Was ist ein betrügerischer Account Takeover (ATO)?

Erfahren Sie mehr über betrügerische Kontoübernahmen, deren Ablauf sowie über Erkennungs- und Präventionsstrategien von F5.

Die Kontoübernahme (Account Takeover, ATO) stellt den am weitesten verbreiteten und teuersten Angriff auf Finanzinstitute, E-Commerce und andere digitale Online-Dienste dar. Mithilfe von automatisierten Bots und anderen Methoden aus dem Bereich der Cyberkriminalität nutzen Kriminelle gestohlene Anmeldedaten, um auf Benutzerkonten zuzugreifen sowie diese zu kontrollieren und auf diese Weise Geld zu verdienen oder Betrug zu begehen. Die Auswirkungen von betrügerischem Account Takeover stellen eine reale Bedrohung dar: Laut der Javelin-Identitätsbetrugsstudie 2022 wurden 22 % der erwachsenen US-Amerikaner Opfer von ATO-Betrug.

Funktionsweise: Betrugstechniken bei Account Takeover

Ein betrügerischer Account Takeover stellt den Höhepunkt einer Reihe von cyberkriminellen Aktivitäten dar. Diese beginnen in der Regel mit gestohlenen oder kompromittierten Anmeldedaten, die zu Credential Stuffing-Angriffen führen, welche wiederum zur Übernahme der Online-Benutzerkonten eines Kunden genutzt werden können. Sobald das Benutzerkonto einmal übernommen wurde, können Kriminelle Konten plündern, Vermögenswerte monetarisieren und den Account für weitere betrügerische Aktivitäten nutzen.

Die grundlegendste Form von Credential Stuffing umfasst Bot-gesteuerte Brute-Force-Angriffe, bei denen Angreifer zufällige Zeichenkombinationen in Anmeldeformulare eingeben, bis diese mit den Anmeldeinformationen eines Benutzerkontos übereinstimmen.

Wie werden Anmeldedaten gestohlen?

Fortgeschrittenere Credential Stuffing-Angriffe beginnen mit gültigen Kombinationen aus Benutzernamen und Kennwörtern, die durch Datenschutzverletzungen gestohlen oder kompromittiert wurden. Gestohlene Anmeldedaten können einfach auf Marktplätzen im Dark Web erworben werden (laut Cyber Security Hub wurden 22 Milliarden Datensätze allein im Jahr 2022 offengelegt).

Anmeldedaten können auch durch eine Reihe von Cyberangriffen und anderen Techniken aus dem Bereich der Cyberkriminalität gestohlen werden, darunter:

  • Phishing-Angriffe, eine Art Social-Engineering-Exploit, bei dem Kriminelle E-Mails, Texte oder Social-Media-Nachrichten verwenden, um Personen dazu zu bringen, private Informationen wie Anmeldedaten, Bankkontoinformationen, Sozialversicherungsnummern oder andere sensible Daten preiszugeben.
  • Keylogging, Magecart, Skimming und andere Formen von clientseitiger Malware, bei denen böswillige Akteure Anmeldedaten stehlen, indem sie schädliche Skripte in Online-Checkout-Formulare einfügen. Während das Opfer seine Anmeldedaten und Kreditkarteninformationen eingibt, überträgt das Skript die Daten an den Angreifer, der diese Informationen für betrügerische Aktivitäten verwenden oder an andere Kriminelle verkaufen kann.
  • Man in the Middle (MitM)-Angriffe, bei denen Angreifer Nachrichten oder Datentransaktionen abfangen, indem sie sich als Proxys zwischen zwei legitime, an der Datenkommunikation beteiligte Parteien stellen. Dadurch kann der Angreifer die übertragenen Informationen und Daten beider Parteien „abhören“, um auf diese Weise Anmeldedaten oder andere persönliche Informationen zu sammeln.

