Was ist Neukundenbetrug?
Ein Neukundenbetrug liegt vor, wenn ein Betrüger oder Geldkurier erfolgreich von einem Finanzinstitut aufgenommen wurde, nachdem er einen Antrag unter Verwendung seiner eigenen Identität (First-Party-Fraud), einer gestohlenen Identität (Third-Party-Fraud) oder einer synthetischen Identität gestellt hat. Das bedeutet, dass der Laptop und das Telefon des Betrügers bereits bei der Bank registriert wurden, der Betrüger bereits erfolgreich zur Authentifizierung angemeldet wurde und das Konto legitim erscheint. Das Konto wurde jedoch nur zu dem Zweck eröffnet, Betrug zu begehen, z. B. Kreditkartenlinien zu beantragen und Kreditkartenbetrug zu begehen, und dann zu verschwinden.
Neukundenbetrug wird manchmal mit Antragsbetrug verwechselt, bei dem ein neuer Antragsteller versucht, ein Konto mit einer gestohlenen oder gefälschten Identität zu eröffnen. Antragsbetrug findet statt, bevor das Konto eröffnet wurde, da der Betrüger noch versucht, sich als legitimer potenzieller Kunde auszugeben und durch die KYC-Prüfungen der Bank zu kommen.
Wie Neukundenbetrug funktioniert
Bei Neukundenbetrug können Betrüger oder Maulwürfe erfolgreich ein Einlagenkonto oder ein Kreditkartenkonto eröffnen, ohne entdeckt zu werden, wenn ein Finanzinstitut über keine robusten Technologien und Prozesse zur Identitätsüberprüfung verfügt. Zum Beispiel kann ein Betrüger oder Maulwurf den Antragsprozess (insbesondere die vollständig online oder mobil durchgeführte Eröffnung eines Bankkontos) unter Verwendung seiner eigenen Identitätsdokumente oder einer gestohlenen oder synthetischen Identität durchlaufen. Wenn es nicht gelingt, den Betrüger oder Maulwurf während des Onboarding-Prozesses oder während der ersten Kontobewegungen zu erwischen, kann dies für Finanzinstitute später zu erheblichen finanziellen Verlusten führen.
Arten von Neukundenbetrug
Kriminelle passen ihre Techniken zur Begehung von Betrug ständig an. Während viele Betrugstechniken wie die Kontoübernahme (Einbruch in das Bankkonto einer anderen Person und Abzug aller verfügbaren Gelder durch Phishing, Malware und andere Methoden) weiterhin zunehmen, haben Kriminelle auch die Eröffnung eigener Bankkonten ins Visier genommen, explizit für Betrugszwecke und andere Arten von kriminellen Aktivitäten. Schauen wir uns einige der Möglichkeiten an, wie ein neuer Kontobetrug begangen wird.
Erstanbieter-Betrug (Wie erleichtert es den Betrug mit neuen Konten?)
Erstbetrug liegt vor, wenn jemand ein Konto mit der Absicht eröffnet hat, einen Betrug zu begehen, dabei aber seine eigene Identität falsch angibt. Dabei kann es sich um einen Betrüger selbst handeln oder um einen Geldkurier, der für den Transfer von Geldern im Auftrag einer kriminellen Organisation rekrutiert wurde.
- Szenario 1: Wenn Personen den Kredit ausschöpfen und verschwinden
In Fällen, in denen der Kontoinhaber seine Identität nicht falsch dargestellt oder einen Identitätsdiebstahl begangen hat, wird er sich wie ein typischer Kunde verhalten, um keinen Verdacht zu erregen. Dies macht es schwierig, einen solchen Betrüger frühzeitig zu identifizieren, da sein Verhalten typisch zu sein scheint. Ein Erstbetrüger kann einige Monate brauchen, um ein gutes Kreditprofil zu entwickeln, wenn er einen Kredit, eine Kreditlinie oder eine Kreditkarte beantragt. Sie können sogar regelmäßige Zahlungen leisten, um ein gutes Kreditprofil zu erstellen. Zu diesem Zeitpunkt würde der Betrüger mit seinem scheinbar legitimen Verhalten noch unter dem Radar sein. Sobald der Betrüger jedoch glaubt, dass er genügend Kreditlinien aufgebaut hat, hebt er Bargeld ab oder nimmt einen großen Kredit auf, ohne etwas zurückzuzahlen, und verschwindet aus dem Blickfeld. Diese Konten werden oft zum Inkasso geschickt und vom Finanzinstitut als Verlust abgeschrieben, anstatt als Betrug erster Ordnung erkannt zu werden.
