Die Frühjahrsbetrugssaison hat begonnen: Überprüfen Sie Ihre Abwehrmaßnahmen gegen Betrug.

Der Frühling liegt in der Luft und wir können es alle spüren. Die Blumen blühen, die Sonne geht später unter, und wir verspüren den Drang, unsere Häuser auszumisten und neu anzufangen.

Als Reaktion auf eine neue Welle betrügerischer Aktivitäten und innovativer Hacking-Methoden führen Finanzinstitute ebenfalls eine Frühjahrsreinigung durch – und viele haben dabei die Notwendigkeit erkannt, grundlegende Sicherheitspraktiken zu überdenken. Der Prozess beinhaltet die Bestandsaufnahme der bestehenden Schutzmaßnahmen gegen häufige Arten von Betrugsfällen, die von Menschen verursacht werden und in zwei Hauptkategorien fallen: (1) Betrugsfälle durch Übernahme von Kundenkonten und (2) Coaching-Betrugsfälle.

Man sagt, Aprilwetter bringt Maiblumen, und dieses Konzept trifft auch auf die Cybersicherheit zu. Mitten in der Hochsaison für Frühjahrsbetrug können heute getroffene Schutzmaßnahmen für mehr Sicherheit in der Zukunft sorgen.

Die erste große Kategorie von Betrugsmaschen, die einer gründlichen Säuberung bedarf, umfasst von Menschen gesteuerte Kontoübernahmebetrügereien, bei denen Betrüger Benutzer dazu verleiten, ihre eigenen Zugangsdaten preiszugeben. Ein Betrüger könnte beispielsweise einen Kunden anrufen und sich als Mitarbeiter seiner Bank ausgeben. Der Betrüger teilt dem Kunden mit, dass sein Konto kompromittiert wurde, und fordert umgehend seine Zugangsdaten an, um in seinem Namen ein neues Konto einzurichten. Der Erhalt dieser Zugangsdaten ermöglicht es dem Betrüger dann, das Girokonto des Kunden zu übernehmen, Geld zu waschen und andere Formen von Finanzbetrug zu begehen.

Telefonanrufe sind ein bevorzugter Angriffskanal für Kontoübernahmebetrug, und das aus gutem Grund: Telefonbetrug verursacht den höchsten gemeldeten Geldverlust pro Person mit 1.400 US-Dollar. Im Gegensatz zu Textnachrichten oder E-Mails, bei denen die Empfänger die Möglichkeit haben, die Nachricht zu unterbrechen und Fragen zu stellen, sind Telefonanrufe unmittelbar und dringlich. Der Benutzer muss in diesem Moment auf die Stimme des Betrügers reagieren und hat kaum Zeit, kritisch über das Geschehen nachzudenken oder Anfragen zu überprüfen. Bevor Betrüger unaufgefordert anrufen, verschicken sie manchmal sogar eine Phishing-SMS, um die Lage zu sondieren und die Erfolgsaussichten für den anschließenden Anruf zu erhöhen.

Um die Effektivität von Kontoübernahmebetrugsfällen einzuschränken, können sich Finanzinstitute nicht allein auf Bot-Erkennungstools verlassen, da viele dieser Sicherheitsmaßnahmen auf automatisierte Angriffe beschränkt sind. Stattdessen ist es von entscheidender Bedeutung für die Finanzen.
Institutionen sollen in verhaltensbiometrische Technologien investieren, die sowohl manuelle als auch automatisierte Angriffe erkennen können.

Jeder Benutzer hat eine andere Tippfrequenz, Tippgeschwindigkeit und Mausbewegungen – Details, die unglaublich schwer nachzubilden sind. Verhaltensbiometrische Tools erfassen diese Muster passiv und gewährleisten so die Sicherheit von Finanzinstitutionen.
die Möglichkeit haben, in den Anfangsstadien eines Kontoübernahmeversuchs einzugreifen.

