Cyber-Kriminalität hat in den letzten Jahren rasant zugenommen – auch in Deutschland. Der aktuelle Lagebericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) verzeichnete 2020 mehr als 322.000 Attacken pro Tag. Viele dieser Angriffe beginnen mit Social-Engineering, also der Manipulation von unwissenden Kontoinhabern. Dem Branchenverband Bitkom zufolge entstehen der deutschen Wirtschaft allein durch Diebstahl, Spionage und Sabotage jährlich ein Gesamtschaden von mehr als 220 Milliarden Euro.
Der Anfang vom Ende: Phishing
Beim Social-Engineering nutzen die Kriminellen den „Faktor Mensch“ als schwächstes Glied der Sicherheitskette aus. Die älteste und nach wie vor am weitesten verbreitete Variante ist das sogenannte Phishing, das in vielen Fällen als Einstiegsszenario für komplexere, mehrstufige Attacken dient: Die Täter verschicken eine gefälschte E-Mail oder SMS („Smishing“), die vermeintlich von der Bank oder einer anderen vertrauenswürdigen Organisation stammt. Öffnet das Opfer die angehängte Datei, wird automatisch eine Malware eingeschleust, über die die Kriminellen an wertvolle Informationen wie die Login-Daten des Nutzers gelangen.
Laut einer Studie des Bitkom haben 41 Prozent der Unternehmen in Deutschland in jüngster Zeit mit Phishing oder Smishing zu kämpfen gehabt. Der Branchenverband führt dies auf die veränderten Arbeitsbedingungen während der Corona-Pandemie zurück. Er fordert Firmen nachdrücklich auf, die Geräte der Mitarbeiter im Homeoffice ausreichend zu sichern, die Kommunikationskanäle zum Unternehmen zu schützen und die Belegschaft für Gefahren zu sensibilisieren. Auch der Sicherheitsspezialist Sophos, der 5400 IT-Experten weltweit zu ihren Erfahrungen mit Social-Engineering befragt hat, registriert eine deutliche Zunahme von Phishing- und vor allem Smishing-Angriffen. Offenbar seien Mitarbeiter im häuslichen Umfeld eher bereit, den Aufforderungen eines vermeintlich seriösen Anbieters nachzukommen. Hinzu komme das verstärkte Informationsbedürfnis der Menschen in Zeiten der Pandemie sowie ein rasanter Anstieg von Online-Einkäufen, die häufig vom Arbeitsrechner getätigt werden.
Voice Scams: Ein persönlicher Betrugsversuch auf Bankkoten
Eine weitere Form von Social-Engineering, die massive finanzielle Schäden anrichten kann, ist der Zahlungsbetrug in Echtzeit, auch Authorized-Push-Payment-Betrug (APP) genannt: Kriminelle geben sich als Mitarbeiter einer Bank, einer Regierungsbehörde oder einer anderen vertrauenswürdigen Organisation aus und überzeugen ihr Opfer, einen bestimmten Betrag oder ihr gesamtes Guthaben „zur sicheren Aufbewahrung“ auf ein anderes Konto zu überweisen. Da die Cyberkriminellen ihre Opfer in der Regel telefonisch kontaktieren, werden solche Betrugsversuche auch als Voice Scams bezeichnet. Laut der Umfrage „2021 State of the Phish“ von Proofpoint haben mindestens 62 Prozent der deutschen Unternehmen schon einmal einen Betrugsversuch per Telefonanruf erlebt.
