Wie Banken durch verbesserte Bedrohungsanalyse Cyberbetrug verhindern

• Betrug ist selten ein einmaliges Ereignis. Es handelt sich dabei in der Regel um den Monetarisierungsschritt in einer längeren Kette von Cyberangriffen. 
• Bei vielen Banken sind Cybersicherheit und Betrugsprävention immer noch voneinander getrennt, was dazu führen kann, dass Warnsignale übersehen werden und die Reaktionen langsamer ausfallen.
• Wenn Cyber- und Betrugsteams Informationen austauschen, können sie Muster erkennen, die auf potenziellen Betrug hinweisen, und verdächtige Aktivitäten unterbinden, bevor diese eskalieren. 
• Spezielle Bedrohungsanalysen für den Zahlungsverkehr und der branchenweite Austausch von Angriffsmustern sind unerlässlich, um Cyberkriminalität zu verhindern.
  

Die weltweiten Verluste durch Bankbetrug werden in den nächsten fünf Jahren voraussichtlich um 153 % steigen, von 23 Milliarden US-Dollar im Jahr 2025 auf 58,3 Milliarden US-Dollar im Jahr 2030. Banken könnten Millionen sparen, indem sie auf Frühwarnzeichen reagieren. Doch in vielen Organisationen erhalten die isolierten Betrugsteams nicht rechtzeitig die richtigen Cyber-Informationen.

Betrug ist selten ein isoliertes Ereignis. Ein Cyberkrimineller kann bei einem Datenleck Kreditkartendaten stehlen und diese an einen anderen Kriminellen verkaufen, der sie dann nutzt, um Betrug zum finanziellen Vorteil zu begehen.

Dieser Verstoß ist ein frühes Anzeichen für Betrug. Wenn das Cybersicherheitsteam einer Bank dies jedoch nicht der Betrugsprävention meldet, ist die Möglichkeit zum Eingreifen vertan. Aus diesem Grund werden Betrugsbekämpfungsteams erst dann aktiv, wenn die Kriminellen ihr Geld erhalten haben und bereits finanzieller und Reputationsschaden entstanden ist.

Ohne Zusammenarbeit und geteilte Informationen bleiben Frühwarnsignale isoliert. Um diesen Kreislauf zu durchbrechen, benötigen Banken Rahmenbedingungen, die Cybersicherheit und Betrugsprävention miteinander verbinden und es ihnen ermöglichen, Cyberkriminalität und Betrugsmuster zu unterbinden, bevor sie sich auf den Kunden auswirken.

Viele Cyberkriminelle operieren in komplexen Lieferketten, in denen sich verschiedene Akteure auf jede Phase eines Angriffs konzentrieren, vom ersten Eindringen oder Ausnutzen bis hin zur Monetarisierung.

In diesem Umfeld sind scheinbar unbedeutende Cybervorfälle oft ein Vorbote größerer Betrugsfälle, darunter:

• Phishing- und Social-Engineering-Techniken
• Zugangsdatendiebstahl durch Schadsoftware
• Digitale Skimming-Angriffe
• Botgesteuerte Kartentests
  

Angreifer geben sich als vertrauenswürdige Marken oder Einzelpersonen aus oder erstellen gefälschte Webseiten, um Opfer dazu zu verleiten, sensible Daten preiszugeben. Phishing-as-a-Service-Plattformen nutzen mittlerweile generative KI, um überzeugende Nachrichten und Webseiten zu erstellen, wodurch Betrugsversuche für den Durchschnittsbürger noch schwieriger zu erkennen sind. Die bei Phishing-Angriffen gestohlenen Informationen werden häufig verkauft oder dazu benutzt, sich Zugang zu Konten zu verschaffen und unautorisierte Transaktionen durchzuführen.

Schadsoftware wie Infostealer und Keylogger erfassen Anmeldeinformationen von infizierten Geräten. Gestohlene Zugangsdaten sind mittlerweile die Hauptursache für Angriffe auf Webanwendungen und machen 88 % aller Vorfälle in dieser Kategorie aus. Betrüger nutzen diese Zugangsdaten für Account-Takeover-Angriffe (ATO), bei denen sie die Kontrolle über legitime Konten erlangen, um Geld zu transferieren oder Finanzbetrug zu begehen.

