Social-Engineering im Finanzsektor: Der menschliche Faktor als schwächstes Glied

Cyber-Kriminalität hat in den letzten Jahren rasant zugenommen – auch in Deutschland. Der aktuelle Lagebericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) verzeichnete 2020 mehr als 322.000 Attacken pro Tag. Viele dieser Angriffe beginnen mit Social-Engineering, also der Manipulation von unwissenden Kontoinhabern. Dem Branchenverband Bitkom zufolge entstehen der deutschen Wirtschaft allein durch Diebstahl, Spionage und Sabotage jährlich ein Gesamtschaden von mehr als 220 Milliarden Euro.

Der Anfang vom Ende: Phishing

Beim Social-Engineering nutzen die Kriminellen den „Faktor Mensch“ als schwächstes Glied der Sicherheitskette aus. Die älteste und nach wie vor am weitesten verbreitete Variante ist das sogenannte Phishing, das in vielen Fällen als Einstiegsszenario für komplexere, mehrstufige Attacken dient: Die Täter verschicken eine gefälschte E-Mail oder SMS („Smishing“), die vermeintlich von der Bank oder einer anderen vertrauenswürdigen Organisation stammt. Öffnet das Opfer die angehängte Datei, wird automatisch eine Malware eingeschleust, über die die Kriminellen an wertvolle Informationen wie die Login-Daten des Nutzers gelangen.

Laut einer Studie des Bitkom haben 41 Prozent der Unternehmen in Deutschland in jüngster Zeit mit Phishing oder Smishing zu kämpfen gehabt. Der Branchenverband führt dies auf die veränderten Arbeitsbedingungen während der Corona-Pandemie zurück. Er fordert Firmen nachdrücklich auf, die Geräte der Mitarbeiter im Homeoffice ausreichend zu sichern, die Kommunikationskanäle zum Unternehmen zu schützen und die Belegschaft für Gefahren zu sensibilisieren. Auch der Sicherheitsspezialist Sophos, der 5400 IT-Experten weltweit zu ihren Erfahrungen mit Social-Engineering befragt hat, registriert eine deutliche Zunahme von Phishing- und vor allem Smishing-Angriffen. Offenbar seien Mitarbeiter im häuslichen Umfeld eher bereit, den Aufforderungen eines vermeintlich seriösen Anbieters nachzukommen. Hinzu komme das verstärkte Informationsbedürfnis der Menschen in Zeiten der Pandemie sowie ein rasanter Anstieg von Online-Einkäufen, die häufig vom Arbeitsrechner getätigt werden.

Voice Scams: Ein persönlicher Betrugsversuch auf Bankkoten

Eine weitere Form von Social-Engineering, die massive finanzielle Schäden anrichten kann, ist der Zahlungsbetrug in Echtzeit, auch Authorized-Push-Payment-Betrug (APP) genannt: Kriminelle geben sich als Mitarbeiter einer Bank, einer Regierungsbehörde oder einer anderen vertrauenswürdigen Organisation aus und überzeugen ihr Opfer, einen bestimmten Betrag oder ihr gesamtes Guthaben „zur sicheren Aufbewahrung“ auf ein anderes Konto zu überweisen. Da die Cyberkriminellen ihre Opfer in der Regel telefonisch kontaktieren, werden solche Betrugsversuche auch als Voice Scams bezeichnet. Laut der Umfrage „2021 State of the Phish“ von Proofpoint haben mindestens 62 Prozent der deutschen Unternehmen schon einmal einen Betrugsversuch per Telefonanruf erlebt.

Je mehr Informationen die Täter vorher über ihr Opfer erbeutet haben, desto wahrscheinlicher ist der Erfolg dieser Methode. Diese persönlichen Daten können aus Social-Media-Profilen entnommen oder durch einen Databreach im Darkweb erworben werden. Die Kriminellen nutzen diese Informationen, um Glaubwürdigkeit und Vertrauen aufzubauen und dadurch ihre Opfer zu manipulieren, damit diese eine autorisierte Überweisung auslösen. Sie umgehen so die Sicherheitsprozesse von Banken und verschaffen sich unbefugt Zutritt zu den Kundenkonten. Authorized-Push-Payment-Betrug zu erkennen, ist schwierig, weil der Cyber-Kriminelle nicht direkt mit der Bankplattform interagiert, sondern den ahnungslosen Bankkunden dazu bringen kann, eine Zahlung oder Überweisung auszuführen. Da sich der Benutzer vom eigenen Gerät und von einem gültigen Standort anmeldet, wird bei der Bank oft zu spät Verdacht geschöpft. Denn die meisten Kontrollen erfolgen gerätebasiert. Auch die Multi-Faktor-Authentifizierung (MFA) greift nicht, da sich ein legitimer Benutzer in das Bankkonto einloggt und durch das eigene Gerät den Authentifizierungsprozess abschließt.