Je mehr Informationen die Täter vorher über ihr Opfer erbeutet haben, desto wahrscheinlicher ist der Erfolg dieser Methode. Diese persönlichen Daten können aus Social-Media-Profilen entnommen oder durch einen Databreach im Darkweb erworben werden. Die Kriminellen nutzen diese Informationen, um Glaubwürdigkeit und Vertrauen aufzubauen und dadurch ihre Opfer zu manipulieren, damit diese eine autorisierte Überweisung auslösen. Sie umgehen so die Sicherheitsprozesse von Banken und verschaffen sich unbefugt Zutritt zu den Kundenkonten. Authorized-Push-Payment-Betrug zu erkennen, ist schwierig, weil der Cyber-Kriminelle nicht direkt mit der Bankplattform interagiert, sondern den ahnungslosen Bankkunden dazu bringen kann, eine Zahlung oder Überweisung auszuführen. Da sich der Benutzer vom eigenen Gerät und von einem gültigen Standort anmeldet, wird bei der Bank oft zu spät Verdacht geschöpft. Denn die meisten Kontrollen erfolgen gerätebasiert. Auch die Multi-Faktor-Authentifizierung (MFA) greift nicht, da sich ein legitimer Benutzer in das Bankkonto einloggt und durch das eigene Gerät den Authentifizierungsprozess abschließt.
Betrugserkennung in Echtzeit mithilfe von Verhaltensbiometrie
Das Problem bei Social-Engineering-Angriffen in Echtzeit: Die herkömmlichen Kontrollen – etwa die Identifizierung des Endgeräts, der IP und des Standorts – reichen nicht mehr aus. Selbst Out-of-Band-Methoden wie das Versenden eines Einmal-Passworts (OTP) per SMS bieten keinen Schutz, da die Transaktionen durch echte Bankkunden mit eigenen Endgeräten erfolgen.
Abhilfe schaffen Technologien auf Basis von Verhaltensbiometrie, mit denen sich die Identität von Personen während der Abwicklung ihrer Bankgeschäfte verifizieren lässt. So nutzt BioCatch datenbasierte Erkenntnisse, um „echte“ von „betrügerischen“ Verhaltensmustern zu unterscheiden. Gemeinsam mit seinen Kunden hat das Unternehmen Risikomodelle entwickelt, mit deren Hilfe sich eine Vielzahl von Bedrohungen identifizieren lassen. Auf diese Weise können Finanzinstitute Betrugsversuche in Echtzeit erkennen und rechtzeitig stoppen. Denn das Verhaltensmuster eines echten Nutzers unterscheidet sich während einer Transaktion, wenn die Person unter dem Einfluss eines Cyberkriminellen handelt.
Ein Beispiel: Bei der National Australia Bank hatte eine Kundin unter Anleitung eines Betrügers versucht, ihr Transaktionslimit von 20.000 Dollar auf 100.000 Dollar zu erhöhen. Sie meldete sich mit dem richtigen Benutzernamen und Kennwort an. Anhand einer Software auf Basis von Verhaltensbiometrie stellten die Sicherheitsexperten der Bank fest, dass sich das Verhalten der Kundin deutlich von ihrem Verhalten bei früheren Transaktionen unterschied: „Die Art und Weise, wie und wie häufig sie ihre Maus benutzte, sah plötzlich anders aus“, erklärte Chris Sheehan, ein Untersuchungsleiter der National Australia Bank. Das Finanzinstitut kontaktierte die Kundin umgehend und konnte sie rechtzeitig warnen.
Neben der Mausnutzung gibt es noch weitere Verhaltensmuster, die darauf hindeuten, dass Bankkunden eine Transaktion unter der Anleitung eines Cyberkriminellen ausführen:
Ob Phishing, Smishing oder ausgefeiltere Methoden wie Voice Scams, Social-Engineering-Angriffe nehmen unaufhaltsam zu – weltweit. Und wie es aussieht, wird 2021 alle Rekorde brechen: Allein in den ersten Monaten dieses Jahres ist die Zahl der von BioCatch aufgedeckten Social-Engineering-Betrugsfälle im Vergleich zum Vorjahreszeitraum um 87 Prozent gestiegen. Gefragt sind daher neue Kontrollmechanismen, die nicht gerätebasiert arbeiten, sondern das Verhalten des Nutzers in Echtzeit analysieren und betrügerische Anrufe schnell erkennen.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…