BLOG

Wie Online-Konten von Cyberkriminellen übernommen werden

Frank Kyei-Manu Miniaturbild
Frank Kyei-Manu
Veröffentlicht am 18. Oktober 2022

Eine Freundin erzählte uns kürzlich die Geschichte eines Spiels, das sie als Kind mit ihrer Familie gespielt hat. Während der Autofahrt versuchten sie zu erraten, woher die Leute in den anderen Autos kamen. Ihre Vermutungen basierten auf begrenzten Informationen – bestenfalls auf der Angabe des Bundesstaats auf einem Nummernschild oder einem Autoaufkleber.

Heute hingegen sind unsere persönlichen Daten in all unseren digitalen Assets äußerst leicht zu finden und für böswillige Akteure ist es durch Social-Engineering-Taktiken wie Phishing und Smishing einfacher geworden, darauf zuzugreifen.

Die Psychologie eines Cyberkriminellen

Cyberkriminalität beginnt wie die meisten Straftaten mit dem Konzept des MOM (Mittel, Gelegenheit und Motiv). Es ist wichtig, die Psychologie eines Cyberkriminellen zu verstehen und zu wissen, was ihn dazu treibt, Cyberbetrug zu begehen:

  • Bedeutet: Fähigkeiten, Werkzeuge und Mittel zur Begehung von Straftaten sind in Hülle und Fülle vorhanden. Dank einer Vielzahl kostenloser Tools und Dienste müssen Kriminelle heute keine versierten Experten mehr sein, um Betrug zu begehen.
  • Gelegenheit: Es gibt viele potenzielle Ziele. In der boomenden Application , in der alles vom Geld bis zu persönlichen Gesundheitsakten digitalisiert wird, haben Cyberkriminelle genügend Möglichkeiten und Ziele, um Betrug zu begehen.
  • Motiv: Normalerweise, aber nicht immer, ist das Motiv finanzieller Natur.

Gehen Sie davon aus, dass Sie angegriffen werden

Gehen Sie grundsätzlich davon aus, dass jede verbraucherorientierte Application und jedes digitale Konto, das Sie verwalten, früher oder später angegriffen wird. Dies kann sogar bei den am besten geschützten Konten passieren, da Angreifer mittlerweile geschickt darin sind, die App-Logik für Betrugszwecke zu missbrauchen.

Um gegen Cyberkriminelle zu gewinnen, ist Teamarbeit erforderlich. Zum Team gehören Application , Betrugsbekämpfungsteams und Sicherheitsteams einzelner Kontoinhaber und Institutionen. Der richtige Ansatz erfordert auch eine gemeinsame Anstrengung der einzelnen Benutzer dieser Applications und der Unternehmen, die sie erstellen. Er sollte damit beginnen, dass Sicherheits- und Betrugsteams ihre Abwehrmaßnahmen gegen Bedrohungen durch automatisierte Application bündeln, um Bot-Angriffe im Vorfeld zu stoppen und so Betrug im Nachhinein zu verhindern.

Bots sind ein zweischneidiges Schwert

Automatisierung ist an und für sich eine gute Sache. Bots automatisieren wiederkehrende Aufgaben, helfen Unternehmen bei der Kundenbindung und beim Aufbau von Markenaffinität. Sie haben beispielsweise möglicherweise mit einem Kundendienst Chatbot interagiert, um in Echtzeit Antworten auf Ihre Fragen zu erhalten.

In den falschen Händen sind Bots und Automatisierung jedoch leistungsstarke Tools, die für bösartige Angriffe wie Credential Stuffing verwendet werden können, um Konten zu übernehmen und Betrug zu begehen.

Typischerweise werden bei Credential Stuffing -Angriffen zuvor gestohlene Anmeldeinformationen genutzt und in zahlreichen Domänen getestet. Bei diesen Angriffen macht man sich die Tatsache zunutze, dass Benutzernamen und Passwörter häufig in vielen Applications wiederverwendet werden.

Tatsächlich zeigt ein aktueller Bericht , dass Mitarbeiter Passwörter durchschnittlich 13 Mal wiederverwenden. Und selbst wenn die Verbraucher über den Hack ihrer Konten informiert werden, ändert nur etwa ein Drittel ihr Passwort.

