Accountübernahme-Angriffe: Wie können sie verhindert werden?
In diesem Blogpost schauen wir uns an, was Accountübernahme-Angriffe (ATO) sind und geben einige Tipps mit Hilfe derer Händler ihre Kundendaten und Produkte vor raffinierten ATO schützen können. Betrüger und Cyberkriminelle entwickeln immer neuere und verbesserte Versionen, um Betrugspräventionslösungen einen Schritt voraus zu sein. Dieses Rennen mag für den signifikanten Anstieg an Accountübernahme-Angriffen verantwortlich sein, eine Art des Betrugs, die besonders schwer aufzudecken ist. In 2018 machten Verluste von Accountübernahme-Angriffen bereits 4.0 Milliarden US$ aus, Tendenz steigend.
ATO-Angriffe sind nicht nur schwer zu erkennen, sie können auch eine Menge Schaden anrichten, der über gestohlene Waren und Chargebacks hinausgeht. Kunden speichern ihre Kreditkartendetails häufig in ihren Benutzerkonten und vertrauen auf den Händler diese Daten zu schützen. Wenn sich ein Betrüger Zugang zu Benutzerkonten verschafft bleibt es am Kunden hängen sich mit den Folgen des Diebstahls ihrer persönlichen Daten auseinanderzusetzen, was ein sehr schlechtes Licht auf die Marke des Händlers wirft.
Wie Kommt es zu Accountübernahme-Angriffe und welche Formen können diese annehmen?
Wann immer sich ein Betrüger Zutritt zu einem legitimen Benutzerkonto Dritter macht wird dies als Accountübernahme-Angriff bezeichnet. Diese sind oft Resultat einer Datenschutzverletzung im Zuge dessen Cyberkriminelle sich in Informationssysteme hacken und Daten stehlen. Gestohlene Daten sind jedoch in der Regel unvollständig und unorganisiert, wodurch Betrüger Bots verwenden, um sich ihre Beute zu sichern.
Ein Bot ist eine einfache Software-Anwendung, die eine Aufgabe automatisiert. Unter Zuhilfenahme von Bots testen Betrüger mit hoher Geschwindigkeit und vollkommen automatisiert so lange Logins und Passwörter, bis sie sich erfolgreich eingeloggt haben und damit die gestohlenen Kreditkartendetails bestätigen können. Zusätzlich wird der Schaden noch dadurch vergrößert, dass meist die selben Logindaten, wie Name und Passwort für mehrere Benutzerkonten verwendet werden und es dem Betrüger somit erleichtert sich in weitere Benutzerkonten einzuloggen.
Sobald Betrüger über eine Sammlung von verifizierten Kreditkartendetails verfügen können sie diese für ihre eigenen Machenschaften verwenden oder sie im Darknet weiterverkaufen. Überraschend ist dabei, dass diese gestohlenen Daten so leicht erschwinglich sind. Logins für PayPal-Konten, die über ein Guthaben von 500$ verfügen kosten nur 6,43$, ein Login für ein Uber-Konto lässt sich unter 4$ erwerben.
Ein Betrüger, der über verschiedenen Login Details verfügt hat nun verschiedenen Möglichkeiten einen Accountübernahme-Angriff zu begehen. Eine Taktik ist die sogenannte Lösegeld-Attacke. Im Zuge dieser Attacke verschaffen sich Kriminelle Zugriff auf Daten von Einzelpersonen oder Unternehmen und drohen diese entweder zu vernichten oder zu veröffentlichen, wenn sie kein Lösegeld erhalten.
Lösegeld-Attacken sind jedoch sehr aufwendig und treten daher im E-Commerce seltener auf. Wenn Betrüger einen Einzelhändler ins Visier nehmen versuchen sie meist Waren mit den Kreditkartendetails eines Opfers zu zahlen. Der Idealfall für Betrüger sind dabei Folgende:
- Betrüger verfügen über die Kreditkartendetails eines Kunden, der auch Inhaber des Benutzerkontos ist oder der Kunde hat seine Kreditkartendetails auf der Website gespeichert.
- Auf dem Kundenkonto ist bereits Guthaben gespeichert, das Betrüger zum Einkaufen verwenden können, wie zum Beispiel, Flugmeilen, oder Treuepunkte. Dieser Betrug ist demnach auch als Loyalitätsbetrug bekannt.
Meistens haben Betrüger jedoch nicht das Glück und verfügen über ein Benutzerkonto mit den entsprechenden Kreditkartendetails und verwenden daraufhin in den meisten Fällen eine Kreditkarte die nicht dem Besitzer des Benutzerkontos gehört, in der Hoffnung, dass die Kreditkartendetails dem Händler genügen, um die Bestellung zu genehmigen. Für den Händler ist es sehr wichtig Stammkunden ein reibungsloses Einkaufserlebnis zu bieten, weswegen sie sich meist davor hüten loyale Kunden nach einer Authentifikation zu fragen.
Der Betrüger wird versuchen, die angegebene Lieferadresse zu ändern, um ein physisches Produkt während der Lieferung zu stehlen. Erfahrene Betrüger bemühen sich eher um digitale Güter, wie Geschenkgutscheine, da dieser Betrug nicht so leicht festgestellt werden kann, da es ein durchaus legitimes Einkaufsmuster ist einen Geschenkgutschein an an eine Email-Adresse zu schicken, die von der Email-Adresse des Benutzerkontos abweicht.
