BLOG

Die Auswirkungen der Cyberkriminalität auf unser emotionales Wohlbefinden

Ian Lauth Miniaturbild
Ian Lauth
Veröffentlicht am 10. Oktober 2022

Mein Ruf ist mir völlig egal.

Joan Jett & the Blackhearts hatten den Luxus, diese Texte vor dem modernen Internetzeitalter herauszuschmettern, damals, als die Gegenkultur subversiv, cool und kantig war.

Heute ist die Gegenkultur Mainstream. Und unser Online-Ruf ist alles. Unsere digitalen Personas werden bewusst kuratiert, sind gut sichtbar und werden streng verwaltet, da wir uns immer stärker mit den Geräten in unserer Tasche verbinden.

Wenn also Konten aufgrund von Credential Stuffing übernommen werden und böswillige Akteure dies ausnutzen, können die Folgen auf sehr persönlicher Ebene verheerend sein.

Panik, Verlegenheit und Scham.

Dies sind echte Gefühle, die durch Dinge entstehen, die in unserer digitalen Welt passieren.

Dies gilt insbesondere für die Übernahme von Social-Media-Konten, die das Identity Theft Resource Center (ITRC) als „Account-Übernahme-Epidemie“ bezeichnet.

Laut dem ITRC , das im Jahr 2021 von knapp 15.000 Opfern von Identitätsdiebstählen mit der Bitte um Unterstützung kontaktiert wurde (allein schon ein Rekord), gab es von 2020 bis 2021 einen Anstieg der Übernahmen von Social-Media-Konten um 1.044 %. Eine erstaunliche Statistik.

Anschließend führte das ITRC eine Umfrage unter Opfern von Social-Media-Kontenübernahmen durch und fand heraus , dass 66 % angaben, starke emotionale Reaktionen auf den Verlust der Kontrolle über ihr Social-Media-Konto gehabt zu haben: 92 % fühlten sich verletzt, 83 % waren besorgt und ängstlich, 78 % wütend, 77 % verletzlich und 7 % selbstmordgefährdet.

Im Sinne des Welttags der seelischen Gesundheit sind dies wichtige Statistiken, die im Bereich der Cybersicherheit berücksichtigt werden sollten. Und obwohl es für manche leicht sein mag, Identitätsdiebstahl in sozialen Medien als bloße Unannehmlichkeit zu betrachten, zeigen diese Zahlen, wie eng der Online-Ruf einer Person mit ihrem emotionalen Wohlbefinden verknüpft ist.

Nehmen wir zum Beispiel ein paar meiner Freunde, Trevor und Stacey, deren Social-Media-Konten im Juli 2022 vermutlich durch denselben Credential-Stuffing-Angriff gehackt wurden. Keiner von beiden hatte seine Zwei-Faktor-Authentifizierung eingerichtet.

Beide Freunde sind erfolgreiche Berufstätige, die in den sozialen Medien aktiv waren, und einer von ihnen war zufällig ein gemäßigter Krypto-Enthusiast.

Die Betrüger posteten in ihren Instagram-Storys eine nicht gerade subtile Nachricht über ihre Beteiligung an einem Bitcoin-Mining-System. Es handelte sich um einen Screenshot eines iPhone-Sperrbildschirms, der ein Bild aus ihrem Profil enthielt (im Fall von Trevor ein Bild von ihm und seiner Frau aus seinem Profil) und eine gefälschte Textnachricht von BofA anzeigte, gefolgt von einem Screenshot von seinem angeblichen Bankkonto:

Man muss zwar kein Cybersicherheitsexperte sein, um zu erkennen, dass es sich hier um einen Betrug handelt, dennoch könnte es sich als effektive Phishing-Taktik erweisen, da die Nachricht vom tatsächlichen Konto einer vertrauenswürdigen Quelle innerhalb eines sozialen Ökosystems stammt, das nicht für Missbrauch bekannt ist.

