die Signatur oder das auf Einmalkennwörtern basierende Kennwort kann dann anhand des Kontexts (z. B. des Begünstigten, der Beträge und des Datums) abgeleitet werden. Mit dieser Methode gelangen Benutzer nicht einfach zu einem Einmalkennwort, das sie nicht kennen. Es wird aus ihren Daten abgeleitet, sodass sie einen Kontext haben und auch das Finanzinstitut einen Kontext hat.

Darüber hinaus muss bei der Authentifizierung die Identifizierung von Malware angewendet werden. Die Banken oder Finanzinstitute versuchen also, Malware zu identifizieren, und das ist eine ziemliche Herausforderung. Wenn wir an Phishing-Angriffe denken, sind Phishing-Angriffe relativ einfach zu identifizieren, da der Endbenutzer keine Sitzung mit der Bank hat. In einem Malware-Szenario wird tatsächlich das Gerät des Endbenutzers verwendet. In diesem Sinne treiben die Regulierungsbehörden eine weitere Innovation in Richtung maschinelles Lernen voran, da Regeln letztendlich keine Malware identifizieren. Sie müssen also viele Datenpunkte und Profile berücksichtigen und Folgendes verstehen:

  • Ist es ein Benutzer?
  • Ist es ein Bot, der in dieser Sitzung und auf diesem Gerät interagiert?
  • Mit welcher Geschwindigkeit sind sie?
  • Gibt es andere Kompromissindikatoren, die identifiziert werden können?

Die DSGVO verändert auch die Art und Weise, wie wir über Datenschutz und Daten denken. In der Vergangenheit haben wir gesagt, dass PII alles ist, was mich als Person betrifft, aber die Realität ist jetzt, dass aufgrund der Fähigkeit, Personen von ihren Geräten und von ihren Standorten aus zu identifizieren, Geräte- und Standortdaten jetzt herausgefordert und klassifiziert werden auch als PII. Dies beeinflusst, wie Sie Informationen rund um das Gerät sammeln können, wie Sie Informationen rund um die IP sammeln können und wie sich diese auf den Benutzer beziehen können. Letztendlich führt dies zu einer Sicherheitsänderung in der Art und Weise, wie Anwendungen mit diesen Daten arbeiten. Anwendungen wenden jetzt die Verschlüsselung direkt an - verschlüsseln ihre Datenbanken und stellen sicher, dass diese Art von Daten nicht in der Mitte abgerufen, beschnüffelt oder empfangen werden kann. Ja, ich denke, die Aufsichtsbehörden haben auch einen großen Einfluss auf die Verhinderung von Übernahmbetrug.