Wie ATOs verhindert werden können

Article Image

Rund 111 Millionen Verbraucher nutzen Sharing-Plattformen. Von Fahrdiensten wie Uber und Lyft bis hin zu Plattformen, wie Fiverr ist die Ökonomie des Teilens allgegenwärtig. Leider sind diese nicht nur bei legitimen Kunden beliebt, sondern auch bei Betrügern. Vielen Plattformen mangelt es an ausreichenden Überprüfungsverfahren, wodurch es ein Leichtes für Betrüger ist die Konten legitimer Kunden zu hacken. 

In diesem Blogpost möchte ich darlegen, wie Händler Betrüger von ihrem Schaffen abhalten können, ohne dabei legitime Kunden zu verlieren. Darlegen werde ich dies mit Hilfe der Geschichte einer Kundin, die Opfer eines Accountübernahme-Angriffs geworden ist, um zu zeigen, wie der Ruf einer Marke beschädigt werden kann, wenn es Unternehmen und Händlern nicht gelingt Kundenkonten entsprechend zu schützen.

Betrug vs. Verifizierung

Gehackte Uberkonten sind mittlerweile sogar noch wertvoller, als Kreditkarteninformationen, da sie im Darknet für bis zu 25€ verkauft werden, verglichen mit 4€ für Kreditkarteninformationen. Nichtsdestotrotz verlangen die meisten Sharing-Plattformen nicht, dass wiederkehrende Kunden ihre Identität verifizieren, indem sie ihr Passwort eingeben. Dies ist verständlich, da Händler ihren Kunden ein nahtloses Einkaufserlebnis bieten wollen. Was passiert jedoch, wenn ein verdächtiger Login-Versuch unternommen wird? 

Einem von PYMNTS veröffentlichten Bericht zufolge wurden 35% der Verbraucher bei der gemeinsamen Nutzung von genannten Plattformen gebeten, ihre E-Mail-Adresse bei einem erneuten Login in ihr Benutzerkonto zu bestätigen (wenn diese nicht als Benutzername verwendet wurde). Die nächsthäufigsten Formen der Verifizierung erfolgt anhand der Telefonnummer oder aufgrund der Beantwortung einmaliger E-Mail- oder Textnachrichten. Im Zuge der Kundenverifizierung müssen Händler jedoch sicherstellen, dass sie dies auf effektive Weise tun. Sie sollten in der Lage sein, das Risiko aller kontobasierten Aktivitäten zu beurteilen und gegebenenfalls eine Identitätsprüfung durchzuführen. Die folgende Geschichte zeigt, was nach einem Accountübernahme-Angriff passiert, wenn Kunden mit den Folgen eines Datendiebstahls ihrer personenbezogenen Daten konfrontiert werden. Die Details wurden aus Gründen der Anonymität geändert, sie basieren jedoch auf einem wahren Ereignis.

Die Geschichte

Sara lebt in Deutschland. Vor zwei Jahren musste sie für eine Geschäftsreise nach Chicago fliegen. Während ihres Aufenthalts in Chicago eröffnete sie ein Konto bei einer Mitfahrzentrale, so dass sie problemlos von ihrem Hotel aus zu verschiedenen Meetings in die Stadt fahren konnte. Um das Benutzerkonto einzurichten und zu verifizieren, benutzte sie ihre private E-Mail-Adresse und eine vorübergehende US-Telefonnummer, die ihr  Unternehmen für die Dauer des Aufenthalts aktiviert hatte. Für die Zahlung verwendete sie ihre in Deutschland ausgestellte Kreditkarte. Nach ihrer Rückkehr nach Deutschland hatte sie keine Verwendung mehr für das Benutzerkonto, deaktivierte es jedoch nicht, da sie es für zukünftige Auslandsaufenthalte nutzen wollte. Vor einigen Wochen erhielt Sara eine E-Mail von der Mitfahrzentrale, in der ein Gerätewechsel und eine Änderung des Passworts im Benutzerkonto festgestellt wurde. Das Benutzerkonto wurde daraufhin nicht gesperrt, sondern Sara lediglich über die Änderung informiert.

Da Sara keinen Zugang mehr zu der Telefonnummer hatte, die ursprünglich zur Verifizierung des Kontos verwendet worden war, bestand sie die zweistufige Verifizierung nicht, welche nötig war, damit sie sich in ihr Konto einloggen konnte. Daher konnte sie nichts Näheres in Erfahrung bringen. Sie versuchte also daraufhin den Kundendienst zu kontaktieren. Leider konnte sie keine Telefonnummer herausfinden und musste sich stattdessen mit einem Kontaktformular begnügen. Im Formular gab sie dann ihre Kontaktdaten an und hoffte, dass man ihr schnell antworten würde. Stunden verstrichen und nichts passierte. Währenddessen ging in Saras Posteingang ein Beleg nach dem Anderen ein. 62€ für eine Fahrt in Brooklyn, 47€ für eine Fahrt in Detroit, 75€ für eine Fahrt in Miami, allesamt durchgeführt unter der teuersten Kategorie, welche die Mitfahrzentrale im Angebot hatte. Es kam jedoch noch schlimmer: der Betrüger fuhr nicht nur auf Kosten Saras, sondern teilte ihre Kontodaten auch noch mit anderen und das Konto wurde von der Mitfahrzentrale nicht gesperrt, obwohl eindeutig verdächtige Aktivitäten erkennbar waren.

