Cyber-Betrug in Echtzeit: Wie Kriminelle die Multifaktor-Authentifizierung umgehen
Cyber-Kriminelle verfügen jedoch über Methoden, um auch das beste MFA-Verfahren zu umgehen. Bei „einfachen“ passwortbasierten MFA-Verfahren nutzen sie gängige Social-Engineering-Attacken wie Phishing, Smishing oder Vishing. Bei als besonders sicher geltenden Authentisierungsverfahren, etwa auf Basis von Public-Key-Kryptographie und Biometrie, verlegen sich die Betrüger auf Social-Engineering-Angriffe in Echtzeit – zum Beispiel Law Enforcement Scams.
Beim Law Enforcement Scam geben sich Hacker als vermeintliche Mitarbeiter von Banken oder seriösen Behörden aus und drängen ihre Opfer in Echtzeit – beispielsweise per Telefon – dazu, sich in ihr Konto einzuloggen und eine Überweisung auszulösen. Auch WhatsApp wird für diese Masche immer beliebter. „Hier gibt sich der Betrüger als Familienmitglied aus, das sein Smartphone verloren hat und deshalb eine Nachricht von einer unbekannten Nummer versendet. Der vermeintliche Familienangehörige muss dringend eine Rechnung begleichen und fordert das Opfer auf, einen den entsprechenden Betrag auf ein bestimmtes Konto zu überweisen“, erklärt Wiebe Fokma, Director EMEA Global Advisory bei BioCatch.
Zusätzliche Sicherheit durch Verhaltensbiometrie
Das Problem: Herkömmliche Lösungen zur Betrugserkennung reichen hier nicht mehr aus. Da sich der Bankkunde selbst in sein Konto einloggt und die Transaktion auslöst, kann der Betrüger sogar die MFA umgehen. Es gibt aber Möglichkeiten, solche Betrugsfälle zu erkennen und zu stoppen. Ein wirksames Mittel ist die Beobachtung des Nutzerverhaltens, insbesondere wenn dieses vom bisherigen Muster abweicht. Ein für den Bankkunden bislang untypisches Verhalten kann ein Zeichen dafür sein, dass ein Betrugsversuch in Echtzeit vorliegt. Mit Hilfe von Verhaltensbiometrie lassen sich daher auch kriminelle Aktivitäten aufdecken, bei denen der Betrüger einen „legitimen“ Dritten für seine Zwecke einspannt.
Zu ungewöhnlichen Verhaltensweisen kann es kommen, weil der zu überweisende Geldbetrag und die Kontodaten von einer dritten Person diktiert werden. Dadurch ist das Opfer verunsichert, was sich in seinem zögerlichen Verhalten während der Kontositzung äußert. Beim Mobile Banking via Smartphone wird der Anruf zudem auf dem Gerät registriert, und die Bewegung des Mobilgeräts erfolgt vom Ohr des Bankkunden (Empfang der Anweisung) zum Gesicht (Eingabe beziehungsweise Bestätigung der Eingabe) und zurück. Analysen von BioCatch zeigen, dass die Opfer bei rund 40 Prozent der weltweit bestätigten Betrugsversuche während der aktiven Kontositzung ein Telefongespräch führten.
Erfolgt die Überweisung am PC, können ziellose Mausbewegungen ein zusätzliches Indiz für einen Betrugsfall sein. Denn das Opfer befindet sich im Gespräch mit dem Kriminellen und muss gleichzeitig die Live-Sitzung aufrechterhalten. Ein weiteres Zeichen für Echtzeitbetrug sind verzögerte Tastatureingaben, da der getäuschte Bankkunde auf die Anweisungen des Anrufers wartet, während er die Überweisung tätigt.
Der Einsatz verhaltensbiometrischer Technologien ergänzt sichere MFA-Verfahren und bietet einen zusätzlichen Schutz vor Echtzeitbetrug: „Gerade Betrugsformen wie Law Enforcement Scams erfordern zusätzliche Methoden, um einen zusätzlichen Schutz von Banken und deren Kunden zu gewährleisten“, fasst Fokma zusammen.
BioCatch ist ein Pionier auf dem Gebiet der Analyse von menschlichem Verhalten und ein weltweit führender Anbieter von fortschrittlicher Betrugserkennung. Die Mission von BioCatch ist es, durch digitale Analysen des menschlichen Verhaltens umsetzbare Erkenntnisse für eine digitale Welt zu liefern, in der Identität, Vertrauen und eine nahtlose Customer Experience bestehen können. Heute nutzen über 100 Banken weltweit die Lösungen von BioCatch, um Betrug zu bekämpfen und die digitale Erfahrung ihrer Kunden zu verbessern. Zusammen mit American Express, Barclays, Citi Ventures, HSBC und der National Australia Bank hilft BioCatch seinen Kunden, kreative und innovative Wege zu erschließen, um Datenerkenntnisse aus dem Nutzerverhalten für die Betrugsbekämpfung zu nutzen. Mit mehr als zehn Jahren Erfahrung in der Datenanalyse sowie über 80 eingetragenen Patenten arbeitet BioCatch kontinuierlich an Innovationen, um den zukünftigen Herausforderungen der digitalen Transformation zu begegnen. Unter folgendem Link finden Sie weitere Informationen: www.biocatch.com
BioCatch
12 East 49th Street
NY 10017 New York
Telefon: +1 (917) 338-6544
http://www.biocatch.com/
LEWIS Communications
Telefon: +49 (89) 173019-38
E-Mail: BioCatchGER@teamlewis.com