Wie sieht das in der Praxis aus? Angenommen, ein Betrüger erlangt erfolgreich die Anmeldeinformationen eines Benutzers. Die Art und Weise, wie sie an die Anmeldedaten des Benutzers gelangen und diese nutzen, wird von den bekannten Verhaltensweisen des Kunden abweichen. Beispielsweise benötigt der Kunde typischerweise mehrere Sekunden, um sein Passwort einzugeben, und manchmal zwei oder drei Versuche, während der Betrüger dieselben Informationen in Sekundenschnelle und fehlerfrei eingibt. Diese Diskrepanz signalisiert, dass das Unternehmen die Zugriffsanfrage genauer prüfen und gegebenenfalls zusätzliche Sicherheitsmaßnahmen einführen sollte.

Viele Betrugsmaschen sind für Finanzinstitute schwer nachzuverfolgen, vor allem weil Unternehmen von den Interaktionen zwischen Betrügern und Kunden weitgehend ausgeschlossen sind. Nehmen wir an, anstatt den Kunden nach seinen Zugangsdaten zu fragen, teilt der Betrüger dem Kunden mit, dass sein Konto kompromittiert wurde. Aber es besteht kein Grund zur Sorge, denn der Betrüger hat sich die Freiheit genommen, ein neues Konto für den Kunden einzurichten und fordert ihn dann auf, sich in seiner E-Banking-Anwendung anzumelden und mit der Überweisung von Geldern auf das neue, „sichere“ Konto zu beginnen.

Dieses Szenario ist nur ein Beispiel für einen typischen Coaching-Betrug – und es handelt sich um eine Vorgehensweise, die für das Finanzinstitut schwer zu kontrollieren und zu verhindern ist, da der Betrug offline stattfindet. Auf den ersten Blick scheint es so, als hätte ein vertrauenswürdiger Nutzer eine legitime Transaktion durchgeführt und Gelder von einem genehmigten Konto auf ein anderes überwiesen. Doch die genauere Analyse einer Kombination aus physischen und nicht-physischen verhaltensbiometrischen Hinweisen ermöglicht es dem Finanzinstitut, potenziell betrügerisches Verhalten zu erkennen und entsprechend einzugreifen.

In diesem Fall analysieren nicht-physische biometrische Verfahren die Umstände der Bankgeschäfte und das bekannte Verhalten eines einzelnen Nutzers. Nutzt der Nutzer seine Banking-App beispielsweise typischerweise zu einer bestimmten Tageszeit? Ist es üblich, dass sie große Geldsummen an einen neuen Empfänger überweisen? Die Antworten auf diese Fragen können Finanzinstituten helfen, Verhaltensabweichungen zu erkennen, selbst wenn es sich um denselben Fahrer handelt.

Aus physischer Sicht kann Zögern während der Interaktion mit der Bank auch ein Zeichen dafür sein, dass betrügerische Aktivitäten im Gange sind. Überlegen Sie einmal, wie unterschiedlich Ihre Tippmuster und Ihr Eingaberhythmus wären, wenn Sie Anweisungen aus einer Phishing-E-Mail lesen oder Anweisungen von jemandem am Telefon befolgen würden, im Vergleich zu der Art und Weise, wie Sie sich normalerweise einloggen und die gewünschten Aktionen ausführen. Ähnlich wie bei Kontoübernahmebetrug sollten Pausen oder Verzögerungen bei der Eingabe oder Mausbewegungen Finanzinstitute stutzig machen und ihnen die Möglichkeit geben, zusätzliche Sicherheitsmaßnahmen als eine Art freundlichen Reibungspunkt einzuführen.

Betrügerische Akteure entwickeln ihre Strategien ständig weiter und nutzen neue Technologien und Taktiken, wie beispielsweise ChatGPT, um die Erstellung von E-Mails, gefälschten Webseiten und anderen Inhalten, die darauf abzielen, Endnutzer zu täuschen, zu beschleunigen und auszuweiten. Doch selbst wenn Betrüger immer neue Wege finden, um Kunden zu betrügen, bleiben die grundlegenden Schutzmaßnahmen, die am besten geeignet sind, die Kunden zu schützen, dieselben. Sie brauchen nur ein wenig Unterstützung.

In diesem Frühjahr – und darüber hinaus – müssen Finanzinstitute in verhaltensbiometrische Technologien investieren, die Kunden vor Coaching, Kontoübernahmebetrug und allem anderen, was in Zukunft noch kommen mag, schützen. Die Frühjahrsbetrugssaison hat begonnen. Ist Ihr Unternehmen bereit?