Sobald Cyberkriminelle einen Vorrat an gültigen Anmeldedaten gesammelt haben, können sie, oft in großem Umfang, mit dem Credential Stuffing beginnen. Da etwa zwei Drittel der Verbraucher dieselben Benutzernamen und Passwörter auf mehreren Websites verwenden, können Cyberkriminelle und ihre Armeen automatisierter Bots diese wiederverwendeten Daten leicht ausnutzen: Ein erheblicher Teil der gestohlenen Anmeldedaten wird auch für den Zugriff auf Accounts auf anderen Websites verwendet. Sobald Angreifer Benutzerkonten übernommen haben, können sie die Anmeldedaten ändern, um den rechtmäßigen Kontoinhaber vom Zugriff abzuhalten, Vermögenswerte entnehmen und die Konten für weitere betrügerische Aktivitäten einsetzen.

Auswirkungen von betrügerischem Account Takeover

Laut Berichten in American Banker wird davon ausgegangen, dass die betrugsbedingten Verluste im digitalen Bereich durch Angriffe wie ATO in den Jahren 2023 bis 2027 weltweit die Summe von 343 Milliarden US-Dollar übersteigen werden.

Kontoübernahmen wirken sich jedoch nicht nur auf den finanziellen Bereich aus. Die Unternehmensmarke und der Ruf eines Unternehmens können ebenfalls darunter leiden, was zu Geschäftsverlusten und negativer Presse aufgrund der wahrgenommenen Sicherheitsschwachstelle führt. Auch eine langfristige Schädigung des Markenimages kann die Folge sein. Es kann Jahre dauern, bis ein guter Ruf wiederhergestellt ist.

Unternehmen können außerdem das Vertrauen und die Treue der Kunden verlieren, was zur Beendigung von Geschäftsbeziehungen führt. Kunden sind verständlicherweise unzufrieden, wenn die unzureichenden Sicherheitsmaßnahmen eines Unternehmens zu Account Takeover und kostspieligen betrügerischen Aktivitäten führen.

Zudem können sich rechtliche Folgen für Unternehmen ergeben, wenn Verbraucherdaten nicht geschützt werden. Rechtsvorschriften und Normen wie die Datenschutz-Grundverordnung (DSGVO) in der EU, der California Consumer Protection Act (CCPA) und der Payment Card Industry Data Security Standard (PCI-DSS) sollen den Datenschutz für Verbraucher gewährleisten und sehen im Falle von Datenschutzverletzungen hohe Geldstrafen vor. Dazu gehören ATO-Angriffe, bei denen private Daten an Bots weitergegeben werden.

Erkennung von betrügerischem Account Takeover

Es ist wichtig, Benutzerkonten und -aktivitäten zu überwachen, um Anzeichen von ATO zu erkennen.

  • Achten Sie auf unerwartete Änderungen der Kontoaktivitäten. Diese Änderungen können neue oder nicht autorisierte Transaktionen, große Abhebungen, zufällige und vereinzelte Datenverkehrsspitzen oder Anfragen zur Änderung von Passwörtern, Adressen oder Zahlungsempfängern umfassen. Diese anormalen Aktivitäten können ein Zeichen dafür sein, dass das Konto angegriffen wird. Überprüfen Sie in diesen Fällen das Konto, um festzustellen, ob sich etwaige Benutzerdaten wie das Passwort oder die Telefonnummer geändert haben, was darauf hindeuten könnte, dass auf das Konto zugegriffen wurde.
  • Achten Sie auf ungewöhnliche Anmeldeversuche. Eine Reihe von fehlgeschlagenen Anmeldeversuchen kann darauf hinweisen, dass ein böswilliger Akteur versucht, einen Account mithilfe von Credential Stuffing zu kompromittieren. Seien Sie besonders wachsam, wenn die Anmeldeversuche von einem ungewöhnlichen Ort ausgehen oder zu einer Tageszeit erfolgen, zu der das Konto normalerweise inaktiv ist.
  • Achten Sie auf neue oder unbekannte Geräte, die auf ein Benutzerkonto zugreifen. Aktivitäten von neuen oder unbekannten Geräten können darauf hindeuten, dass ein Konto kompromittiert wurde oder dass ein Betrüger versucht, sich mit gestohlenen Anmeldedaten anzumelden. Ebenso können mehrere Geräte, die sich bei einem einzigen Account anmelden, ein Hinweis dafür sein, dass das Konto von Kriminellen angegriffen wird.
  • Verdächtige E-Mails oder Textnachrichten. Eine Zunahme von (Phishing-)E-Mails kann darauf hindeuten, dass Benutzer von Betrügern ins Visier genommen werden. Erinnern Sie Ihre Kunden daran, niemals auf Anhänge oder Live-Links in einer digitalen Nachricht von einem unbekannten Absender zu klicken und niemals Benutzernamen, Passwörter, persönliche Informationen oder Finanzdaten über das Telefon oder das Internet an Dritte weiterzugeben. Legitime Unternehmen fragen nicht per E-Mail oder Textnachricht nach Benutzerkonto-Informationen.

