Categories: Cybersicherheit

Wie Kriminelle die Multifaktor-Authentifizierung umgehen

MFA gilt eigentlich als eine der sichersten Methoden zum Schutz vor Bankkontenbetrug. Darüber hinaus werden passwortlose Authentifizierungsverfahren mit biometrischer Unterstützung immer beliebter. Cyber-Kriminelle verfügen jedoch über Methoden, um auch das beste MFA-Verfahren zu umgehen. Bei „einfachen“ passwortbasierten MFA-Verfahren nutzen sie gängige Social-Engineering-Attacken wie Phishing, Smishing oder Vishing. Bei als besonders sicher geltenden Authentisierungsverfahren, etwa auf Basis von Public-Key-Kryptographie und Biometrie, verlegen sich die Betrüger auf Social-Engineering-Angriffe in Echtzeit ­­­– zum Beispiel Law Enforcement Scams.

Beim Law Enforcement Scam geben sich Hacker als vermeintliche Mitarbeiter von Banken oder seriösen Behörden aus und drängen ihre Opfer in Echtzeit – beispielsweise per Telefon – dazu, sich in ihr Konto einzuloggen und eine Überweisung auszulösen. Auch WhatsApp wird für diese Masche immer beliebter. „Hier gibt sich der Betrüger als Familienmitglied aus, das sein Smartphone verloren hat und deshalb eine Nachricht von einer unbekannten Nummer versendet. Der vermeintliche Familienangehörige muss dringend eine Rechnung begleichen und fordert das Opfer auf, einen den entsprechenden Betrag auf ein bestimmtes Konto zu überweisen“, erklärt Wiebe Fokma von BioCatch.

Zusätzliche Sicherheit durch Verhaltensbiometrie

Das Problem: Herkömmliche Lösungen zur Betrugserkennung reichen hier nicht mehr aus. Da sich der Bankkunde selbst in sein Konto einloggt und die Transaktion auslöst, kann der Betrüger sogar die MFA umgehen. Es gibt aber Möglichkeiten, solche Betrugsfälle zu erkennen und zu stoppen. Ein wirksames Mittel ist die Beobachtung des Nutzerverhaltens, insbesondere wenn dieses vom bisherigen Muster abweicht. Ein für den Bankkunden bislang untypisches Verhalten kann ein Zeichen dafür sein, dass ein Betrugsversuch in Echtzeit vorliegt. Mit Hilfe von Verhaltensbiometrie lassen sich daher auch kriminelle Aktivitäten aufdecken, bei denen der Betrüger einen „legitimen“ Dritten für seine Zwecke einspannt.

Zu ungewöhnlichen Verhaltensweisen kann es kommen, weil der zu überweisende Geldbetrag und die Kontodaten von einer dritten Person diktiert werden. Dadurch ist das Opfer verunsichert, was sich in seinem zögerlichen Verhalten während der Kontositzung äußert. Beim Mobile Banking via Smartphone wird der Anruf zudem auf dem Gerät registriert, und die Bewegung des Mobilgeräts erfolgt vom Ohr des Bankkunden (Empfang der Anweisung) zum Gesicht (Eingabe beziehungsweise Bestätigung der Eingabe) und zurück. Analysen von BioCatch zeigen, dass die Opfer bei rund 40 Prozent der weltweit bestätigten Betrugsversuche während der aktiven Kontositzung ein Telefongespräch führten.

Verzögerte Tastatureingaben

Erfolgt die Überweisung am PC, können ziellose Mausbewegungen ein zusätzliches Indiz für einen Betrugsfall sein. Denn das Opfer befindet sich im Gespräch mit dem Kriminellen und muss gleichzeitig die Live-Sitzung aufrechterhalten. Ein weiteres Zeichen für Echtzeitbetrug sind verzögerte Tastatureingaben, da der getäuschte Bankkunde auf die Anweisungen des Anrufers wartet, während er die Überweisung tätigt.

Der Einsatz verhaltensbiometrischer Technologien ergänzt sichere MFA-Verfahren und bietet einen zusätzlichen Schutz vor Echtzeitbetrug: „Gerade Betrugsformen wie Law Enforcement Scams erfordern zusätzliche Methoden, um einen zusätzlichen Schutz von Banken und deren Kunden zu gewährleisten“, fasst Fokma zusammen.

Roger Homrich

Recent Posts

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

1 Tag ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

1 Tag ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

2 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

2 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

3 Tagen ago