Scamming-Versuche sind in Deutschland im vergangenen Jahr massiv angestiegen. Laut einer Studie des Branchenverbands Bitkom e. V. waren acht von zehn Personen von Cyber-Kriminalität betroffen – ein deutlicher Anstieg zu 2020. 15 Prozent der Studienteilnehmer gaben zudem an, dass sie Opfer von Online-Banking-Betrug waren.
Die Kriminellen werden bei ihren Vorgehensweisen immer raffinierter und fügen ihren Opfern einen hohen finanziellen Schaden zu, so die Autoren der Studie weiter. Ihre Methoden reichen von SMS-Phishing (Smishing), Voice-Phishing (Vishing) bis zu Social-Engineering in Echtzeit. Abhilfe schaffen Lösungen, die mithilfe von Verhaltensbiometrie die Betrugsversuche frühzeitig erkennen.
In den vergangenen Jahren hat Cyber-Kriminalität beständig zugenommen. Die Einstiegsszenarien sind häufig Social-Engineering-Attacken, die durch Phishing gestützt werden. Der Faktor Mensch als „schwächstes Glied“ in der IT-Sicherheitskette wird dabei für komplexe und mehrstufige Angriffe ausgenutzt.
Smishing als Einstiegsszenario
SMS-Phising, oder auch Smishing, ist eine Form von Social-Engineering-Angriffen, bei denen das Opfer über Handy oder Smartphone kontaktiert wird. Dabei erhalten die Nutzer eine Textnachricht, die scheinbar von einer seriösen Organisation stammt und einen Link enthält, der den Empfänger auf eine Phishing-Seite führt. Das potenzielle Opfer wird so dazu verleitet, private Informationen dem Angreifer zu senden oder eine Malware auf das Endgerät zu laden.
In aktuelleren Smishing-Fällen werden die Verbraucher direkt angesprochen, um sie vor einem Betrug oder einem anderen Problem mit ihrem Bankkonto zu warnen. Sobald der Benutzer antwortet, kontaktiert ihn der Betrüger auf seinem Mobiltelefon und gibt sich als vermeintlicher Bankmitarbeiter aus. Untersuchungen von BioCatch zeigen, dass Meldungen über diese Art von Betrugsversuchen im vergangenen Jahr weltweit um 140 Prozent zugenommen haben.
Smishing ist nach wie vor ein großes Problem, da die Betrüger Tausende von potenziellen Opfern innerhalb von Minuten durch SMS-Bots erreichen können. Diese Bots werden auch zum Abfangen von Einmal-Passwörtern (One-Time-Password oder OTP) verwendet, um die Zwei-Faktor-Authentifizierung für das Bankkonto zu umgehen.
Voice Scams und Social-Engineering-Attacken in Echtzeit
Voice Phishing oder auch Vishing ist eine Betrugsmethode, die ebenfalls unter die Kategorie Social-Engineering fällt. Bei dieser Vorgehensweise geben sich Cyber-Kriminelle als Vertreter einer seriösen Organisation aus und rufen ihre Opfer an. Durch Manipulation und gezielte Täuschung soll entweder die Kontrolle über das Endgerät oder die persönlichen Daten des Opfers erlangt werden.
Bei dem sogenannten Authorized-Push-Payment-Betrug (APP) haben die Täter vorab persönliche Informationen über ihr Opfer gesammelt. So lassen sich die Angerufenen leichter manipulieren. Der Cyber-Kriminelle bringt den Nutzer dann dazu, sich in seinem Bankkonto einzuloggen und einen bestimmten Betrag auf ein anderes Konto zu überweisen. Social-Engineering-Attacken in Echtzeit werden oft zu spät von den Sicherheitsexperten erkannt, da nicht der Betrüger mit dem Konto interagiert, sondern der echte Nutzer.
Demzufolge reichen übliche Sicherheitskontrollen wie die Identifizierung des Endgeräts, des Standortes oder der IP-Adresse allein nicht mehr aus. Sogar die Multifaktor-Authentifizierung (MFA) lässt sich durch APP leicht umgehen.
Betrugserkennung durch Verhaltensbiometrie
Abhilfe gegen diese Art von Betrug schaffen Technologien auf Basis von Verhaltensbiometrie. So lässt sich die Identität von Personen während der Abwicklung ihrer Bankgeschäfte in Echtzeit verifizieren. Dank datenbasierten Erkenntnissen können echte von betrügerischen Verhaltensmustern unterschieden werden. Denn das Verhalten eines Nutzers, der unter dem Einfluss eines Betrügers steht, unterscheidet sich während einer Transaktion von seiner üblichen Vorgehensweise:
- Ungewöhnliche Dauer der Sitzung: Die Kontositzung benötigt deutlich länger als gewöhnlich und der eingeloggte Nutzer zeigt auffällige Verhaltensweisen wie ziellose Mausbewegungen. Das legt den Schluss nahe, dass die Person nervös ist, während sie auf die Anweisungen des Betrügers wartet.
- Asymmetrische Tastaturanschläge: Weist das Tippen Unterbrechungen auf, kann das darauf hindeuten, dass die Kontonummer von dem Kriminellen abgelesen wird und damit für den Nutzer keine routinierte Eingabe möglich ist.
Zögerliches Agieren: Die Zeit für einfache und intuitive Aktionen steigt an – etwa das Bestätigen eines getätigten Schrittes. - Ungewöhnlicher Umgang mit dem Endgerät: Die Ausrichtung des Geräts ändert sich häufig. Das kann bedeuten, dass der Nutzer sein Smartphone immer wieder ablegt oder aufnimmt, um die Anweisungen des Betrügers entgegenzunehmen.
Die Betrugsmethoden werden immer raffinierter. Social-Engineering-Attacken entwickeln sich stetig weiter. Herkömmliche Maßnahmen zur Betrugsprävention wie der Check von Geräten und IP oder die Überprüfung von Netzwerkattributen reichen nicht mehr aus, da die Kriminellen sie leicht umgehen können.
Gefragt sind daher neue Kontrollmechanismen, die nicht gerätebasiert arbeiten, sondern das Verhalten des Nutzers in Echtzeit analysieren, um Betrugsversuche rechtzeitig zu erkennen.
Klaus Joachim Gährs ist Senior Account Manager bei BioCatch.