Cyberkriminelle schleusen Schadcode in die Checkout-Seiten von E-Commerce-Shops ein, um Kartendaten zu stehlen. Gestohlene Daten werden dann entweder verkauft oder für betrügerische Einkäufe missbraucht.

Gruppen, die als Magecart bekannt sind, haben sich auf diese groß angelegten Skimming-Angriffe spezialisiert. Im Jahr 2024 boten Bedrohungsakteure 70 Millionen mehr Kartendatensätze zum Verkauf an als im Jahr 2023, was das wachsende Ausmaß der Bedrohung verdeutlicht.

Um zu überprüfen, ob gestohlene Kartendaten gültig sind, führen Betrüger mithilfe automatisierter Skripte Testtransaktionen mit kleinen Beträgen auf E-Commerce-Websites durch. Aktive Karten werden dann verkauft oder für größere Betrugsversuche missbraucht. Validierte Daten sind besonders wertvoll auf kriminellen Marktplätzen, wo vollständige Identitätspakete, sogenannte „Fullz“ (einschließlich Sozialversicherungsnummern, Geburtsdaten und Adressen), für bis zu 100 US-Dollar verkauft werden können.

Um diese Tests durchzuführen, nutzen Betrüger Händleridentifikationsnummern (MIDs) aus, die eindeutigen Kennungen, die mit Händlerkonten verknüpft sind und es Unternehmen ermöglichen, Zahlungen abzuwickeln.

Während Tester-MIDs dazu dienen, Transaktionen zu simulieren und die Funktionsfähigkeit von Systemen vor der Inbetriebnahme zu bestätigen, werden sie von Kriminellen für Kartentests missbraucht. Im Jahr 2024 stieg die Zahl der identifizierten Tester-MIDs um 48 %, wodurch Betrüger mehr Möglichkeiten erhielten, gestohlene Kartendaten zu validieren.

Cyberangriffe gehen Betrugsfällen oft voraus, doch viele Warnsignale erreichen nie die richtigen Personen. Bei vielen Banken und Finanzinstituten entsteht diese Diskrepanz durch verschiedene Hindernisse:

• Organisatorische Silos: Getrennte Berichtswege bedeuten, dass Cyberwarnungen selten in Betrugsmodelle einfließen und Betrugsereignisse möglicherweise nicht auf ihren Cyberursprung zurückgeführt werden können.
• Ressourcenengpässe: Größere Institutionen verfügen möglicherweise über Programme zur Zusammenführung von Cyberbetrugsdaten, kleinere Institutionen hingegen haben oft nicht das Personal und das Budget für eine effektive Integration und einen effektiven Datenaustausch.
• Datenlücken: Die meisten Finanzinstitute unterhalten einen externen Bedrohungsdaten-Feed, der ein breites Spektrum an Cyberbedrohungen abdeckt, übersehen aber beispielsweise zahlungsspezifische Indikatoren im Zusammenhang mit Betrug.
• Begrenzter Informationsaustausch: Selbst bei starker Cyber- und Betrugsaufklärung verzögert ein mangelnder Informationsaustausch zwischen den Finanzinstituten die Erkennung und schwächt die Fähigkeit der Branche, Angriffe frühzeitig zu unterbinden.

Damit Cyber- und Betrugsteams effektiv zusammenarbeiten können, benötigen Banken strukturierte Ansätze zur Zusammenführung von Cyberbetrugsbekämpfung, die eine konsistente und wiederholbare Zusammenarbeit ermöglichen. Es gibt mehrere Schritte, die Banken unternehmen können, um die Lücke zu schließen und zu einer proaktiven Verteidigung überzugehen:

• Nutzen Sie zahlungsorientierte Erkenntnisse
• Informationsaustauschroutinen entwickeln
• Ausweitung des Informationsaustauschs im gesamten Finanzökosystem

Spezielle Bedrohungsanalysen für Zahlungsdienste helfen Teams dabei, Bedrohungsanalyse und -reaktion direkt auf Betrugsrisiken abzustimmen. So können beispielsweise mithilfe von Geheimdienstinformationen E-Skimmer-Infektionen bei Händlern erkannt werden, bevor Kartendaten gestohlen werden. Diese Informationen ermöglichen es Banken, risikobehaftete Karten proaktiv zu überwachen, Verluste zu reduzieren und Beeinträchtigungen für Kunden zu minimieren.

