4 Tipps für die Nutzung digitaler Innovationen ohne das Risiko von Account-Übernahmebetrug und Kundenreibereien
Viele Online-Händler und Dienstleistungsunternehmen stehen vor einem Paradoxon: Kunden fordern bequemere digitale Dienste, während gleichzeitig die Zahl und die Auswirkungen von Cyberangriffen auf den elektronischen Handel und Onlinedienste rasant zunehmen. Dies bringt Online-Unternehmen in die missliche Lage, dass sie den Kundenpräferenzen hinsichtlich digitaler Innovationen Rechnung tragen und sich dabei einem erhöhten Risiko von Betrug und anderen Formen der Internetkriminalität aussetzen müssen.
Den Kern dieses Rätsels bilden drei Hauptursachen. Erstens vergrößert jeder neue digitale Dienst oder jede neue E-Commerce-Site, die Unternehmen einführen, die vorhandene Angriffsfläche. Damit haben Kriminelle eine größere Angriffsfläche und die Erkennung und Eindämmung wird komplexer. Darüber hinaus konzentrieren sich in den meisten Organisationen die Sicherheits- und Betrugsbekämpfungsteams am stärksten auf die Abwehr von Cyberkriminalität. Diese agieren häufig isoliert und arbeiten selten gemeinsam an der Cyberstrategie oder an Verteidigungstaktiken. Dies erschwert einen koordinierten Ansatz zur Cybersicherheit, der Angriffe einschränken oder verhindern und Sicherheitsverletzungen und Betrug schneller unterbinden könnte.
Und schließlich – und das ist etwas ironisch – erhöhen bestimmte Gewohnheiten und Verhaltensweisen der Kunden unbeabsichtigt das Ansehen von Online-Händlern und -Dienstleistern. Einer Studie von Google zufolge verwenden etwa zwei Drittel der Verbraucher dieselben Anmeldeinformationen (Benutzernamen und Passwörter) auf mehreren Websites. Und wer kann es ihnen verdenken? Laut einem Bericht von BuiltWith zur Verteilung der E-Commerce-Nutzung gibt es im Internet nahezu 33 Millionen E-Commerce-Sites, und auf fast allen ist für den Kauf eine Form von Benutzername und Passwort erforderlich.
Durch die wiederholte Wiederverwendung von Anmeldeinformationen entstehen jedoch Schwachstellen, die von Cyberkriminellen und ihren Armeen automatisierter Bots leicht ausgenutzt werden können. Laut Hacker News sind gestohlene oder kompromittierte Anmeldeinformationen für 54 % aller Sicherheitsverletzungen verantwortlich und ebnen damit den Weg für eine der schwerwiegendsten Cyberbedrohungsmethoden überhaupt: die Übernahme von Konten (Account Takeover, ATO). Mithilfe von Armeen aus Bots führt der Angreifer automatisierte Anmeldeversuche in großem Umfang durch (eine Praxis, die als „Credential Stuffing“ bezeichnet wird). Mit dieser Methode will er herausfinden, welche Anmeldedatenpaare in mehreren Anmeldeformularen gültig sind. Da ein erheblicher Teil der erbeuteten Zugangsdaten auch dazu dient, Zugriff auf Konten bei anderen Sites zu erhalten, können Angreifer die Kontrolle über Konten übernehmen, die Zugangsdaten ändern, um den rechtmäßigen Kontoinhaber auszusperren, das Vermögen des Kontoinhabers plündern und die Konten für weitere Betrugsversuche verwenden.
Laut einem Bericht in VentureBeat verzeichneten die ATOs im ersten Halbjahr 2022 einen starken Anstieg um 131 % gegenüber dem gleichen Zeitraum des Vorjahres. Die Auswirkungen sind real: Laut der Javelin 2022 ID Fraud Study sind 22 % der Erwachsenen in den USA Opfer von ATO geworden, und laut Berichten im American Banker wird erwartet, dass die weltweiten Schäden durch digitalen Betrug zwischen 2023 und 2027 343 Milliarden US-Dollar übersteigen werden.
Es scheint klar, dass für viele E-Commerce- und Onlinedienste die Einführung digitaler Innovationen auch das Risiko von Cyberangriffen und potenziellen Verlusten durch Betrug erhöht. Das bedeutet jedoch nicht, dass Unternehmen Innovationen und Investitionen in neue digitale Kundenservices und -erlebnisse einschränken sollten. Das bedeutet, dass Unternehmen technische Innovationen nutzen sollten, um ihre digitalen Kanäle vor Sicherheitsbedrohungen und Betrug zu schützen.
Vier Schritte zur Sicherung digitaler Innovationen
Hier sind vier proaktive Maßnahmen, die Unternehmen ergreifen können, um die Risiken innerhalb ihrer digitalen Kanäle zu minimieren:
- Schädliche Bots eindämmen. Über die Hälfte des gesamten Datenverkehrs im Internet stammt von Bots. Einige dieser Bots sind zwar nützlich (Chatbots, Crawler von Suchmaschinen), die Mehrheit ist jedoch bösartig. Schadbots skalieren automatisierte Angriffe, die Waren aufkaufen, Lagerbestände horten, gefälschte Konten für betrügerische Zwecke erstellen, die Leistung von Websites und Apps verlangsamen und ATOs über Credential Stuffing durchführen. Übernehmen Sie die Kontrolle über die Bot-Aktivität in Ihren Netzwerken und Web-Eigenschaften mit erweiterten Bot-Minderungslösungen, die eine umfassende clientseitige Signalerfassung, aggregierte Datenerfassung und maschinelles Lernen verwenden, um Bot-Angriffe in Echtzeit durch Automatisierung der ATO-Prävention zu verhindern.
