Ständiger Wettlauf: Betrugsbedrohungen und Anti-Betrugstechniken

Wir beobachten in den letzten Jahren immer ausgeklügeltere Angriffsmuster im Karten- und Account-to-Account-Umfeld. Nach der Einführung höhere Sicherheitsstandards, insbesondere der Verpflichtung zur Zwei-Faktor-Authentifizierung im Europäischen Wirtschaftsraum, wird nun das schwächste Glied in der Kette angegriffen: der Mensch. Besonders in regulierten Regionen, aber längst nicht nur dort, zeigt sich ein klarer Trend hin zu Social-Engineering-Betrug. Dabei lassen sich drei Grundformen unterscheiden.

Das Hauptaugenmerk liegt zurzeit auf Phishing oft gepaart mit einer Trickserei, um das Opfer dazu zu bewegen, die starke Kundenauthentifizierung durchzuführen. Einfallstor sind hier oft digitale Marktplätze, in denen der Nutzer glaubt, eine Zahlung zu empfangen oder eine SMS vom vermeintlichen Logistikunternehmen, die zur Nachzahlung von Porto auffordert.

Etwas fortgeschrittener sind Angriffe auf die Onboarding- und Registrierungsprozesse. Ziel der Betrüger ist dabei neben der Erbeutung von Zahlungs- oder Login-Daten die Übernahme der Authentifizierungsmethode oder aber die Registrierung einer Karte für eine mobile Wallet wie Apple Pay oder Google Play. Ein typischer Angriff beginnt zum Beispiel mit einem Anruf vom vermeintlichen Bankangestellten.

Besonders perfide ist der Fall, wenn Bankkunden derart manipuliert werden, dass sie große Summen per Kreditkarte oder Überweisung selbst anweisen und freigeben. Der altbekannte Enkeltrick kommt heute als Love Scam oder Investment Scam daher, hat seinen Ausgangspunkt jetzt in den sozialen Medien und betrifft mittlerweile alle Bevölkerungsgruppen – nicht nur die Großeltern.

Es gibt mehrere Faktoren, die den aktuellen Anstieg von Social-Engineering-Betrug begünstigen. Ein wichtiger Treiber ist die fortschreitende digitale Transformation. Plattformen wie soziale Medien und Online-Marktplätze sind fest in unseren Alltag integriert und bieten Betrügern zahlreiche Möglichkeiten, mit potenziellen Opfern zu interagieren und glaubwürdige Betrugsmaschen zu entwickeln. Diese digitalen Räume sind zudem ein beliebtes Ziel für Angreifer, um Informationen zu sammeln und vertrauenswürdige Identitäten zu imitieren.

Ein weiterer entscheidender Faktor ist der Aufstieg von Fraud-as-a-Service. Es sind nicht nur immer größere Mengen an persönlichen Daten aus Datenlecks im Darknet verfügbar. Eine ganze Untergrundindustrie stellt auch unerfahrenen Betrügern ausgeklügelte Werkzeuge und Strategien zur Verfügung, um groß angelegte Social-Engineering-Angriffe durchzuführen. Solche vorgefertigten Lösungen senken die Einstiegshürden für Cyberkriminelle und führen zu einer Zunahme der Angriffe.

Schließlich haben Fortschritte in der künstlichen Intelligenz, wie Large Language Models oder Deepfake-Audio- und -Videotechnologie, Social-Engineering-Betrug noch gefährlicher gemacht. Betrüger können nun viel einfach Phishing E-Mails in Fremdsprachen verfassen oder gar überzeugend Führungskräfte oder vertrauenswürdige Personen nachahmen, was ihren Maschen eine zusätzliche Glaubwürdigkeit verleiht und die Erkennung erheblich erschwert. Diese Faktoren zusammen haben ein perfektes Umfeld für das Wachstum von Social-Engineering-Betrug geschaffen.

Uns steht eine ganze Palette an Technologien und Lösungsansätzen zur Verfügung. Fangen wir vorne in der Problemkette an: Um den Abgriff sensibler Daten einzudämmen, wird die Tokenisierung von Zahlungsdaten eine entscheidende Rolle spielen. Kartennummern, die gar nicht erst gespeichert werden, können auch nicht verloren gehen und im Darknet wieder auftauchen.

In Kombination mit Click-to-Pay hat die Tokenisierung sogar den Vorteil, dass sie im Gegensatz zu manch anderer Sicherheitsmaßnahme die User Experience verbessert. Wir haben kürzliche eine Case Study mit einem unserer Kunden veröffentlicht, die den Vorteil der Kombination dieser beiden Technologien erklärt.

Wir müssen jedes Element der Sicherheitskette resistent gegen Phishing machen, ohne Wenn und Aber und ohne Rücksicht auf die möglicherweise problematische Kundenerfahrung. Bei der starken Kundenauthentifizierung, die wirksam gegen einfachen Betrug durch Dritte wirkt, sind wir schon sehr weit. Einmalpasswörter und Antworten auf Sicherheitsfragen sollten bald der Vergangenheit angehören. Biometrische und passwortlose Authentifizierung müssen flächendeckender Standard werden. Hierbei werden Secure Hardware Token und FIDO eine große Rolle spielen.

Richtig, auch hier müssen wir technisch absolute Resistenz gegen Phishing schaffen. Es sollten weniger Aktivierungscodes verschickt werden, die man einfach am Telefon vorlesen kann. Endnutzer unserer Kunden können heute schon ganz ohne Aktivierungscode auskommen, wenn sein ein neues Handy freischalten wollen und das alte noch besitzen.