Verhindern von betrügerischem Account Takeover

Ein proaktiver Ansatz zur Verhinderung von ATO umfasst mehrere Schutzstrategien auf verschiedenen Ebenen. Dazu gehören der Einsatz bewährter Methoden samt Schwerpunkt auf der Aufklärung von Benutzern, die Infrastrukturüberwachung in Echtzeit sowie ein starker Authentifizierungsschutz.

Aufklärung und Sensibilisierung der Benutzer

Eine der effektivsten Möglichkeiten, die Übernahme von Accounts zu verhindern, sind Bildungsprogramme, die die Benutzer darin schulen, Risiken zu erkennen und diesen nicht nachzugeben. ATO-Angriffe beginnen oft mit Phishing, bei denen ein böswilliger Akteur versucht, Benutzer dazu zu bringen, Anmeldedaten für ihr Benutzerkonto preiszugeben oder auf bösartige Links zu klicken. Phishing-E-Mails und -Texte können sehr überzeugend sein, vor allem wenn Kriminelle hierfür persönliche Daten aus den sozialen Medien nutzen. Stellen Sie außerdem sicher, dass Benutzer wissen, wieso starke Passwörter so wichtig sind und setzen Sie die Verwendung starker Passwortprotokolle durch.

Starke Authentifizierungsmaßnahmen

Eine starke Authentifizierung erfordert, dass Benutzer bei einem Anmeldeversuch zwei oder mehr Verifizierungsfaktoren angeben, welche über die Kombination aus Benutzernamen und Passwort hinausgehen. Es gibt mehrere Ansätze im Rahmen einer starken Authentifizierung.

  • Die Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode für die Identitäts- und Zugriffsverwaltung, die zwei Verifizierungsfaktoren erfordert, um die Identität für den Zugriff auf Ressourcen und Daten zu ermitteln. In der Praxis muss häufig ein einmaliger Passcode aus einer E-Mail oder einer Textnachricht in ein bekanntes Gerät wie ein Smartphone oder einen Browser auf einem Computer eingegeben werden.
  • Die Multi-Faktor-Authentifizierung (MFA) ähnelt der 2FA, mit der Ausnahme, dass mindestens drei Verifizierungsfaktoren für eine erfolgreiche Anmeldung angegeben werden müssen. In den meisten Fällen erfordert dies den Empfang eines einmaligen Codes auf einem bekannten Gerät und ein biometrisches Verfahren, wie z. B. die Prüfung eines Fingerabdrucks, einen Retina-Scan oder eine Spracherkennung. Zwar stellen sowohl 2FA als auch MFA weiterhin wertvolle Hilfsmittel zur Verbesserung der Sicherheit von Online-Konten dar, jedoch reichen diese nicht mehr zur endgültigen Verteidigung gegen ATO-Angriffe aus, da sie leicht durch kriminelle Angriffe umgangen werden und das Benutzererlebnis beeinträchtigen können.
  • Die risikobasierte Authentifizierung ist eine Zugriffsverwaltungsmethode, die die Anforderungen des Authentifizierungsprozesses an das Risiko des Anmeldeversuchs anpasst. Zum Beispiel würde eine Anmeldung, bei der lediglich der Kontostand überprüft werden soll, einen weniger restriktiven Authentifizierungsprozess erfordern als eine Anmeldung, bei der ein Passwort geändert oder Geld auf ein neues Konto überwiesen werden soll. Im Wesentlichen wird der Authentifizierungsprozess mit zunehmendem Risiko strenger, was zusätzliche Faktoren und Analysen erfordert.