- Szenario 2: Wenn Geldkuriere von Kriminellen rekrutiert werden
Wenn Kriminelle entweder gestohlene Gelder von einer Bank abheben oder Geld waschen müssen, rekrutieren sie dafür oft Kuriere, um sich vor den Behörden zu schützen. Laut Wikipedia ist ein Geldkurier "eine Person, die illegal erworbenes (z. B. gestohlenes) Geld persönlich, durch einen Kurierdienst oder elektronisch im Auftrag anderer transferiert. Typischerweise wird das Maultier für seine Dienste mit einem kleinen Teil des überwiesenen Geldes bezahlt.
"Der Betrug mit neuen Konten ist aufgrund der COVID-19-Pandemie und der daraus resultierenden hohen Arbeitslosigkeit, die zu betrügerischen Aktivitäten führen kann, ein Hauptanliegen für Finanzinstitute. Laut einem Bericht der Aite Group über Maultieraktivitäten "gibt es Anzeichen dafür, dass die jüngste Coronavirus-Pandemie und die weltweite wirtschaftliche Rezession, die aus dieser beispiellosen Störung resultiert, zu einer weiteren Vergrößerung des Arbeitskräftepools beitragen werden, aus dem Maultiervermittler schöpfen müssen.
"Die Art und Weise, wie dies geschieht, ist, dass ein Maultier von Cyberkriminellen über soziale Medien, E-Mail, Post oder Telefon kontaktiert wird. Der Betrüger macht ein verlockendes Angebot, wie z. B. die Möglichkeit, von zu Hause aus zu arbeiten, einen Preis zu gewinnen oder sogar einen Maulesel durch einen Liebesbetrug anzulocken, und verlangt im Gegenzug persönliche Informationen, einschließlich Bankkontodaten. Das Geld wird vom Konto des Maultiers an den Betrüger überwiesen, der sich in der Regel in einem anderen Land befindet. Laut dem United States Computer Emergency Readiness Team (US-CERT) "benutzt ein Krimineller einen Geldkurier in der Regel nur einmal. Nachdem der Geldkurier seine Rolle in der Transaktion erfüllt hat, löst der Kriminelle die Beziehung in der Regel vollständig auf und rekrutiert jemand anderen für den nächsten Plan."
Übliche Geldkurier-Betrügereien
- Betrüger
nutzen Online-Jobbörsen, soziale Medien und Websites, um gefälschte Stellenausschreibungen zu erstellen, die für Arbeitssuchende, die die Flexibilität und Bequemlichkeit der Arbeit von zu Hause aus nutzen möchten, legitim aussehen. Typischerweise erfordert der Job, dass der neue Mitarbeiter ein neues Bankkonto eröffnet, damit der Kurier Geld für seinen "neuen Job" sammeln und überweisen kann. Was passiert, ist, dass Kriminelle das Konto des Kuriers benutzen, um die finanziellen Erlöse eines Verbrechens zu verschieben, wahrscheinlich außer Landes, um nie wieder gefunden zu werden. Work-from-home-Betrügereien sind aufgrund ihrer Attraktivität beliebt, aber der Maulesel wird wahrscheinlich nie einen regelmäßigen Gehaltsscheck sehen, oder er könnte Geld erhalten und aufgefordert werden, einen Teil davon an einen falschen Lieferanten oder Kunden zu schicken. Dadurch ist das Opfer der Möglichkeit ausgesetzt, wegen der Beteiligung an der Geldwäsche verhaftet zu werden.