Neugierig auf die Raffinesse dieser Angreifer – und weil ich nie eine Gelegenheit auslasse, direkt mit unseren Gegenstücken mit den schwarzen Hüten zu sprechen – habe ich auf die Geschichte reagiert, um zu sehen, wie effektiv ihre Botschaften waren:

Ich weiß, ich weiß. Ich bin so ein guter Freund, oder?

Für beide war es eine schreckliche Tortur. Trevor konnte das Gesichtserkennungs-Verifizierungsverfahren von Instagram nutzen, das Ihr Gesicht scannt und mit der endlosen Bibliothek markierter Fotos vergleicht. Innerhalb von 27 Stunden konnte er sich wieder Zugriff verschaffen und seine Zwei-Faktor-Authentifizierung einrichten.

Stacey hingegen hat die sozialen Medien völlig verlassen. Die Tortur war ihr einfach zu peinlich und verursachte so viel Angst bei ihr, dass sie einfach aufstand und ging. Sie kam zu dem Schluss, dass die ganze Sache mit der Rolle als Person in der digitalen Welt nichts für sie ist.

Das ist nicht ungewöhnlich. Einer Studie aus dem Jahr 2020 zufolge würden 28 % der Verbraucher eine Website nicht mehr nutzen, wenn ihr Konto gehackt wurde.

Panik, Verlegenheit und Scham.

Das sind nicht die Gefühle, die wir bei den Endbenutzern unserer Kunden erzeugen möchten, wenn sie sich auf unsere Produkte verlassen. Und obwohl dieses Beispiel möglicherweise nur auf soziale Medien zutrifft, ist dies doch ein Gefühl, das wir alle teilen können.

Ob in den sozialen Medien, im Fintech-Bereich, im E-Commerce oder in anderen Organisationen mit einer ausnutzbaren Benutzerbasis: Credential Stuffing ist ein Katz-und-Maus-Spiel, das uns auch künftig begleiten wird – und für Aufsehen sorgen wird.

Laut der Identitätsbetrugsstudie 2021 von Javelin Strategy and Research führte der Betrug durch Account Takeover (ATO) im Jahr 2020 zu Gesamtverlusten von über 6 Milliarden US-Dollar. Unternehmen entwickeln neue Abwehrmaßnahmen, Hacker entwickeln Tools, um diese Sicherheitsvorkehrungen zu umgehen, und der Kreislauf geht weiter.

Wie können sich Unternehmen wehren ?

In einem aktuellen Bericht der Aite Group wurden Risikomanager von Finanzinstituten, Fintech-Kreditgebern und E-Commerce-Unternehmen befragt, um herauszufinden, wie sie sich vor der zunehmenden Zahl von ATO-Angriffen schützen.

Zu den wichtigsten Erkenntnissen zählen:

  • Die meisten Verbraucher verwenden für mehrere Websites dieselben Benutzernamen und Passwörter. Dadurch entsteht eine Schwachstelle, die von der organisierten Kriminalität ausgenutzt wird.
  • Die verfügbare Angriffsfläche wird immer größer, was die Erkennung und Abwehr komplexer macht.
  • Organisationen benötigen eine Lösung, die Echtzeit-Datenanalysen nutzt, um mit automatisierten Angriffen Schritt zu halten und bösartige Aktivitäten zu blockieren, bevor diese das Geschäft beeinträchtigen.
  • Unternehmen mit robusten Abwehrmaßnahmen werden einen Rückgang des Angriffsvolumens erleben, da die Kriminellen ihre Angriffe auf leichtere Ziele konzentrieren.

Wenn man über die offensichtlichen Auswirkungen der ATO-Angriffe auf das Geschäftsergebnis hinausblickt, ist es wichtig, sich daran zu erinnern, dass diese Verbrechen echte Auswirkungen auf die Menschen haben.

Bei der Verhinderung von Betrug geht es nicht nur darum, Geld zu sparen. Dies ist ebenso wichtig für die Verhinderung menschlicher Traumata, die heimlich die Grundstrukturen einer idealeren digitalen Zukunft untergraben. Wie in der physischen Welt erfordern unsere Wünsche Sicherheit und Vertrauen.