Cyberkriminelle nutzen diese Schwachstellen aus, um viele Arten von Betrug zu begehen, darunter:

  • Finanzbetrug: Angreifer verwenden gestohlene persönliche Informationen, um im Namen des Opfers ein Konto zu eröffnen oder darauf zuzugreifen und dessen Geld zu stehlen. Diese Konten können auch andere kriminelle Aktivitäten wie Geldwäsche unterstützen.
  • Betrug im Einzelhandel: Angreifer verwenden gestohlene persönliche Informationen, um Einkäufe in Einzelhandelsgeschäften oder auf E-Commerce-Websites zu tätigen, Lagerbestände zu horten und Geschenkkarten mit einem positiven Saldo zu stehlen.
  • Betrug im Gastgewerbe: Diese Art von Betrug zielt typischerweise auf Reise- und Kundentreue ab. Angreifer nutzen betrügerische Reise- oder Gastgewerbedienste, um Ihre Anmeldeinformationen und Identitätsinformationen für andere Zwecke zu stehlen. Darüber hinaus nutzen sie zuvor gesammelte Treuepunkte, Flugmeilen und Prämienpunkte, um Reisedienstleistungen für sich selbst oder andere zu buchen.

Das Problem der Credential-Angriffe

Identitätsbasierte Angriffe auf Anmeldeinformationen sind die häufigste Ursache für automatisierte Webangriffe, die zu Betrug führen. Identitätsinformationen können in Cybercrime-Foren problemlos käuflich erworben werden. Auf einigen Social-Media-Plattformen können Listen gefunden und gekauft werden.

Neue Anmeldeinformationen – beispielsweise solche, die innerhalb der letzten ein bis zwei Tage gestohlen wurden – sind für Cyberkriminelle wertvoller und teurer. Veraltete Anmeldeinformationen sind weniger wertvoll, da ihre Erfolgschancen wesentlich geringer sind. Da durch externe Kontoverletzungen wertvolle Anmeldeinformationen und personenbezogene Daten erlangt werden, sind diese Angriffe schwer zu identifizieren und zu stoppen.

Lassen Sie uns ein Beispiel durchgehen. Sobald Anmeldeinformationen gestohlen oder erlangt wurden, versuchen Cyberkriminelle mithilfe von Bots oder anderen automatisierten Tools, Konten zu erstellen oder darauf zuzugreifen. Es können Tausende (oder sogar Millionen) Versuche unternommen werden. Die Erfolgsrate von auf Anmeldeinformationen basierenden Angriffen liegt zwischen 0,2 und 2 % . Diese Prozentsätze mögen zwar gering erscheinen, doch müssen Angriffe auf Anmeldeinformationen keine hohe Erfolgsquote aufweisen, da Milliarden von Anmeldeinformationen kostenlos oder gegen eine geringe Gebühr erhältlich sind.

Stellen Sie sich vor, Sie erreichen eine Million Konten und erzielen eine Erfolgsquote zwischen 2.000 und 20.000. Das ist eine erstaunliche Zahl!

Verhinderung von Kontoübernahme und Betrug

Es ist wichtig zu verstehen, dass jedes dieser kriminellen Unterfangen ein Glied in einer Kette von Ereignissen ist. Der „industrialisierte Angriffszyklus“ (siehe Abbildung unten) veranschaulicht kritische Elemente im Ökosystem. Leider handelt es sich hierbei um ein großes und widerstandsfähiges Ökosystem. Daher ist es für Einzelpersonen und Organisationen zwingend erforderlich, wachsam zu sein und sich selbst sowie ihre Kunden und Geschäftspartner zu schützen.

Als Einzelpersonen müssen wir lernen, potenziell schädliche Phishing-Angriffe zu erkennen, außerordentlich sichere Passwörter zu verwenden und die Wiederverwendung von Passwörtern für verschiedene Konten einzuschränken.

Gleichzeitig müssen Sicherheits- und Betrugsbekämpfungsteams zusammenarbeiten, um den industrialisierten Angriffszyklus gemeinsam zu durchkreuzen.

Sehen Sie sich das Video unten an, um zu erfahren, wie F5 Unternehmen dabei hilft, sich vor Cyberbetrug zu schützen.
 

Seien Sie gespannt auf den letzten Blogbeitrag unserer vierteiligen Serie zum Cybersecurity Awareness Month, in dem es um APIs geht und darum, warum sie ein Sicherheitsproblem darstellen können. Lesen Sie unbedingt auch unsere vorherigen Blogbeiträge „ Wie moderne Apps erstellt und bereitgestellt werden“ und „Wie böswillige Akteure Applications für Angriffe ausnutzen“ .