Alle Betrugsversuche sind jedoch recht effektiv. Herkömmliche Betrugserkennungssysteme sind nicht dafür ausgestattet Betrüger zu erkennen, die sich in Benutzerkonten legitimer Kunden einloggen. Der Schutz von Waren und persönlichen Informationen der Kunden erfordert ein Umdenken in Bezug auf Accountübernahme-Angriffe.
Ersten Schritte zur Erkennung & Prävention von ATO-Angriffen
Zuallererst ist zu beachten, dass es nicht ideal ist einen Accountübernahme-Angriff an der Kasse zu bemerken und daraufhin die Bestellung abzulehnen. Händler müssen daraufhin den legitimen Kontoinhaber informieren, dass ihr Konto gehackt wurde und diese Auffordern ihre Login-Informationen zu ändern. Die Folgen eine Daten-Kompromittierung können für einen Kunden verheerend sein. Dieser wird es sich daraufhin zweimal überlegen, ob er noch einmal auf der Website des Händlers einkauft.
Es ist jedoch immerhin noch besser diesen Betrug festzustellen, als einen Chargeback zu zahlen. Um einen ATO-Angriff beim Check-Out zu vereiteln müssen Händler sicherstellen, dass ihr System zur Betrugsprävention in der Lage ist Verhaltensänderungen zu erkennen, einschließlich einen Login von einer anderen IP-Adresse als der Üblichen. Zudem ist wichtig zu beachten, ob das Einkaufsverhalten des Käufers einem legitimen Kunden oder dem eines Betrügers gleicht (lesen Sie hier mehr über Verhaltensanalyse).
Am besten ist es jedoch für den Händler und den Kunden, den Login von Betrügern in ein legitimes Benutzerkonto zu verhindern. Damit verhindern Händler nicht nur Chargebacks, sondern schützen ihren Markennamen sowie die persönlichen Informationen ihrer Kunden. Um Betrüger bereits beim Login zu entlarven ist eine Verarbeitung der Daten sowie eine Entscheidungsfindung in Echtzeit nicht mehr wegzudenken. Kunden sind beim Login nämlich höchstens ein bis zwei Sekunden bereit zu warten. In anderen Worten, eine manuelle Überprüfung dauert in diesem Fall zu lang und stellt daher keine Option dar.
Welche Daten sollten Händler beim Login überprüfen? Genau wie beim Check-Out sollte die Betrugspräventionslösung die IP-Adresse sowie das Gerät, welches der Käufer verwendet registrieren und diese Variablen mit historischen Daten des Kunden vergleichen. Dies muss zudem in Echtzeit geschehen. Unstimmigkeiten sollten an diesem Punkt jedoch nicht zu einer Sperrung oder Ablehnung des Käufers führen. Es könnte zum Beispiel sein, dass ein Kunde ein neues Handy hat, mit dem er zum ersten Mal einkauft oder er könnte sich im Urlaub befinden. Wenn der vermeintliche Kunde jedoch dutzende Anläufe braucht um das Passwort richtig einzugeben ist zu vermuten, dass es sich um einen Betrüger handelt.
Eine wichtige Aufgabe für ein System zur Betrugsprävention ist die Bot-Erkennung beim Login. Sind Händler in der Lage anhand von bestimmten Parametern, wie die Tastenanschlagsgeschwindigkeit oder Orientierungssensoren von Handys zu erkennen, dass es sich beim versuchten Login um einen Bot handelt ist es sehr wahrscheinlich, dass es sich bei diesem Anmeldeversuch um einen Accountübernahme-Angriff oder um eine Phishing-Attacke handelt. Obwohl die Identifizierung von Betrügern aus Fleisch und Blut, die im Besitz von Kreditkartendetails sind wichtig ist, macht dies jedoch nur einen Teil der Betrugsprävention eines Händlers aus. Genauso wichtig ist es Phishing-Attacken an der Entstehungsquelle zu verhindern, damit Kreditkartendetails erst gar nicht gestohlen werden.
Die Aufspürung von Bots und Betrüger, welche keinesfalls leicht ist, macht leider nur die halbe Miete aus: Händler müssen sich entscheiden, wie sie vorgehen wollen. Sie müssen sich entscheiden, welche Bestellversuche sie blockieren wollen, welche sie zulassen und welche sie überprüfen wollen. Diest ist in jedem Fall ein Balanceakt. Idealerweise sollten nur ein paar Login-Versuche, die in den grauen Bereich fallen aufgefordert werden ihre Identität zu authentifizieren. Dadurch erhalten die meisten legitimen Kunden Zugriff ohne zusätzliche Friktion, wohingegen Login-Versuche bei denen sich Händler sicher sind, dass es sich um Betrüger handelt sofort blockiert werden können.
Die Entwicklung eines Systems, das eine Reihe von Risikoszenarien und verschiedene Arten von identitätsprüfenden Maßnahmen (Texte, Captcha, E-Mails, E-Mail-basierte Anmeldewarnungen, Sicherheitsfragen usw.) integriert, ist eine komplexe Aufgabe, die den Rahmen dieses Blogposts sprengen würde. Bei weiteren Fragen besuchen Sie bitte unsere Website oder wenden Sie sich an [email protected].