Vorbeugen von Kontoübernahmen (ATO) bei Banken und Finanzdienstleistern

23.02.2022
-Minuten Lesezeit
Headshot of Maya Ogranovitch Scott Ping Identitys Solutions Architect
Maya Ogranovitch Scott
Senior Product & Solutions Marketing Manager

Einführung

Immer mehr Kunden wenden sich von den traditionellen Banken und Finanzdienstleistern ab und entscheiden sich für reine Online-Optionen. Gleichzeitig stellt die digitale Transformation für einige Firmen eine Herausforderung dar. Laut einer Untersuchung von Security.org ist bei einem Drittel der Logins bei Finanzdienstleistungs- und Finanztechnologieunternehmen von mutmaßlichen Versuchen der Kontoübernahme auszugehen. Der durchschnittliche Wert der finanziellen Verluste durch die Übernahmen von Finanzkonten lag bei ungefähr 12.000 US-Dollar.

 

Kontenübernahmebetrug beginnt häufig mit dem Diebstahl von Zugangsdaten, die im Dark Web gefunden oder durch Phishing-Angriffe ergattert wurden, bei denen die Benutzer mit Tricks dazu gebracht werden, ihre Login-Daten an die Betrüger weiterzugeben. Da die Kunden ihre Passwörter immer wieder verwenden und auch weitergeben, steigt das Risiko eines Kontoübernahmebetrugs exponentiell an.

 

Kontoübernahmebetrug (ATO) bei Banken und Finanzdienstleistern

Die Übernahme von Konten erfolgt in mehreren Schritten und beginnt in der Regel mit der Verwendung kompromittierter Login-Daten. Der Betrüger nimmt zunächst kleine Änderungen am Konto vor und ändert häufig das Passwort, so dass der rechtmäßige Inhaber keinen Zugriff mehr erhält. Der Betrüger geht dann zu Finanztransaktionen über und tätigt zum Beispiel auch Geldüberweisungen, bis der Betrug entdeckt oder das Konto des Kunden geleert ist. Für den Kunden dauert es möglicherweise Monate oder sogar Jahre, um den Schaden, den die Betrüger angerichtet haben, wieder auszugleichen.

 

Kollateralschäden für Verbraucher und Institutionen

Je mehr personenbezogene Daten (PII) der Betrüger vom Konto des Opfers abschöpft, desto leichter kann er weitere Konten übernehmen, zum Beispiel solche bei Partnern des Finanzinstituts. Betrüger können die PII auch dazu nutzen, unter Verwendung der Daten des Opfers neue betrügerische Konten zu erstellen.

 

 

Kontoübernahmebetrug und die Kosten für Finanzinstitute

Eine Kontoübernahme hat weitreichende Folgen für Finanzinstitute:

  • Direkte Betrugskosten durch einzelne Ereignisse.

  • Kundendienst- und IT-Kosten, die für die Unterstützung von Opfern und anderen Finanzinstituten oder Partnern aufgewendet werden, mit dem das Konto des Opfers in Verbindung stand.

  • Verlust des Customer Lifetime Value (CLV) der Kunden und ihrer Netzwerke von Familienmitgliedern und Freunden, die mit ihren Konten zu anderen Instituten abwandern.

  • Verluste durch Markenschädigung nicht nur durch die Kunden und ihre Netzwerke, sondern auch durch die Verbreitung von Nachrichten in den sozialen Medien oder Nachrichten.

Wie die Multi-Faktor-Authentifizierung (MFA) den Betrug bei der Kontoübernahme verhindert

Die Multi-Faktor-Authentifizierung (MFA) und die Zwei-Faktor-Authentifizierung (2FA) schaffen bei Banken und anderen Finanzinstituten eine zusätzliche Sicherheitsebene, die verhindert, dass Betrüger kompromittierte Login-Daten für den Zugriff auf Kundenkonten nutzen. Manche Finanzinstitute erläutern auf ihrem Internetauftritt sogar die Bedeutung dieser Sicherheitsmaßnahmen.

 

Bei MFA und 2FA müssen die Benutzer ihre Identität mit mehr als nur einer Authentifizierungskategorie nachweisen:

 

  • Wissen – Etwas, das man weiß. Passwörter (die schwächste Form der Authentifizierung), PINs, Antworten auf Sicherheitsfragen und andere persönliche Informationen über den Kunden.

 

  • Besitz – Etwas, das man hat. Einmalpasswörter oder andere Software-Token werden an ein Smartphone oder ein anderes Gerät im Besitz des Kunden gesendet. Hardware-Token, wie beispielsweise USB-basierte Geräte oder separate Code-Generatoren, gehören ebenfalls zu dieser Kategorie.

 

  • Biometrie – Etwas, das man ist. Genetische Merkmale sind bei jedem Menschen einzigartig. Sie können durch Fingerabdrücke, Gesichts- und Stimmerkennung oder Netzhautscans bestätigt werden.