Betrugserkennung in Echtzeit mithilfe von Verhaltensbiometrie

Das Problem bei Social-Engineering-Angriffen in Echtzeit: Die herkömmlichen Kontrollen – etwa die Identifizierung des Endgeräts, der IP und des Standorts – reichen nicht mehr aus. Selbst Out-of-Band-Methoden wie das Versenden eines Einmal-Passworts (OTP) per SMS bieten keinen Schutz, da die Transaktionen durch echte Bankkunden mit eigenen Endgeräten erfolgen.

Abhilfe schaffen Technologien auf Basis von Verhaltensbiometrie, mit denen sich die Identität von Personen während der Abwicklung ihrer Bankgeschäfte verifizieren lässt. So nutzt BioCatch datenbasierte Erkenntnisse, um „echte“ von „betrügerischen“ Verhaltensmustern zu unterscheiden. Gemeinsam mit seinen Kunden hat das Unternehmen Risikomodelle entwickelt, mit deren Hilfe sich eine Vielzahl von Bedrohungen identifizieren lassen. Auf diese Weise können Finanzinstitute Betrugsversuche in Echtzeit erkennen und rechtzeitig stoppen. Denn das Verhaltensmuster eines echten Nutzers unterscheidet sich während einer Transaktion, wenn die Person unter dem Einfluss eines Cyberkriminellen handelt.

Ein Beispiel: Bei der National Australia Bank hatte eine Kundin unter Anleitung eines Betrügers versucht, ihr Transaktionslimit von 20.000 Dollar auf 100.000 Dollar zu erhöhen. Sie meldete sich mit dem richtigen Benutzernamen und Kennwort an. Anhand einer Software auf Basis von Verhaltensbiometrie stellten die Sicherheitsexperten der Bank fest, dass sich das Verhalten der Kundin deutlich von ihrem Verhalten bei früheren Transaktionen unterschied: „Die Art und Weise, wie und wie häufig sie ihre Maus benutzte, sah plötzlich anders aus“, erklärte Chris Sheehan, ein Untersuchungsleiter der National Australia Bank. Das Finanzinstitut kontaktierte die Kundin umgehend und konnte sie rechtzeitig warnen.

Neben der Mausnutzung gibt es noch weitere Verhaltensmuster, die darauf hindeuten, dass Bankkunden eine Transaktion unter der Anleitung eines Cyberkriminellen ausführen:

• Unübliche Dauer der Sitzung: Die Sitzung nimmt deutlich mehr Zeit als gewöhnlich in Anspruch, während der eingeloggte Nutzer auffällige Verhaltensweisen wie ziellose Mausbewegungen zeigt. Das kann bedeuten, dass die Person nervös ist, während sie auf die Anweisungen des Kriminellen wartet.
• Unregelmäßige Tastaturanschläge: Wenn das Tippen Unterbrechungen aufweist, kann das darauf hindeuten, dass die Kontonummer von dem Cyberkriminellen abgelesen wird und damit keine routinierte Eingabe möglich ist.
• Zögerliches Agieren: Die Zeit für einfache und intuitive Aktionen, etwa das Bestätigen eines getätigten Schritts, steigt signifikant an.
• Ungewöhnlicher Umgang mit dem Endgerät: Die Ausrichtung des Geräts ändert sich häufig. Das kann bedeuten, dass der Nutzer sein Smartphone immer wieder ablegt oder aufnimmt, um die Anweisungen des Kriminellen entgegenzunehmen.

Ob Phishing, Smishing oder ausgefeiltere Methoden wie Voice Scams, Social-Engineering-Angriffe nehmen unaufhaltsam zu – weltweit. Und wie es aussieht, wird 2021 alle Rekorde brechen: Allein in den ersten Monaten dieses Jahres ist die Zahl der von BioCatch aufgedeckten Social-Engineering-Betrugsfälle im Vergleich zum Vorjahreszeitraum um 87 Prozent gestiegen. Gefragt sind daher neue Kontrollmechanismen, die nicht gerätebasiert arbeiten, sondern das Verhalten des Nutzers in Echtzeit analysieren und betrügerische Anrufe schnell erkennen.