Glücklicherweise rief Saras Bank an. Diese bemerkte schnell die ungewöhnlichen Abbuchungen aus unterschiedlichen Städten, welche über die ganze USA verstreut waren. Sie rief Sara sofort an, um sich zu vergewissern, dass die Abbuchungen rechtens waren. Sara erklärte ihrer Bank daraufhin, dass es sich bei den Abbuchungen um Betrug handle und ihr Benutzerkonto kompromittiert worden war. Da sich die Mitfahrzentrale noch immer nicht bei ihr gemeldet hatte blieb ihr keine andere Wahl, als ihre Kreditkarte sperren zu lassen. Innerhalb weniger Minuten erhielt sie einen weiteren Beleg, diesmal mit dem folgenden Vermerk: Wir waren nicht in der Lage, ihre Karte mit der Endziffer ***90 zu belasten. Bitte aktualisieren Sie Ihre Zahlungsinformationen. Die Plattform hatte den Accountübernahme-Angriff also immer noch nicht bemerkt.

Über 48 Stunden und 9 Abbuchungen später erhielt sie schließlich einen Anruf von Ubers Kundendienst. Sara erklärte dem Mitarbeiter des Kundendienstes, dass sie versucht hatte, mit ihnen Kontakt aufzunehmen, als sie die Aktivität auf ihrem Konto zum ersten Mal bemerkte. Des Weiteren erklärte sie dem Kundenmitarbeiter, dass sie in Deutschland lebe und noch nie in einer der in den Abbuchungen aufgeführten Städte gewesen sei. Der Kundenmitarbeiter fragte sie daraufhin, ob die mit dem Benutzerkonto in Verbindung stehende Telefonnummer mit 781 beginne. Sara erkannte diese Nummer nicht wieder. Der Kundenbetreuer erklärte ihr daraufhin, dass die Betrüger sie wohl geändert hätten, damit sie mit ihrer eigenen übereinstimme.

Der Kundenbetreuer aktualisierte Saras Kontoinformationen, so dass sie sich schließlich in ihr Benutzerkonto einloggen konnte. Zu diesem Zeitpunkt wollte Sara jedoch nichts mehr mit dem Unternehmen zu tun haben. Die Mitfahrzentrale hatte sich nicht nur reichlich spät bei Sara gemeldet, sondern noch nicht einmal das Benutzerkonto gesperrt, als bei ihrem Konto, welches Sara zwei Jahre lang nicht genutzt hatte plötzlich 9 Fahrten aus unterschiedlichen Städten eingingen. Ganz zu schweigen von einer Reihe von Änderungen an Passwörtern, Telefonnummern sowie der Benutzung von unterschiedlichen Geräten.

Erkennung von ATO-Angriffen

Leider ist Saras Geschichte kein Einzelfall. Kunden machen nur allzu oft die Erfahrung, dass ihre Benutzerkonten kompromittiert wurden. Von den Kunden, die Opfer eines Accountübernahme-Angriffs wurden, gaben nur 7,5% an, dass sie vom Händler über diesen informiert wurden. Die anderen 92,5% erfuhren davon von ihrer Bank/ihrem Kreditkartenunternehmen (36,3%), erhielten eine Auftragsbestätigung (26,3%), sahen den nicht autorisierten Einkauf auf ihrem Konto (16,9%) oder ließen ihre Kontodaten und/oder ihr Passwort ändern (13,1%). Abgesehen von der schlechten Kundenerfahrung verbringen ATO-Opfer durchschnittlich 15 Stunden damit den Betrug aufzuklären. Im Fall von Sara musste die Kreditkarte gesperrt werden und alle weiteren Konten, die mit der alten Kreditkarte verbunden waren aktualisiert werden. Die Frage ist nun, wie Unternehmen Accountübernahme-Angriffe erkennen können bevor diese passieren?

Alles beginnt mit einer genauen Entscheidungsfindung. Das Sammeln und Analysieren von Daten über das Online-Verhalten der Benutzer in Echtzeit und der Vergleich mit dem früheren Verhalten der Kunden ist der Schlüssel zur Aufdeckung von versuchten Accountübernahme-Angriffen. Indem sie zum Beispiel jedes Kontoereignis mit ihren früheren Transaktionen verknüpfen, können Händler legitime Kunden und Betrüger besser voneinander unterscheiden. Es reicht jedoch nicht aus diese Übergriffe lediglich zu identifizieren. Um gegen diese Art von Betrug erfolgreich vorzugehen müssen Händler festlegen, wann und wie sie Kunden über verdächtige Anmeldeversuche benachrichtigen, eine zusätzliche Verifizierung anfordern oder kompromittierte Benutzerkonten sperren. Bei verdächtigen Anmeldeversuchen empfehlen wir eine E-Mail-Verifizierung, die nicht nur eine Nachricht enthält, welche die Benutzer darüber informiert, dass ein verdächtiger Anmeldeversuch stattgefunden hat, sondern den Empfänger aktiv auffordert sein Benutzerkonto zu verifizieren. 

Vertrauen ist wichtig

Es besteht kein Zweifel, dass Sharing-Plattformen unser Leben erleichtern. Das Vertrauen der Nutzer in diese Plattformen macht deren Erfolg aus. Eine Verifizierung kann dabei das Vertrauen nur erhöhen. Wenn Händler jedoch die Sicherheit von Kundenkonten gut verwalten stellen sie damit ihr Engagement für die Kunden unter Beweis. Tun sie dies nicht kann der gute Ruf des Unternehmens in Mitleidenschaft gezogen werden. Wenn Sie mehr über die ATO-Präventionslösung von Riskified erfahren möchten, wenden Sie sich bitte an sales@riskified.com.