Ausgefeilter Cross-Channel-Betrug kann hohe Sicherheitsmaßnahmen der Banken aushebeln

Ausgefeilter Cross-Channel-Betrug kann hohe Sicherheitsmaßnahmen der Banken aushebeln

Kunden haben mehrere Möglichkeiten, um auf ihre Bankkonten zuzugreifen. Sie können persönlich zu ihrer Bank gehen, über einen PC das Internet nutzen, den Kundenservice anrufen oder eine mobile App starten. Dabei sind die meisten Banken zuversichtlich, jeden einzelnen Kanal erfolgreich absichern zu können. Hingegen sind Banken weniger überzeugt von ihrer Fähigkeit, einen Betrug zu erkennen, wenn ein Krimineller im Internet über mehrere Kanäle eindringt.

Hier die Gründe:

  • Die einzelnen Kanäle werden durch unterschiedliche Backend-Systeme bedient.
  • Die Kanäle teilen normalerweise keine Daten untereinander aus.
  • Wenn Kriminelle im Internet die Online-Kanäle nur für die Informationssammlung verwenden, wird dies in der Regel nicht registriert.
  • Im Falle einer Sicherheitslücke konzentriert sich die kriminaltechnische Untersuchung ausschließlich auf die einzelne Fehlerstelle und nicht auf die Interaktionen, die zum Fehler geführt haben.

Um dem Kundenwunsch nach Schnelligkeit und Bedienungsfreundlichkeit entgegen zu kommen, vertrauen Banken stark auf die Möglichkeiten der Informationstechnologie, die automatisierte Prozesse zur Validierung der Identität einer Person einsetzen und eine Transaktion freigeben. In dem Fall, dass ein Krimineller im Internet erfolgreich in einen Kanal eindringen konnte, kann der clevere Betrüger anschließend andere Kanäle nutzen, ohne einen Sicherheitsalarm auszulösen. Wenn der Betrüger erst einmal die Zielpersona übernommen hat, hat er auf jeder Stufe Zugriff auf die Login-Daten und die Sicherheitsinformationen, die das geschlossene System als Hinweis auf die echte Identität wahrnimmt. Cross-Channel-Betrug ist eine der geläufigsten Techniken, die bei Cyberkriminalität eingesetzt wird, um sich Zugriff auf Bankkonten zu verschaffen (“Account Takeover”). Bei einer erfolgreichen Kontoübernahme ist das Bankkonto leer und das Geld schlichtweg verloren.

In dem Beispiel verwendet der Betrüger zuerst Malware, um die Zugangsdaten des Nutzers zu stehlen, dann loggt er sich in einer anderen Umgebung ein, um schlussendlich einen zweiten Kanal wirksam einzusetzen – ein Call-Center. Cross-Session-Betrug, bei dem ein Krimineller im Internet denselben Kanal für mehrere Aktivitäten nutzt, ist eine Variante des Cross-Channel-Betrugs. Dasselbe gilt für Social-Engineering-Angriffe, bei denen Menschen unwissentlich von Betrügern oder Hackern eingesetzt oder manipuliert werden. Hier ein gutes Beispiel eines Cross-Session-, Social- Engineering-Angriffs, verübt auf europäische Banken, bei denen Malware (ein Ramnit-Trojaner) sehr überzeugende, interaktive Botschaften in Echtzeit in eine Online-Banking-Sitzung eines Kunden einfließen ließ:

  1. Dank des Ruhemodus vermeidet Malware eine Erkennung, bis das Zielopfer sich in seinen Online-Bankkonto einloggt.
  2. Malware aktiviert und präsentiert eine betrügerische Phishing-Botschaft.
  3. Varianten der Malware zeigen dem Opfer neue Eingabefelder, Sicherheitswarnungen und kundenbezogenen Text während des Login-Vorgangs, der Account-Navigation und der Transaktionen.
  4. Während das Opfer die Botschaften liest, verbindet sich Ramnit mit seinem Command-and-Control-Server und erhält die Details des für die Geldwäsche bestimmten Bankkontos.
  5. Ein elektronischer Zahlungstransfer wird veranlasst.