Zusätzlich können auf den Freigabegeräten wie auch auf den Geräten, auf denen der Kauf stattfindet, Verhaltens- und Kontextdaten erhoben werden. Ein Datenabgleich und zusätzliche Risikomodelle, die auf diesen Daten beruhen, können die Übernahme der Authentifizierungsapp entweder ganz verhindern oder verhindern, dass mit solchen Geräten Transaktionen freigegeben werden können.

Auch wenn Kartenlesegeräte für die Zahlungsfreigabe nicht zeitgemäß erscheinen, haben sie doch den entscheidenden Vorteil, dass man eine physikalische Karte nicht phishen kann. Wenn man die Karte nur noch ans NFC-Modul des Smartphones halten muss, um die Karte an eine biometrische Authentifizierungsmethode zu koppeln, ist das sicher und sicher nicht von gestern.

Nun, wir erschweren damit eine ganze Reihe von bekannten und nicht allzu komplexen Betrugsmustern erheblich. Wir machen die Phishing-Toolkits, die das Darknet hervorbringt, für diese Situationen unschädlich. Und wir verhindern, dass jemand in Eile aus Versehen seine Zahlungsfreigabemethode an Dritte weitergibt. Die natürliche Reaktion der Betrüger ist, sich neue Wege zu suchen. Die Einstiegshürde ist damit aber viel höher, weil dann gut geschulte Call-Center-Mitarbeiter notwendig werden, die nicht so leicht verfügbar wie Phishing-Toolkits sind.

Auch auf der Präventionsseite haben wir künstliche Intelligenz in Form von Machine Learning Modellen in der Hand. Sie sind extrem effektiv, wenn die richtigen Daten zur Verfügung stehen. Heutzutage stehen oft nicht die richtigen oder nicht genügend Daten zur Verfügung.

In Zukunft müssen Verhaltens- und Kontextdaten aus dem Online Banking mit technischen Daten aus dem 3-D Secure Protokoll und der Authentifizierungsapp, Kundenstammdaten der Bank und Provisionierungsdaten aus den Wallets an einer Stelle zusammenfließen. Damit können auffällige Verhaltensmuster über alle Zahlungskanäle hinweg zuverlässiger identifiziert werden.

Darüber hinaus werden wir nicht umhinkommen, Daten, die im Zusammenhang mit Betrugsverdacht anfallen zwischen den Banken und ihren Dienstleistern zu teilen. In den Fällen, in denen Risikomodelle nicht gut funktionieren, weil der echte Kunde an seinem eigenen Gerät Zahlungen auslöst und bestätigt, müssen Banken und ihre Dienstleister in die Lage versetzt werden, die Daten problematische Zahlungsempfänger untereinander zu teilen.

Um zu verhindern, dass technische Maßnahmen im Zusammenhang mit der Manipulation von Bankkunden nicht bzw. nicht rechtzeitig greifen, müssen Banken auch in Aufklärung ihrer Kunden investieren. Zusätzlich sehen wir in Großbritannien, dass Banken unter bestimmten Umständen die Möglichkeit brauchen, Account-to-Account-Umsätze mit ihren Kunden abzuklären, bevor sie in Echtzeit ausgeführt werden. Das ist auch heute schon im Kartenumfeld ein gangbarer weg. Solche Maßnahmen gehen aber sicherlich Hand in Hand mit der Aufklärungsarbeit, damit Bankkunden wissen, warum sie zu ihren Umsätzen befragt werden und damit sie sich sicher sein können, dass sie von ihrer Bank und nicht von einem findigen Betrüger befragt werden.

In den kommenden Jahren wird die Betrugslandschaft weiter an Dynamik gewinnen, insbesondere durch das weitere Wachstum des E-Commerce-Markts. Mit der steigenden Anzahl digitaler Transaktionen erhöhen sich auch die potenziellen Angriffsflächen für Betrüger. Hier werden vor allem Social-Engineering-Methoden und gezielte Angriffe auf neue Zahlungsmethoden weiter zunehmen.

Außerdem bereitet die Einführung des Mandats für SEPA Instant Payments den Betrugsabteilungen in europäischen Banken große Sorgen. Die Echtzeitüberweisung schafft zwar viele Vorteile für Verbraucher und Unternehmen, erhöht jedoch auch den Druck auf Banken und Zahlungsdienstleister, betrügerische Transaktionen noch schneller und besser zu erkennen und zu stoppen. Die Einführung von Instant Payments in Großbritannien und Australien hat gezeigt, dass Betrüger diese Geschwindigkeit nutzen, um Gelder innerhalb von Sekunden weiterzuleiten, bevor sie eingefroren werden können.

Parallel dazu werden Betrüger zunehmend auf fortschrittliche Technologien wie künstliche Intelligenz und Deepfakes setzen, um glaubwürdige Angriffe zu inszenieren. In Kombination mit Fraud-as-a-Service-Modellen, die weniger erfahrenen Kriminellen Zugang zu professionellen Betrugswerkzeugen bieten, erwarten wir eine noch größere Verbreitung und Diversifizierung von Betrugsangriffen.

Trotz dieser Herausforderungen wird auch die Sicherheitsseite erhebliche Fortschritte machen. Insbesondere KI-gestützte Systeme zur Anomalieerkennung, Verhaltensbiometrie und die kontinuierliche Verbesserung von Authentifizierungsmethoden werden eine entscheidende Rolle spielen. Gleichzeitig bleibt die Aufklärung und Sensibilisierung von Endnutzern unerlässlich, denn trotz aller technologischen Entwicklungen bleibt der Mensch oft das größte Risiko.

Die Entwicklung der nächsten Jahre wird ein ständiges Wettrennen zwischen Angreifern und Sicherheitsanbietern sein, insbesondere in einem sich so schnell wandelnden Umfeld wie dem E-Commerce und Instant Payments.