Banken benötigen keine riesigen Budgets, um vom Informationsaustausch zu profitieren. Betrugs- und Cyber-Teams in kleineren Institutionen können grundlegende Fusionspraktiken anwenden, wie z. B. wöchentliche gemeinsame Überprüfungen zur Analyse von Datenmustern oder Ad-hoc-Zusammenarbeit bei bestimmten Cyber-Ereignissen. 

Diese Routinen schaffen Vertrauen zwischen den Teams und helfen ihnen, Bedrohungsdaten proaktiv zu nutzen und effektive Notfallpläne zu erstellen. 

Wenn Institutionen Informationen für sich behalten oder sie nur mit einer Handvoll Partnern teilen, fällt es der Branche schwer, eine gemeinsame Verteidigung aufzubauen. Ein breiterer Informationsaustausch trägt dazu bei, Betrug im gesamten Ökosystem schneller zu unterbinden.

Eine verbesserte Zusammenarbeit zwischen Cyber- und Betrugsbekämpfungsteams hilft Banken, Cyberbetrug effektiver zu verhindern und bringt klare Vorteile mit sich, darunter:

• Schnellere Betrugserkennung und -reaktion
• Stärkeres Kundenvertrauen und höhere Kundenbindung
• Klarerer ROI für Sicherheits- und Betrugsbekämpfungsverantwortliche
  

Integrierte Erkenntnisse verkürzen die mittlere Erkennungszeit und ermöglichen es den Teams, Bedrohungen besser zu verstehen und schneller darauf zu reagieren, bevor sie sich zu groß angelegtem Betrug ausweiten. Durch das frühzeitige Erkennen von Angriffen können Banken finanzielle Verluste begrenzen und die Auswirkungen auf ihren Geschäftsbetrieb und ihre Kunden minimieren.

Die Reduzierung von Betrugsfällen kann auch dazu beitragen, die Kundenabwanderung zu minimieren und langfristige Kundenbeziehungen zu fördern. Fast zwei Drittel der Bankkunden (62 %) geben an, dass der Umgang einer Bank mit Betrugsfällen einen größeren Einfluss auf das Vertrauen hat als der Betrugsfall selbst.

Sicherheitsteams haben oft Schwierigkeiten, ihren Einfluss auf die Geschäftsentwicklung nachzuweisen. Indem sie ihre Arbeit direkt mit Betrugsprävention verknüpfen, können sie messbare Ergebnisse wie geringere Kundenabwanderung, erhaltenen Kundenwert und reduzierte finanzielle Verluste nachweisen.

Wenn Betrugs- und Cybersicherheitsteams zusammenarbeiten, können beide Funktionen ihren strategischen Wert deutlich unter Beweis stellen. Die Zusammenarbeit stärkt ihre Rolle beim Aufbau von Kundenvertrauen und beim Schutz des wirtschaftlichen Erfolgs des Instituts.

Wenn Betrugs- und Cyberkriminalitätsteams zusammenarbeiten, können sie frühzeitig Cyberindikatoren aufdecken, die sonst unbemerkt blieben, und darauf reagieren, bevor sie sich zu Betrugsfällen ausweiten.

Die Verbesserung der Cyberbetrugsanalyse durch integrierte Erkenntnisse ermöglicht es Institutionen, Ressourcen effektiver einzusetzen, indem sie sich auf die Signale konzentrieren, die für die Betrugsbekämpfung am wichtigsten sind. Mit klar definierten Instrumenten und Prozessen zum kontinuierlichen Informationsaustausch stärken Finanzinstitute nicht nur ihre eigenen internen Abwehrmechanismen, sondern auch die kollektive Widerstandsfähigkeit der gesamten Branche.

Sie möchten Betrug früher erkennen? Erfahren Sie mehr über die Cybersicherheits- und Cyber-Intelligence-Kompetenzen von Mastercard.