Offensichtlich hat Cross-Channel-Betrug das Schlachtfeld der Cyberkriminalität verändert. Er zwingt Banken dazu, ihre Online-Betrugsstrategien von einer anderen Perspektive aus kritisch zu beleuchten. Die beste Art und Weise einen Betrüger dingfest zu machen, der einen Cross-Channel-Betrug verübt, besteht darin, die Vogelperspektive einzunehmen und sein interaktives Verhalten über die Kanäle hinweg zu betrachten.

Andreas Baumhof, CTO von ThreatMetrix, Anbieter von Sicherheitssystemen, die vor Online-Betrug sowie AccountÜbernahme schützen, sagt: “In dem Maße, in dem Betrugsmuster immer ausgefeilter werden und mehr organisatorische Einheiten betreffen, müssen Banken sowohl in integrierte Analytik als auch in herkömmliche Channel-Sicherheit investieren.”

Banken beginnen, Cross-Channel-Betrug ernst zu nehmen und suchen nach Wegen, umgehend dagegen vorzugehen. Ganz oben auf ihrer Liste steht die Implementierung einer gemeinsamen Plattform, die sowohl vertrauenswürdige Nutzer als auch potentielle Bedrohungen über mehrere Kanäle hinweg identifiziert – im Internet, im mobilen Web, in Applikationen, im Call-Center und in der Bankniederlassung. Mit einem 360°-Blick auf alle Kundeninteraktionen fällt verdächtiges Verhalten sehr viel leichter auf.

Cross-Channel-Betrug ist normalerweise möglich, weil clevere Kriminelle im Internet in der Lage sind, weit über den Diebstahl einer Kontonummer, eines Passwortes und eines PIN-Codes hinaus zu gehen. Sie setzen soziale Medien, Web-Browsing und Recherchen innerhalb des anvisierten Bankkontos ein, um vollständig die Identität des Opfers annehmen zu können. Sie verstehen, wie traditionelle Sicherheitssysteme funktionieren und bereiten sich darauf vor, jede Sicherheitsstufe in jedem Kanal durchbrechen zu können.

Ein Schlüssel, um Cross-Channel-Betrug zu stoppen, besteht darin, dass die Bank ein vollständigeres Profil des Kunden hat, als ein Krimineller im Internet es jemand erreichen könnte. Das erfordert das Verständnis für das Online Verhalten der Kunden, wo sie sich womöglich aufhalten, welches Gerät bzw. welche Geräte sie verwenden und welche Aktivitäten sie normalerweise ausführen. Dank fortschrittlicher Technologien und leistungsstarker globaler Datenbanken liegen diese Informationen den Banken heute in Echtzeit vor. Sollte sich jemand von einem unbekannten Gerät aus einloggen oder ungewöhnliches Verhalten zeigen, kann dies sofort erkannt und für eine weitere Prüfung markiert werden. Malware-Erkennung ist ein weiteres Tool, um Cross-Channel-Betrug zu unterbinden. Heute gibt es Technologien, die Malware erkennen, so dass Banken in der Lage sind, Transaktionen oder Online-Aktivitäten von infizierten Geräten zu sperren. Banken können ihre Kunden auch über das Problem informieren und andere Wege wählen, um vertrauenswürdige Kunden zu authentifizieren, so dass diese ihre Transaktionen abschließen können.

Bei globalen Intelligence-Netzwerken, die Milliarden von Webtransaktionen nachverfolgen, hat Cyberkriminalität wenig Spielraum. Die damit verbundenen digitalen Fußabdrücke werden entweder aufgezeichnet oder leicht entdeckt. Indem Banken diese Intelligenz über alle Kanäle hinweg integrieren und mit Malware infizierte Geräte abblocken, können sie Cross-Channel-Betrug weitgehend stoppen.

Cyberkriminelle setzen unterschiedliche Kanäle für die betrügerische Übernahme von Bankkonten ein

Cyberkriminelle setzen unterschiedliche Kanäle für die betrügerische Übernahme von Bankkonten ein

Artikel von ThreatMetrix