 

Betrüger verfügen selten über mehrere Faktoren der Authentifizierung, so dass der Zugriff zu Konten verwehrt bleibt.

 

 

Die Multi-Faktor-Authentifizierung ist Teil einer skalierbaren CIAM-Lösung (Customer Identity and Access Management) für Finanzinstitute. Diese beinhaltet auch Registrierung, die Kontoverwaltung mit Selfservice-Funktionen, die Verwaltung von Einwilligungen und Präferenzen, Single Sign-on (SSO), Zugriffskontrolle, Verzeichnisdienste und Tools zur Steuerung des Datenzugriffs. CIAM-Lösungen gewährleisten zu jeder Zeit ein sicheres und reibungsloses Kundenerlebnis von jedem Gerät aus.

 

Dieses kurze Video erläutert, wie nahtlos der Prozess für die Kunden sein kann.

 

Welcome to the BX Finance User Journey demonstration, where we'll explore 5 use cases Demonstrating how the Ping Identity platform can deliver personalized, Seamless, and secure experiences for your online banking customers.
We'll start at the beginning of the user journey at online customer registration.
Jane is an existing customer of a fictional bank called BX Finance, but has never used their online banking platform.
First, we'll see Jane click the link to register for an online account.
BX Finance uses Ping to collect only the information needed to open an account, With additional information collected later through progressive profiling.
With Ping, all customer data collected is available through REST APIs to use for Personalization and can also be encrypted end to end.
BX Finance also allows customers like Jane to decide how they want to log in at the time of Registration.
Fed up with forgetting passwords?
Jane decides to use her MobileIron device or a one-time passcode.
A choice she can make during login.
To use her MobileIron device to log in, all Jane needs to do is download the BX Finance mobile Application with Ping Technology embedded.
Log in with her username and password for the first and last time.
And trust the device.
Jane is now registered.
And our experience continues to be seamless as she's automatically logged in following Registration.
Next, we'll demonstrate passwordless login and Single sign-on.
Jane clicks to sign in after entering her Username, Jane continues with her ideal login experience using Face ID while taking comfort In knowing that email and SMS one-time passcodes are always there, Just in case.
She submits, taps the customizable Push Notification on her phone, authenticates.
And she's in.
Now that she's signed in, Jane is able to Securely access any BX Finance application integrated with the Ping platform.
As an example, BX Finance provides a chatbot for customer service.
Integrated with Ping, Jane's very first digital interaction can be personalized by provisioning Jane's profile attributes, such as length of time as a customer to the service.
Jane closes the chatbot and continues to explore the website.
Next, we'll demonstrate transaction approval.
Jane navigates toward her next B2B finance experience, online money transfer.
Here, Jane enters the accounts, the amounts, and starts the transfer.
Then she completes it by clicking on the push notification and approving the transfer on a Fully customizable approval screen where the customers can view transaction details before Clicking approve.
Next, we'll demonstrate simple consent.
Management.
Jane navigates to Profile and Settings to view Her marketing communications preferences.
With the click of a button, Jane's preferences for SMS and email can be captured and stored Alongside her profile information, where consents can be enforced before communications Are sent and changed by Jane at any point in time.
Of course, enabling customers to self-manage preferences goes hand in hand with ensuring Those preferences are honored.
Let's flip over to view this scenario from the perspective of an email administrator at BX Finance using a popular email marketing tool.
After performing a quick search, you can see again that Jane's email and phone number are Visible, but her physical address is not.
With Ping, no matter what the request contains, only attributes with associated customer Consent will ever be accessible.
Finally, we'll demonstrate advanced consent management and Partner Identity Management.
Beyond honoring communications preferences, you can offer customers partner-based services while allowing them to choose both the partners they share data with and to what extent.
Here, we see common services like Mint and Zelle, but Jane decides to explore Services From any wealth advisor, a wealth management partner of BX Finance.
After reviewing their services, Jane decides to grant any wealth advisor access to view accounts Data, but only for her savings accounts.
From here, using Ping's federated single sign-on capabilities, Jane can navigate directly to any Wealth Advisor Portal without logging in.
Note that only the details of the account she chose to share are displayed, but also that the page is personalized with relevant profile data provisioned to the third-party service, such as her name in the welcome message and ZIP code for geographically Relevant investment seminars.
Finally, to see how consent is enforced with partners, let's flip over to view this scenario From the perspective of Amy Davis, an employee at any Wealth Advisor assigned to Jane's account.
In this case, any wealth advisor is leveraging The Ping platform for employee single sign-on into custom-built portals at some of the Biggest banks in the world, many of which are Ping's customers.
BX Finance is among these, and Amy clicks to log in.
BX Finance ensures that only certain individuals can access this wealth advisor Portal using Ping's authorization capabilities.
Here, we can see Amy look up Jane by her email address and again see that Amy's view is Limited to the savings accounts shared by Jane earlier.
This concludes our demonstration of how the Ping Identity platform can deliver personalized, Seamless, and secure experiences for your online banking customers.
To learn more, talk to your Account Representative or sign up for a free trial Today.