- Romantik-Betrug
Die Verwendung von Online-Dating-Apps oder sozialen Netzwerken, um jemanden kennenzulernen, kann dazu führen, dass ein Betrüger versucht, Sie unter dem Deckmantel der Romantik dazu zu bringen, ihm Geld zu schicken. Der Scammer scheint in seiner Zuneigung aufrichtig zu sein und nimmt sich Zeit für die aufkeimende Online-Beziehung. Der Betrüger kann behaupten, dass er im Ausland auf einer Bohrinsel oder bei einer internationalen Organisation arbeitet, beim Militär ist oder ein Arzt ist, der zu einer Hilfsorganisation gehört. Sobald durch regelmäßigen Kontakt und das Versprechen, sich zu treffen und schließlich zu heiraten, Vertrauen aufgebaut wurde, verlangt der Betrüger in der Regel Geld. Es könnte für Flugtickets oder andere Reisekosten sein, um Zollgebühren zu bezahlen, um ein Paket zurückzubekommen, um ein Visum zu bezahlen, oder um Spielschulden zu begleichen. Sie könnten ihr Liebesinteresse bitten, Geld zu überweisen, ihre Kreditkarte zu benutzen, ihnen Geschenkkarten zu besorgen oder Geschenkkarten aufzuladen, oder sie nach Bankkontoinformationen fragen. Oder sie könnten Sie bitten, Geld an einen ihrer Freunde zu schicken, der etwas finanzielle Hilfe benötigt.
- Einzahlungsbetrug
Kriminelle posten auf sozialen Medien und anderen Websites, um Maultiere zu rekrutieren, die im Austausch für die Eröffnung eines Bankkontos schnelles Geld verdienen sollen. Die Betrüger fordern den Kurier auf, ein Konto einzurichten, um gestohlene, gefälschte oder falsche Schecks einzuzahlen. Dann wird der Kurier aufgefordert, Abhebungen an einem Geldautomaten, in einer Bankfiliale oder durch eine elektronische Überweisung vorzunehmen, bevor der Scheck platzt. Es kann jedoch sein, dass die Bank das Konto wegen Betrugs schließt, ihn als Kunden sperrt und ihn bei der Polizei anzeigt.
Betrug durch Dritte (Wie wird der Betrug mit neuen Konten erleichtert?)
Betrug durch Dritte liegt vor, wenn ein Betrüger oder eine Gruppe von Betrügern die Identität oder die persönlichen Daten einer anderen Person verwendet, um ein neues Konto zu eröffnen, ohne dass die Person, deren Identität verwendet wird, davon Kenntnis hat. Betrüger können im Dark Web illegal an persönlich identifizierbare Informationen (PII) gelangen, wie z. B. den vollständigen Namen einer Person, die Führerscheinnummer, die Bankkontonummer, die Reisepassnummer, die E-Mail-Adresse und andere Informationen, die durch eine Datenverletzung entstanden sind. Sie verwenden diese Informationen, um betrügerische Konten auf den Namen anderer Personen zu eröffnen. Betrüger können auch Informationen von verstorbenen oder älteren Personen und sogar Kindern stehlen, um betrügerische Konten zu eröffnen. Beim Betrug durch Dritte ist der Betrüger in der Lage, ein neues Konto zu eröffnen, da sein mobiles Gerät und sein Laptop bereits bei der Bank registriert sind und sie erfolgreich für die Authentifizierung angemeldet wurden, was darauf zurückzuführen sein könnte, dass ein Finanzinstitut über keine robusten Technologien zur Identitätsüberprüfung verfügt. Sobald sie Zugriff auf das neue Konto haben, beantragen sie einen Kredit, schöpfen ihn aus und verschwinden. Die beste Praxis ist, alle neuen Konten genau zu überwachen, besonders in den ersten 30 Tagen, wenn die Wahrscheinlichkeit von Betrug am größten ist.
Synthetischer Identitätsbetrug (Wie erleichtert er den Betrug mit neuen Konten?)
Synthetischer Identitätsbetrug liegt vor, wenn ein Betrüger gefälschte und echte Informationen kombiniert, z. B. Straßenadressen, E-Mail-Adressen, Geburtsdatum und andere persönlich identifizierbare Informationen (PII), um eine fiktive Identität zu erstellen, um ein neues Konto zu eröffnen. Der synthetische Identitätsbetrüger wird eine Kreditkarte beantragen, hat aber keine Kredithistorie, und er wird oft einen Antrag bei einem Kreditkartenaussteller stellen, der einen niedrigen Kreditbetrag anbietet, z. B. 300 $ oder 500 $. Sie werden das Kreditkonto legitim nutzen und Zahlungen leisten, um eine gute Historie aufzubauen, um weitere Kreditkarten oder einen Kredit zu erhalten, bevor sie diese ausreizen und abrutschen.