Überwachung und Überprüfung von Konten

Sowohl Verbraucher als auch Unternehmen sollten Konten regelmäßig auf verdächtige Aktivitäten überwachen und prüfen. Für Verbraucher umfasst dies die regelmäßige Anmeldung bei Finanzkonten und anderen Konten mit Vermögenswerten (einschließlich Treueprogrammen und Geschenkkarten), um Guthaben und Kontoaktivitäten im Auge zu behalten.

Unternehmen und Organisationen können eine Reihe von Technologien einsetzen, um die kontinuierliche Überwachung und Überprüfung von Konten zu automatisieren. Dies umfasst Kontoverfolgungssystemen, die Techniken wie maschinelles Lernen und KI-basierte Erkennung zur Betrugsprävention verwenden, wobei anomale Aktivitäten identifiziert werden, die nicht dem üblichen Verhalten des Benutzers entsprechen.

Webanwendungs-Firewall (WAF)

Eine WAF schützt Webanwendungen durch das Filtern, Überwachen und Blockieren jeglichen böswilligen HTTP/S-Datenverkehrs, der zur Webanwendung gelangt, und verhindert, dass nicht autorisierte Daten die Anwendung verlassen. Dies geschieht durch die Einhaltung einer Reihe von Richtlinien, mit deren Hilfe bestimmt werden kann, welcher Datenverkehr als böswillig und welcher als sicher gilt. Eine WAF fungiert als Vermittler, der den Webanwendungsserver vor einem potenziell böswilligen Client schützt.

Obwohl WAF-Richtlinien nicht speziell auf die Erkennung von ATO-Aktivitäten ausgelegt sind, können sie gezielt zum Identifizieren und Blockieren von Kontoübernahmen eingesetzt werden. WAFs können außerdem dazu beitragen, bösartige Botaktivitäten zu identifizieren, welche häufig Brute-Force-Credential Stuffing-Angriffen vorausgehen.

Hinzufügen von Bot-Erkennung und -Abwehr zu Netzwerken

Armeen von Bots ermöglichen es Kriminellen, ihre Angriffe zu skalieren, MFA-Kontrollen zu umgehen und Betrug zu begehen. Automatisierung bedeutet, dass Massen von Bots zur Verfolgung der zugewiesenen Aufgabe eingesetzt werden können, unabhängig davon, ob es sich um Credential Stuffing oder Phishing-Angriffe handelt. Bot-Erkennungslösungen bieten Einblicke in böswillige Aktivitäten wie die Erstellung gefälschter Konten, das Horten von Beständen, Scraping und digitales Skimming von Anmeldedaten. Bot-Erkennungslösungen können zudem Warnmeldungen im Falle clientseitiger Angriffe wie Formjacking, digitales Skimming, Magecart und andere browserbasierte JavaScript-Schwachstellen ausgeben.

Reaktion auf betrügerischen Account Takeover

Aufgrund der Vielzahl gestohlener und kompromittierter Anmeldedaten, die im Dark Web leicht verfügbar sind, wird es immer wahrscheinlicher, dass Unternehmen früher oder später von einem Cyberangriff betroffen sind. Es ist unerlässlich, dass Unternehmen im Voraus robuste Reaktionen und Prozesse planen, um die Auswirkungen eines Cyberangriffs auf die Organisation und ihre Kunden zu einzudämmen.

Plan zur Reaktion auf Sicherheitsvorfälle

Ein Plan zur Reaktion auf Sicherheitsvorfälle definiert die aktiven Schritte, verfügbaren Ressourcen und Kommunikationsstrategien, die bei der Identifizierung eines Bedrohungsereignisses umgesetzt werden. Ein Plan zur Reaktion auf Sicherheitsvorfälle sollte die Protokolle zur Reaktion auf das Ereignis definieren und ein Team zur Reaktion auf Sicherheitsvorfälle festlegen, das für die Umsetzung des Plans geschult wurde.

