Social-Engineering im Finanzsektor: Der menschliche Faktor, das schwächste Glied in der Sicherheitskette

Mithilfe von Verhaltensbiometrie lässt sich Cyberbetrug in Echtzeit erkennen.

Die Gefahr, Opfer von Cyberkriminellen zu werden, steigt zunehmend. Im vergangenen Jahr registrierte das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinem Lagebericht 322.000 Attacken pro Tag [1]. Auch Banken und Finanzinstitute geraten verstärkt in den Fokus der Kriminellen. Vor allem Fälle von Social-Engineering-Betrug häufen sich. Hier nutzen Hacker das schwächste Glied der Sicherheitskette – den Faktor Mensch. Diese Art von Betrug kommt seit Jahren hauptsächlich in Form von Phishing und Vishing (Voice Phishing) zum Einsatz. 

Wenn der Bankberater anruft: Betrug in Echtzeit. Eine spezielle Variante von Social Engineering, die großen finanziellen Schaden anrichten kann, ist der sogenannte Echtzeitbetrug, auch Authorized-Push-Payment-Betrug (APP) genannt. Bei dieser Methode nutzen Kriminelle die persönlichen Daten ihrer Opfer, die sie durch Datenschutzverletzungen im Darkweb erworben oder von Social-Media-Profilen erbeutet haben, um die nötige Authentizität herzustellen. Je mehr Informationen den Tätern zur Verfügung stehen, desto authentischer können sie auftreten. Dabei kontaktieren sie ihre Opfer via Telefon und geben sich als Vertreter einer Regierungsbehörde, als Mitarbeiter der Bank oder einer anderen offiziellen Organisation aus. Dadurch können sie die angerufene Person dazu bringen, einen bestimmten Betrag auf ein anderes Konto zu überweisen. Die Sicherheitsprozesse der Banken lassen sich umgehen, da ein echter Kontoinhaber die Überweisung auslöst. Auch die Multi-Faktor-Authentifizierung (MFA) bietet damit keinen Schutz. 

Anzeige

 

Da es sich um einen legitimen Nutzer handelt, der sich von einem gültigen Standort anmeldet und den Authentifizierungsprozess mit dem eigenen Endgerät abschließt, lässt sich der Betrug nur sehr schwer erkennen. Denn die üblichen Kontrollen – beispielsweise die Identifizierung des Standorts, des Endgeräts oder der IP – reichen nicht mehr aus. Selbst Out-of-Band-Methoden wie die Authentifizierung mit einem Einmal-Passwort (OTP) per SMS lassen sich umgehen. Hacker, die solche Angriffe durchführen, verfügen zudem meist über ein ausgefeiltes Skript und kennen die Sicherheitspraktiken und -verfahren einer Bank. Erschwerend kommt hinzu, dass die Cyberkriminellen bei Social-Engineering-Methoden emotionale Reaktion ihres Opfers hervorrufen. 

Authorized-Push-Payment-Betrug mit Verhaltensbiometrie erkennen. Der Schaden, den Cyberkriminellen mit solchen Methoden anrichten, ist hoch: Im Durchschnitt verlieren die Opfer eines Authorized-Push-Payment-Betrugs 10.000 Dollar. Technologien auf Basis von Verhaltensbiometrie können diese Art von Betrügerei jedoch erkennen. Denn die Identität einer Person lässt sich damit während der kompletten Abwicklung der Bankgeschäfte verifizieren. BioCatch nutzt datenbasierte Erkenntnisse, um Verhaltensweisen von »echten« und manipulierten Nutzern zu unterscheiden. Zusammen mit seinen Kunden hat BioCatch Risikomodelle entwickelt, mit denen sich eine Vielzahl von Bedrohungen identifizieren lassen. Zudem gibt es klare Verhaltensmuster, die »echte« von »betrügerischen« Aktivitäten während einer Online-Sitzung unterscheiden und die Manipulation durch einen Cyberkriminellen aufzeigen können: 

  • Ungewöhnliche Dauer der Sitzung: Die Sitzung dauert erheblich länger als gewöhnlich, und der Kontoinhaber zeigt auffällige Verhaltensmuster wie ziellose Mausbewegungen. Dies kann darauf hindeuten, dass die Person nervös ist oder unter Druck steht, während sie auf die Anweisungen eines Kriminellen wartet. 
  • Segmentierte Tastaturanschläge: Wenn das Tippen Unterbrechungen aufweist, kann das ein Zeichen dafür sein, dass die Kontonummer von dem Täter vorgelesen wird und damit keine routinierte Eingabe möglich ist. 
  • Zögerliches Agieren: Die Zeit, die benötigt wird, um einfache, intuitive Aktionen wie das Bestätigen einer Angabe auszuführen, steigt signifikant an.
  • Unüblicher Umgang mit dem Endgerät: Die Ausrichtung des Geräts ändert sich häufig. Das kann darauf hindeuten, dass der eingeloggte Nutzer sein Smartphone immer wieder ablegt oder aufnimmt, um die Anweisungen des Kriminellen entgegenzunehmen. 

Die Anatomie eines Social-Engineering-Betrugs – ein Beispiel. Eine Kundin der National Australia Bank wurde unter Anleitung von Cyberkriminellen angewiesen, ihr Transaktionslimit auf 100.000 Dollar zu erhöhen. Dabei verwendete die legitimierte Person ihren Benutzernamen und ihr Kennwort. Die Sicherheitsexperten konnten den Betrug aber verhindern, da sich die Kundin anders als bei früheren Transaktionen verhielt. Unter anderem bewegte sie ihre Maus anders als bisher. Dadurch konnten die Mitarbeiter der Bank rechtzeitig eingreifen, und die Kundin warnen.

In den meisten Fällen gibt es nach einem erfolgreichen Social-Engineering-Delikt keine Möglichkeit mehr, das Geld des Opfers zurückzuverfolgen. Um Kunden vor finanziellen Schäden zu schützen, ist es daher unabdingbar, den Betrug in dem Moment zu erkennen, in dem er stattfindet. Der Einsatz von Verhaltensbiometrie kann erhebliche Verluste verhindern und Kunden sowie Vermögen von Unternehmen umfassend schützen.

 


Ayelet Biger-Levin,
Vice President Market Strategy,
BioCatch

 

[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/
BSI/Publikationen/Lageberichte/Lagebericht2020.pdf

 

Illustration: © ngaga/shutterstock.com