Um die "Know Your Customer"-Tests (KYC) einer Bank zu bestehen, können Betrüger große Anstrengungen unternehmen, indem sie ihre synthetischen Identitäten als echt erscheinen lassen, einschließlich gefälschter Social-Media-Profile, gefälschter Ausweisdokumente und anderer gefälschter Dokumente. Manche beantragen sogar persönlich die Eröffnung eines neuen Kontos, um legitim zu erscheinen. Der Betrüger kann auch eine synthetische Identität als autorisierter Benutzer auf einem Konto hinzufügen, das einer anderen Person mit einer guten Kredithistorie gehört, um dieses Konto zu nutzen, um seine eigene positive Kreditwürdigkeit aufzubauen.
Synthetischer Identitätsbetrug unterscheidet sich vom herkömmlichen Identitätsbetrug, bei dem ein Betrüger vorgibt, eine echte Person zu sein und deren Kredit zu nutzen. Traditioneller Identitätsbetrug wird in der Regel schneller entdeckt und gemeldet, da das Opfer dazu neigt, ungewöhnliche Belastungen zu bemerken. In zunehmendem Maße erstellen Kriminelle synthetische Identitäten, da dies für Finanzinstitute und Finanzdienstleister schwieriger zu erkennen ist.
Wie Sie sich vor Neukundenbetrug schützen können
Der Betrug mit neuen Konten ist für Betrüger profitabel, weil er legitimes Kundenverhalten imitieren kann, was es für Banken schwierig macht, ihn zu erkennen. Ein Betrugspräventionssystem sollte jedoch kontinuierlich das Verhalten einer Person mit ihrem Konto überwachen - insbesondere in den ersten 30 Tagen eines neuen Kontos.
Ein Anti-Betrugssystem kann helfen, Betrug bei neuen Konten zu erkennen und zu verhindern, wenn der neue Kunde vom Finanzinstitut, der Bank oder der Kreditgenossenschaft aufgenommen wird. Wenn der neue Kunde sein mobiles Gerät bei der Bank registriert, kann das Betrugspräventionssystem feststellen, ob das Gerät gestohlen oder bei einem früheren Betrugsversuch verwendet wurde. Es kann nach Indikatoren für Betrug suchen, z. B. ob es mehrere neue Konten gibt, die mit demselben Gerät verknüpft sind oder von diesem erstellt wurden.
Banken sollten ein risikobasiertes Betrugsbekämpfungssystem in Erwägung ziehen, das auch alle Aktionen und Ereignisse betrachtet, unabhängig davon, ob sie monetär oder nicht monetär sind. Dazu gehören Dinge wie Änderungen am Profil eines Kontoinhabers, das Hinzufügen eines Begünstigten oder Zahlungsempfängers, Anmeldezeiten und Geräteregistrierungen über alle Kanäle.
Bei der Eröffnung eines neuen Kontos verfügt ein Finanzinstitut in der Regel nicht über genügend Informationen, um bei neu registrierten Benutzern und Geräten die gleichen Verhaltensmuster zu erkennen wie bei bestehenden Benutzern. Ein Anti-Betrugssystem sollte jedoch ein bekanntes Verhaltensprofil abfangen, das zuvor als bösartig identifiziert wurde. In dieser Situation ist es am besten, das Verhalten des neuen Kontoinhabers mit einem repräsentativen Pool von Kunden zu vergleichen, der Dinge wie:
- Ausgabeverhalten im Vergleich zum Durchschnitt
- Profil des Zahlungsempfängers
- Abfolge der Aktionen
- Navigationsdaten, die sich auf maschinenähnliches oder Bot-Verhalten beziehen
- Abnormale und riskante Standorte
- Die Beziehungen des Kontoinhabers zu anderen Benutzern
Die Risiko-Engine muss in der Lage sein, alle Daten über alle digitalen Kanäle zu sammeln und zu bewerten, damit das Finanzinstitut alle möglichen Beziehungen zu Benutzern, IP-Adressen und Geräten erkennen kann, die nachweislich betrügerisches Verhalten zeigen. Dazu gehören u. a. Informationen über den Benutzer, das Konto, den Standort, das Gerät, die Sitzung und den Zahlungsempfänger. Wenn das System ungewöhnliche Änderungen in den persönlichen Daten des Kontoinhabers feststellt, kennzeichnet die Entscheidungsmaschine diese als verdächtig oder weist darauf hin, dass sie überprüft werden müssen. Sie kann dann aktiv überwacht und ggf. untersucht werden.