Einhaltung bank- und finanzrechtlicher Bestimmungen

Tools zur Online-Betrugserkennung für Banken und Finanzdienstleister

Obwohl Vorbeugung das vorrangige Ziel sein muss, wurden moderne Tools zur Aufdeckung von Online-Betrug entwickelt, die abnormales Nutzerverhalten erkennen, sobald Betrüger Zugang zu Konten erhalten. ATO-Betrug kann mit manuellen und/oder automatisierten Methoden erfolgen, wobei die betrügerischen Aktivitäten von Bots leichter zu erkennen sind als von Menschen durchgeführte Handlungen.

 

Tools zu Erkennung von Online-Betrug nutzen künstliche Intelligenz (KI), um Hunderte von Benutzerdaten zu durchleuchten, die im Zuge von Interaktionen zwischen Mensch und Gerät von Geräteattributen und Kontoaktivitäten erzeugt werden, um zwischen legitimen Benutzern und Betrügern zu unterscheiden. Da ein automatisiertes und betrügerisches Verhalten anderen Mustern folgt als rechtmäßige Benutzeraktivitäten, können mit verhaltens- und kontextbasierten Analysen bestimmte Abweichungen ermittelt werden. Wenn Tools zur Betrugserkennung beim Start einer Sitzung aktiviert werden, können sie ungewöhnliche Aktivitäten während der Sitzung erkennen und Betrug im Vorfeld verhindern.

 

Dieses kurze Video demonstriert, wie Tools zur Erkennung von Online-Betrug und MFA ineinandergreifen, um Betrug zu verhindern.

 

As more transactions move online, the cost of online fraud is rising, And fraudsters are getting smarter.
Fraud prevention needs to happen throughout the Customer journey, and it needs to be invisible to legitimate users.
If providers, our customers get it wrong, they risk losing trust.
Market share, and millions of dollars.
With the PingOne cloud platform, fraud detection starts at the first interaction and continues through the entire customer journey.
Fraud signals.
Lead into authentication and authorization Decisions to stop fraudsters from creating accounts, logging in, and completing transactions.
Enterprises can orchestrate multiple fraud signals to ensure that they prevent fraud, But don't create friction for real users.
The PingOne Cloud platform provides actionable intelligence throughout the user journey.
Detection begins before registration and continues through authentication by analyzing Dozens of signals to analyze.
Distinguish real users from bots and bad actors.
These signals help identify bot attacks, new account fraud, and account takeover.
The signals evaluate and mitigate fraud in real time, leveraging dynamic authorization to Safeguard transactions and sensitive data as known users sign on, The Penguin Cloud platform assesses risk and steps up authentication when needed.
Enterprises can even leverage identity verification.
I needed to confirm a user's actual identity.
Multiple fraud signals from Ping and beyond can be orchestrated, Stopping fraudsters in their tracks and delivering extraordinary experiences to real Customers.
Detect fraudulent activity as it happens.
Mitigate risk and shut down fraudsters before loss occurs.
Apply learnings and reinforce your defenses, all while legitimate users transact with ease and confidence.
Diesen Artikel teilen:
Verwandte Ressourcen
Transformation der CIAM-Strategie in ein Profitcenter für Finanzdienstleistungen
03.07.2024
Verwandeln Sie CIAM in ein Profitcenter für Finanzdienstleistungen, um nahtlose und sichere digitale Erlebnisse zu bieten.
Ping Identity im Critical Capabilities-Bericht 2023 positioniert
Dustin Maxey
01.12.2023
Ping Identity wurde in allen vier Nutzungsszenarien des Gartner Critical Capabilities Report 2023 unter den beiden bestplatzierten Anbietern positioniert.

Da Finanzinstitute Regulierungen unterliegen, betrifft die Minderung des Betrugsrisikos nicht nur Verluste für Unternehmen und Kunden. Die Bestimmungen schreiben die Einrichtung von Lösungen zum Schutz der Kundendaten vor, die es den Kunden ermöglichen, die Weitergabe ihrer Daten zu kontrollieren. Offene Bankstandards, die Zahlungsdiensterichtlinie 2 (PSD2), Payment Card Industry Data Security Standard (PCI DSS) sowie weitere Vorschriften gewährleisten, dass die Kundendaten geschützt und in einer sicheren Umgebung gespeichert werden. CIAM-Lösungen (Customer Identity and Access) für Finanzinstitute helfen bei der Einhaltung gesetzlicher Bestimmungen.

 

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Ihnen helfen kann, sichere Erlebnisse für Mitarbeiter, Partner und Kunden in einer sich schnell wandelnden digitalen Welt zu bieten.