Sicherheit

Account Takeover: Wenn der Kunde ein Betrüger ist

Cyberkriminelle haben Kontoübernahmen (Account Takeover, ATO) als sehr lukrative und skalierbare Methode für betrügerische Angriffe auf Banken entdeckt. Die Kriminellen greifen erfolgreich auf die Konten legitimer Nutzer zu, um Finanzbetrug zu begehen. Die Opfer dieser finanziell motivierten Attacken werden oft mehrfach geschädigt und die Möglichkeiten der Betrüger sind vielfältig.

Eine Studie des Research-Unternehmens Aberdeen in Zusammenarbeit mit der auf sichere Login-Lösungen spezialisierten Nevis Security AG zeigt die Top 3 der für die Kriminellen am gewinnbringendsten Hacks als Folge einer Kontoübernahme. An erster Stelle stehen mit fast 40 Prozent betrügerische Transaktionen. Mit jeweils knapp 35 Prozent teilen sich die Bereiche „Anlegen neuer Konten“ und „fehlerhafte Ablehnung von Kartenzahlungen“ den zweiten Platz.

Die quantitative Analyse von Aberdeen zeigt auch, dass die Gesamtauswirkungen von Kontoübernahmen so immens geworden sind, dass sie zu signifikanten Geschäftsrisiken für die Banken führen können. So beläuft sich der finanzielle Schaden in der EMEA-Region auf bis zu 13,3 Mio. USD pro Jahr. Dabei ist noch nicht berücksichtigt, dass Kunden nach einem Sicherheitsvorfall oder anderen schlechten Erfahrungen das Finanzinstitut wechseln und ihm so weiter Einnahmen entgehen.

Nevis hat die fünf häufigsten Angriffsmethoden zusammengestellt, auf die der Finanzsektor achten sollte und die Kontoübernahmen zur Folge haben können.

  1. Phishing und Social Engineering: Mit über 17 Prozent steht diese Angriffsmethode an vierter Stelle. Die Angreifer nutzen dabei das Vertrauen der Nutzer in die vermeintlichen Absender aus. Längst setzen sie nicht mehr nur auf E-Mails und SMS, um an Kontodaten zu gelangen, sondern manipulieren vermehrt über Telefonanrufe.
  2. Brute-Force-Angriffe: Mit über 18 Prozent Häufigkeit liegt diese Angriffsmethode auf Platz 3. Die Cyberkriminellen nutzen dafür Tools, mit denen sie Zugangsdaten automatisiert ausprobieren können. Diese Angriffsmethode ist erfolgversprechend, da oft nicht so komplizierte und variable Passwörter verwendet werden, wie es Sicherheitsexperten empfehlen.
  3. Keylogger-Angriffe: Bei dieser Methode verwenden Kriminelle Hard- oder Software, um Tastatureingaben zu protokollieren. So können Buchstaben- und Zahlenkombinationen aufgezeichnet und Login-Daten rekonstruiert werden.
  4. Man-In-The-Middle-Angriffe: Bei diesem Angriffstyp schaltet sich ein Mittelsmann zwischen die Übertragung zweier Kommunikationsnetze und kann so die Verschlüsselung umgehen. Der Angreifer hat dann Zugriff auf verschiedene sensible Daten.
  5. Credential Stuffing: Cyberkriminelle greifen auf Zugangsdaten zurück, die durch ein Datenleck öffentlich geworden sind oder im Dark Web gekauft wurden. Über Bots starten sie dann massenhaft Login-Versuche bei anderen Online-Diensten. Da Nutzer oft dieselben Zugangsdaten für mehrere Accounts verwenden, stehen die Chancen gut, dass es den Angreifern gelingt, einen weiteren Account zu übernehmen. Angriffe über Credential Stuffing bleiben oft unentdeckt, da sich bei der Account-Übernahme ein „legitimer“ Kunde einloggt.

„Um die Sicherheit zu gewährleisten, ist die Authentifizierung beziehungsweise die Überprüfung der Identität des Benutzers während des Anmeldevorgangs von entscheidender Bedeutung“, erklärt Stephan Schweizer, CEO der Nevis Security AG. „Einerseits ist es wichtig, die Sicherheit der hochsensiblen Finanzdaten zu gewährleisten und andererseits das Nutzererlebnis so komfortabel zu gestalten, dass sich der Kunde zu keinem Zeitpunkt gestört fühlt. Doch genau hier hapert es bei vielen Banken und Finanzinstituten, wenn auch längst nicht bei allen: Statt beispielsweise auf aktuelle Formen der passwortlosen Authentifizierung nach dem international anerkannten FIDO-Standard zu setzen, sind bei diesen Finanzinstituten immer noch das M-TAN-Verfahren oder Hardware-Token im Einsatz. Das ist weder mit Blick auf die Sicherheit noch auf die Benutzerfreundlichkeit ein Idealzustand“.

Auch bei nachgelagerten Verifikationsfunktionen wie Geolokalisierung oder User Behavior Analytics (UBA) zögern Banken oft, neueste Technologien einzusetzen. Mittelfristig wird es sich kein Finanzinstitut leisten können, die Modernisierung der eigenen Software-Infrastruktur aufzuschieben. Der Wunsch vieler Institute ist es daher, Software ohne aufwändige Anpassungen als Modul nutzen zu können. „In den letzten Jahren ist das Angebot an entsprechenden Lösungen, die von externen Dienstleistern entwickelt wurden, stark gewachsen. Sie bieten die notwendige bankfachliche Sicherheit, können aber ‚out of the box‘ eingesetzt werden; also so, wie sie konzipiert wurden, ohne dass unzählige Erweiterungen programmiert werden müssen. Das vereinfacht Release-Zyklen und eilige Upgrades, wie sie etwa zur Behebung einer Sicherheitslücke notwendig sein können“, berichtet Schweizer.

Über die Nevis Security AG

Nevis entwickelt Sicherheitslösungen für die digitale Welt von morgen: Das Portfolio umfasst passwortfreie Logins, die sich intuitiv bedienen lassen und Nutzerdaten optimal schützen. In der Schweiz ist Nevis Marktführer für Identity und Access Management und sichert über 80 Prozent aller E-Banking-Transaktionen. Weltweit setzen Behörden sowie führende Dienstleistungs- und Industrieunternehmen auf Lösungen von Nevis. Der Spezialist für Authentifizierung unterhält Standorte in der Schweiz, Deutschland, UK und Ungarn.

Firmenkontakt und Herausgeber der Meldung:

Nevis Security AG
Birmensdorferstrasse 94
CH8003 Zurich
Telefon: +49 (89) 8038684
http://www.nevis.net

Ansprechpartner:
Mareike Funke
Telefon: +49 (89) 1730-1938
E-Mail: nevis-security@teamlewis.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel