Vorbeugen von Kontoübernahmen (ATO) bei Banken und Finanzdienstleistern

Immer mehr Kunden wenden sich von den traditionellen Banken und Finanzdienstleistern ab und entscheiden sich für reine Online-Optionen. Gleichzeitig stellt die digitale Transformation für einige Firmen eine Herausforderung dar. Laut einer Untersuchung von Security.org ist bei einem Drittel der Logins bei Finanzdienstleistungs- und Finanztechnologieunternehmen von mutmaßlichen Versuchen der Kontoübernahme auszugehen. Der durchschnittliche Wert der finanziellen Verluste durch die Übernahmen von Finanzkonten lag bei ungefähr 12.000 US-Dollar.

Kontenübernahmebetrug beginnt häufig mit dem Diebstahl von Zugangsdaten, die im Dark Web gefunden oder durch Phishing-Angriffe ergattert wurden, bei denen die Benutzer mit Tricks dazu gebracht werden, ihre Login-Daten an die Betrüger weiterzugeben. Da die Kunden ihre Passwörter immer wieder verwenden und auch weitergeben, steigt das Risiko eines Kontoübernahmebetrugs exponentiell an.

Die Übernahme von Konten erfolgt in mehreren Schritten und beginnt in der Regel mit der Verwendung kompromittierter Login-Daten. Der Betrüger nimmt zunächst kleine Änderungen am Konto vor und ändert häufig das Passwort, so dass der rechtmäßige Inhaber keinen Zugriff mehr erhält. Der Betrüger geht dann zu Finanztransaktionen über und tätigt zum Beispiel auch Geldüberweisungen, bis der Betrug entdeckt oder das Konto des Kunden geleert ist. Für den Kunden dauert es möglicherweise Monate oder sogar Jahre, um den Schaden, den die Betrüger angerichtet haben, wieder auszugleichen.

Kollateralschäden für Verbraucher und Institutionen

Je mehr personenbezogene Daten (PII) der Betrüger vom Konto des Opfers abschöpft, desto leichter kann er weitere Konten übernehmen, zum Beispiel solche bei Partnern des Finanzinstituts. Betrüger können die PII auch dazu nutzen, unter Verwendung der Daten des Opfers neue betrügerische Konten zu erstellen.

Eine Kontoübernahme hat weitreichende Folgen für Finanzinstitute:

• Direkte Betrugskosten durch einzelne Ereignisse.

• Kundendienst- und IT-Kosten, die für die Unterstützung von Opfern und anderen Finanzinstituten oder Partnern aufgewendet werden, mit dem das Konto des Opfers in Verbindung stand.

• Verlust des Customer Lifetime Value (CLV) der Kunden und ihrer Netzwerke von Familienmitgliedern und Freunden, die mit ihren Konten zu anderen Instituten abwandern.

• Verluste durch Markenschädigung nicht nur durch die Kunden und ihre Netzwerke, sondern auch durch die Verbreitung von Nachrichten in den sozialen Medien oder Nachrichten.

Die Multi-Faktor-Authentifizierung (MFA) und die Zwei-Faktor-Authentifizierung (2FA) schaffen bei Banken und anderen Finanzinstituten eine zusätzliche Sicherheitsebene, die verhindert, dass Betrüger kompromittierte Login-Daten für den Zugriff auf Kundenkonten nutzen. Manche Finanzinstitute erläutern auf ihrem Internetauftritt sogar die Bedeutung dieser Sicherheitsmaßnahmen.

Bei MFA und 2FA müssen die Benutzer ihre Identität mit mehr als nur einer Authentifizierungskategorie nachweisen:

• Wissen – Etwas, das man weiß. Passwörter (die schwächste Form der Authentifizierung), PINs, Antworten auf Sicherheitsfragen und andere persönliche Informationen über den Kunden.

• Besitz – Etwas, das man hat. Einmalpasswörter oder andere Software-Token werden an ein Smartphone oder ein anderes Gerät im Besitz des Kunden gesendet. Hardware-Token, wie beispielsweise USB-basierte Geräte oder separate Code-Generatoren, gehören ebenfalls zu dieser Kategorie.

• Biometrie – Etwas, das man ist. Genetische Merkmale sind bei jedem Menschen einzigartig. Sie können durch Fingerabdrücke, Gesichts- und Stimmerkennung oder Netzhautscans bestätigt werden.

Betrüger verfügen selten über mehrere Faktoren der Authentifizierung, so dass der Zugriff zu Konten verwehrt bleibt.

Die Multi-Faktor-Authentifizierung ist Teil einer skalierbaren CIAM-Lösung (Customer Identity and Access Management) für Finanzinstitute. Diese beinhaltet auch Registrierung, die Kontoverwaltung mit Selfservice-Funktionen, die Verwaltung von Einwilligungen und Präferenzen, Single Sign-on (SSO), Zugriffskontrolle, Verzeichnisdienste und Tools zur Steuerung des Datenzugriffs. CIAM-Lösungen gewährleisten zu jeder Zeit ein sicheres und reibungsloses Kundenerlebnis von jedem Gerät aus.

Dieses kurze Video erläutert, wie nahtlos der Prozess für die Kunden sein kann.

Da Finanzinstitute Regulierungen unterliegen, betrifft die Minderung des Betrugsrisikos nicht nur Verluste für Unternehmen und Kunden. Die Bestimmungen schreiben die Einrichtung von Lösungen zum Schutz der Kundendaten vor, die es den Kunden ermöglichen, die Weitergabe ihrer Daten zu kontrollieren. Offene Bankstandards, die Zahlungsdiensterichtlinie 2 (PSD2), Payment Card Industry Data Security Standard (PCI DSS) sowie weitere Vorschriften gewährleisten, dass die Kundendaten geschützt und in einer sicheren Umgebung gespeichert werden. CIAM-Lösungen (Customer Identity and Access) für Finanzinstitute helfen bei der Einhaltung gesetzlicher Bestimmungen.

Obwohl Vorbeugung das vorrangige Ziel sein muss, wurden moderne Tools zur Aufdeckung von Online-Betrug entwickelt, die abnormales Nutzerverhalten erkennen, sobald Betrüger Zugang zu Konten erhalten. ATO-Betrug kann mit manuellen und/oder automatisierten Methoden erfolgen, wobei die betrügerischen Aktivitäten von Bots leichter zu erkennen sind als von Menschen durchgeführte Handlungen.

Tools zu Erkennung von Online-Betrug nutzen künstliche Intelligenz (KI), um Hunderte von Benutzerdaten zu durchleuchten, die im Zuge von Interaktionen zwischen Mensch und Gerät von Geräteattributen und Kontoaktivitäten erzeugt werden, um zwischen legitimen Benutzern und Betrügern zu unterscheiden. Da ein automatisiertes und betrügerisches Verhalten anderen Mustern folgt als rechtmäßige Benutzeraktivitäten, können mit verhaltens- und kontextbasierten Analysen bestimmte Abweichungen ermittelt werden. Wenn Tools zur Betrugserkennung beim Start einer Sitzung aktiviert werden, können sie ungewöhnliche Aktivitäten während der Sitzung erkennen und Betrug im Vorfeld verhindern.

Dieses kurze Video demonstriert, wie Tools zur Erkennung von Online-Betrug und MFA ineinandergreifen, um Betrug zu verhindern.

Weitere Informationen über Online-Betrug finden Sie unter Alles, was Sie über Online-Betrug wissen sollten.