Als Best Practice sollten neu registrierte Benutzer genau überwacht werden, bis das Finanzinstitut ein verlässliches Profil und Vertrauensniveau aufgebaut hat. Wenn das Konto eine Zeit lang inaktiv ist und der Kontoinhaber dann eine risikoreiche Transaktion versucht, sollte dies von der Risiko-Engine erfasst werden. Zusätzlich sollte ein risikobasiertes Betrugserkennungs- und -vermeidungssystem jeden Zahlungsempfänger analysieren und Maultierkonten aufspüren.
Laut Javelin ist "Kontoübernahme-Betrug eine der am schwersten zu identifizierenden Betrugsarten, da der Zugang zu Konten über mehrere Kanäle erfolgt und der Wunsch besteht, die Reibung im Kundenerlebnis zu reduzieren."
Technologien, die helfen können, Betrug bei neuen Konten zu verhindern
Digitale Identitätsüberprüfung
Finanzinstitute implementieren zunehmend digitale Identitätsüberprüfungs-Technologien als Teil des Remote-Kontoeröffnungsprozesses, um Identitätsbetrug zu verhindern, bevor er zu einem neuen Konto wird. Lösungen wie OneSpan Identity Verification basieren auf Algorithmen zur Dokumentenprüfung und zum Gesichtsvergleich, um gefälschte und gestohlene Identitätsdokumente zu erkennen. Die Kombination von Gesichtsbiometrie und digitaler ID-Dokumentenüberprüfung kann sicherstellen, dass ein Antragsteller tatsächlich die Person ist, die er vorgibt zu sein, und nicht ein Cyberkrimineller. Dies kann auch mit Risikoinformationen kombiniert werden (z. B. Nutzung einer Risiko-Engine, um bekannte bösartige Geräte, ISPs, Standorte usw. aus einer Blacklist zu markieren), und zwar während der Antragsphase, bevor der Antragsteller als Kunde akzeptiert wird.
So funktioniert das aus der Sicht des Kunden. Ein Kunde, der aus der Ferne ein neues Online-Konto eröffnet, wird aufgefordert, seine Identität digital zu verifizieren, indem er die Vorder- und Rückseite seines Führerscheins oder eines amtlichen Ausweises mit seinem Mobilgerät scannt. Wenn Sie neuen Kontobetrug sofort erkennen, indem Sie gefälschte staatliche Ausweise identifizieren, verringert sich die Wahrscheinlichkeit, dass Sie den Betrug später eindämmen müssen. Außerdem kann mit der passiven Liveness Detection festgestellt werden, ob ein Selfie, um das ein potenzieller Betrüger gebeten wurde, die Anwesenheit eines echten Menschen beweist. Mit Hilfe der Live-Erkennung lässt sich nachweisen, dass ein Bild nicht in betrügerischer Absicht erstellt wurde, z. B. durch hochauflösende Ausdrucke oder voraufgezeichnete Videos.
Echtzeit-Betrugspräventionssysteme mit Verhaltensüberwachung:
Systeme wie OneSpan Risk Analytics überwachen alle neuen Konten genau und in Echtzeit, was in den ersten 30 Tagen, in denen Betrug mit neuen Konten am wahrscheinlichsten ist, von entscheidender Bedeutung ist. Systeme mit der Fähigkeit zur Verhaltensüberwachung ermöglichen es Finanzinstituten, ruhende Konten, Konten mit ruhendem Status und hohe Ein- und Auszahlungen zu verfolgen, die über das hinausgehen, was aufgrund der Gehaltsdaten im Antrag des Kunden sinnvoll wäre.
Maschinelles Lernen:
Hierbei handelt es sich um eine Art von künstlicher Intelligenz (KI), die im Gegensatz zu Menschen große Mengen an unterschiedlichen Daten über digitale Kanäle hinweg in Echtzeit analysieren kann. Anti-Betrugssysteme, die auf maschinellem Lernen basieren, haben die Fähigkeit, Daten auf mehreren Ebenen zu aggregieren und zu analysieren. So kann ein Finanzinstitut sofort alle möglichen Beziehungen über Benutzer, Geräte, Transaktionen und Kanäle hinweg erkennen, um Betrugsverhalten genauer zu identifizieren.
Wenn ein verdächtiges Verhalten über einen High-Risk-Score erkannt wird, kann die Risiko-Engine dann eine dynamische Workflow-Änderung zur Erhöhung der Sicherheit oder einen manuellen Überprüfungsprozess ansteuern. Es kann dann aktiv vom Betrugspräventionsteam überwacht und zur Untersuchung eskaliert werden.