Benachrichtigung und Unterstützung von Kunden

Es ist wichtig, dass das Team zur Reaktion auf Sicherheitsvorfälle die betroffenen Kunden direkt benachrichtigt und ihnen erklärt, was passiert ist, welche Schritte zu ihrem Schutz unternommen werden, und sie auffordert, das kompromittierte Passwort zu ändern, falls es auch für andere Konten verwendet wird. Der Kontakt zu betroffenen Kunden ist wichtig, um das Vertrauen wiederaufzubauen.

Untersuchung und Behebung

Nach der Erkennung eines Angriffs ist es von entscheidender Bedeutung, den Sicherheitsvorfall auszuwerten und einzudämmen sowie die Art und den Umfang des Vorfalls sowie die betroffenen Systeme zu ermitteln. Sobald der Zugriffspunkt identifiziert wurde, sollte die Organisation den unbefugten Zugriff des Angreifers auf betroffene Konten unterbinden und sicherstellen, dass die kompromittierten Konten nicht mehr für böswillige Aktivitäten verwendet werden können. Analysieren Sie im Rahmen der Überprüfung der Betrugseindämmung, wie Sie verhindern können, dass es erneut zu einem derartigen Angriff kommt.

Kommunikation und Transparenz

Es ist wichtig, offen über Sicherheitsverletzungen und Angriffe zu kommunizieren, da das Zurückhalten von Informationen von Aufsichtsbehörden, Medien oder Verbrauchern als Verschleierung wahrgenommen werden kann und zu einer erheblichen Verschlimmerung der finanziellen Auswirkungen des Angriffs führen könnte.

Zusammenfassung

Heutzutage ist jedes Unternehmen, das digitale Zahlungen ausstellt oder akzeptiert, ein ATO-Ziel, und die Bedrohung durch Angriffe nimmt weiter zu. Dies bringt Online-Händler, Finanzinstitute und Dienstleistungsunternehmen in eine paradoxe Lage: Während sie den Wunsch ihrer Kunden nach komfortableren Online-Diensten und Anwendungen umsetzen, setzen sie sich einem erhöhten Risiko von Betrug und anderen Formen der Cyberkriminalität aus. Sobald ein Benutzerkonto kompromittiert wurde, kann ein Betrüger Konten plündern, Waren oder Dienstleistungen stehlen oder auf Zahlungsinformationen zugreifen, um sie auf anderen Websites zu verwenden. Dies führt zum Verlust von Kunden und schmälert die Einnahmen.

Konventionelle 2FA- und MFA-Kontrollen reichen nicht mehr aus, um Cyberkriminelle zu stoppen, die immer ausgefeiltere ATO-Angriffe starten. Um ATO zu verhindern, ist ein durchgängiger Ansatz zur Sicherheit und Betrugsprävention erforderlich. Dieser Ansatz muss Absichten bewerten, digitale Erlebnisse rationalisieren und ATO stoppen, indem Betrugsmuster und riskante Transaktionen schon vor deren Ablauf identifiziert werden.

Wie F5 helfen kann

Die F5-Lösungen für Sicherheit und Betrugsprävention bieten den branchenweit umfassendsten Schutz vor Account Takeover auf einer einzigen Plattform. Mit ausgefeilten Technologien wie Threat-Intelligence-Modellierung und maschinellem Lernen zur Erkennung von Angreifertechniken setzt die Distributed Cloud Bot Defense in Echtzeit geeignete Gegenmaßnahmen ein, um Bot-gesteuertem Betrug und ATO mit maximaler Wirksamkeit zu begegnen. Die Distributed Cloud Authentication Intelligence erkennt legitime Benutzer während der gesamten Interaktion des Kunden, und die Distributed Cloud Client-Side Defense bietet Echtzeit-Einblicke in clientseitige digitale Skimming-Angriffe.

In Verbindung mit der schnellen Eindämmung von betrügerischen Aktivitäten nach der Anmeldung mithilfe der Distributed Cloud Account Protection bietet die F5 Distributed Cloud-Sicherheits- und Betrugspräventionsplattform einen durchgehenden Ansatz, der Absichten bewertet, digitale Erlebnisse rationalisiert und ATO-Versuche stoppt, welche andernfalls zu Betrug, Umsatzeinbußen und sinkender Kundentreue führen.