- Stoppen Sie manuellen Betrug. Wenn der ROI hoch genug ist, umgehen Angreifer die Anti-Automatisierungskontrollen durch manuellen Betrug, der schwieriger zu überwachen ist. Um manuellen ATO-Betrug in digitalen Kanälen zu erkennen, muss die wahre Identität der Benutzer ermittelt und ihre Absichten festgestellt werden. Dies muss jedoch erfolgen, ohne das Benutzererlebnis legitimer Kunden zu beeinträchtigen. Die hochentwickelten Betrugslösungen von heute nutzen KI-basierte Systeme, die anhand verifizierter menschlicher Daten trainiert wurden, um Wahrheitsgehalt und Absicht zu ermitteln und so manuellen Betrug in Echtzeit zu verhindern, ohne das Kundenerlebnis zu unterbrechen.
- Brechen Sie organisatorische Silos zwischen Sicherheits- und Betrugsteams auf. Während sich sowohl Betrugsbekämpfungs- als auch Sicherheitsteams mit den Komplexitäten von Cyberangriffen befassen, gehen sie das Problem häufig aus unterschiedlichen Blickwinkeln und mit unterschiedlichen Tools an. Sicherheitsteams schützen Computernetzwerke und nach außen gerichtete Anwendungen vor Infiltration und Angriffen, während sich Betrugsabteilungen auf den Schutz digitaler Online-Transaktionen und die Reaktion auf Vorfälle konzentrieren. Beide Teams haben möglicherweise mit den Auswirkungen desselben Vorfalls oder Exploits zu kämpfen. Wenn die Teams jedoch nicht miteinander kommunizieren, gehen möglicherweise Informationen zu Bedrohungen verloren und das Ausmaß des Angriffs wird möglicherweise nicht aufgedeckt. Davon profitieren ausschließlich die Angreifer. Durch die Zusammenarbeit zwischen Betrugsbekämpfungs- und Sicherheitsteams werden Angriffe besser sichtbar, die Überwachung und Erkennung verbessert und gezieltere Reaktionen ermöglicht.
- Reduzieren Sie Betrug, ohne das Kundenerlebnis zu beeinträchtigen. Wenn Unternehmen Maßnahmen ergreifen, um den automatisierten Bot-Verkehr einzudämmen, Schutzmaßnahmen gegen manuellen Betrug einzurichten und Betrugs- und Sicherheitsteams zusammenzuführen, um eine bessere Zusammenarbeit und eine wirksamere Reaktion auf Exploits zu ermöglichen, sind sie in der Lage, herkömmliche Betrugsschutzmaßnahmen zurückzufahren, die ihre Customer-Journey-Prozesse erschweren. Mit anderen Worten: Wenn das Betrugsrisiko unter Kontrolle ist, können Unternehmen störende CAPTCHA-Rätsel und andere lästige Challenge-Response-Tests weitgehend vermeiden und so legitimen Kunden ein deutlich verbessertes Benutzererlebnis bieten, ohne dass in ihren digitalen Kanälen ein Betrugsrisiko entsteht.
Durch die Erweiterung Ihrer E-Commerce-Sites und anderer digitaler Dienste steigt nicht zwangsläufig auch das Risiko eines Cyberangriffs. Fortschrittliche Lösungen zur Bot- und Betrugsbekämpfung wie F5 Distributed Cloud Bot Defense helfen Ihnen, Angreifern immer einen Schritt voraus zu sein und gleichzeitig frustrierende Sicherheitsprobleme zu beseitigen, um die Sicherheit und das Online-Erlebnis Ihrer Kunden zu verbessern. Distributed Cloud Bot Defense nutzt hochentwickelte Technologien wie Threat Intelligence Modeling und maschinelles Lernen zur Erkennung von Angriffstechniken und setzt in Echtzeit geeignete Gegenmaßnahmen ein, um Betrug und ATO mit maximaler Effektivität zu bekämpfen. So kann Ihr Unternehmen digitale Innovationen nutzen, ohne Betrug und Kundenreibung zu riskieren.
Um die wirtschaftlichen Auswirkungen von Bots auf Ihr Unternehmen zu ermitteln, vereinbaren Sie eine kostenlose Beratung zum ROI Ihres Bot-Management-Unternehmens. Um mehr über Credential-Stuffing-Angriffe zu erfahren, die zur Übernahme von Konten führen, lesen Sie das F5-eBook „Credential Stuffing 2022“: Die neuesten Angriffstrends und Tools . Oder lesen Sie diese Lösungsübersicht , um zu erfahren, wie F5 Distributed Cloud Bot Defense Ihre Online-Kanäle vor Angriffen und Betrug schützen kann.