Erfahren Sie mehr über betrügerische Kontoübernahmen, deren Ablauf sowie über Erkennungs- und Präventionsstrategien von F5.
Die Kontoübernahme (Account Takeover, ATO) stellt den am weitesten verbreiteten und teuersten Angriff auf Finanzinstitute, E-Commerce und andere digitale Online-Dienste dar. Mithilfe von automatisierten Bots und anderen Methoden aus dem Bereich der Cyberkriminalität nutzen Kriminelle gestohlene Anmeldedaten, um auf Benutzerkonten zuzugreifen sowie diese zu kontrollieren und auf diese Weise Geld zu verdienen oder Betrug zu begehen. Die Auswirkungen von betrügerischem Account Takeover stellen eine reale Bedrohung dar: Laut der Javelin-Identitätsbetrugsstudie 2022 wurden 22 % der erwachsenen US-Amerikaner Opfer von ATO-Betrug.
Ein betrügerischer Account Takeover stellt den Höhepunkt einer Reihe von cyberkriminellen Aktivitäten dar. Diese beginnen in der Regel mit gestohlenen oder kompromittierten Anmeldedaten, die zu Credential Stuffing-Angriffen führen, welche wiederum zur Übernahme der Online-Benutzerkonten eines Kunden genutzt werden können. Sobald das Benutzerkonto einmal übernommen wurde, können Kriminelle Konten plündern, Vermögenswerte monetarisieren und den Account für weitere betrügerische Aktivitäten nutzen.
Die grundlegendste Form von Credential Stuffing umfasst Bot-gesteuerte Brute-Force-Angriffe, bei denen Angreifer zufällige Zeichenkombinationen in Anmeldeformulare eingeben, bis diese mit den Anmeldeinformationen eines Benutzerkontos übereinstimmen.
Fortgeschrittenere Credential Stuffing-Angriffe beginnen mit gültigen Kombinationen aus Benutzernamen und Kennwörtern, die durch Datenschutzverletzungen gestohlen oder kompromittiert wurden. Gestohlene Anmeldedaten können einfach auf Marktplätzen im Dark Web erworben werden (laut Cyber Security Hub wurden 22 Milliarden Datensätze allein im Jahr 2022 offengelegt).
Anmeldedaten können auch durch eine Reihe von Cyberangriffen und anderen Techniken aus dem Bereich der Cyberkriminalität gestohlen werden, darunter:
Sobald Cyberkriminelle einen Vorrat an gültigen Anmeldedaten gesammelt haben, können sie, oft in großem Umfang, mit dem Credential Stuffing beginnen. Da etwa zwei Drittel der Verbraucher dieselben Benutzernamen und Passwörter auf mehreren Websites verwenden, können Cyberkriminelle und ihre Armeen automatisierter Bots diese wiederverwendeten Daten leicht ausnutzen: Ein erheblicher Teil der gestohlenen Anmeldedaten wird auch für den Zugriff auf Accounts auf anderen Websites verwendet. Sobald Angreifer Benutzerkonten übernommen haben, können sie die Anmeldedaten ändern, um den rechtmäßigen Kontoinhaber vom Zugriff abzuhalten, Vermögenswerte entnehmen und die Konten für weitere betrügerische Aktivitäten einsetzen.
Laut Berichten in American Banker wird davon ausgegangen, dass die betrugsbedingten Verluste im digitalen Bereich durch Angriffe wie ATO in den Jahren 2023 bis 2027 weltweit die Summe von 343 Milliarden US-Dollar übersteigen werden.
Kontoübernahmen wirken sich jedoch nicht nur auf den finanziellen Bereich aus. Die Unternehmensmarke und der Ruf eines Unternehmens können ebenfalls darunter leiden, was zu Geschäftsverlusten und negativer Presse aufgrund der wahrgenommenen Sicherheitsschwachstelle führt. Auch eine langfristige Schädigung des Markenimages kann die Folge sein. Es kann Jahre dauern, bis ein guter Ruf wiederhergestellt ist.
Unternehmen können außerdem das Vertrauen und die Treue der Kunden verlieren, was zur Beendigung von Geschäftsbeziehungen führt. Kunden sind verständlicherweise unzufrieden, wenn die unzureichenden Sicherheitsmaßnahmen eines Unternehmens zu Account Takeover und kostspieligen betrügerischen Aktivitäten führen.
Zudem können sich rechtliche Folgen für Unternehmen ergeben, wenn Verbraucherdaten nicht geschützt werden. Rechtsvorschriften und Normen wie die Datenschutz-Grundverordnung (DSGVO) in der EU, der California Consumer Protection Act (CCPA) und der Payment Card Industry Data Security Standard (PCI-DSS) sollen den Datenschutz für Verbraucher gewährleisten und sehen im Falle von Datenschutzverletzungen hohe Geldstrafen vor. Dazu gehören ATO-Angriffe, bei denen private Daten an Bots weitergegeben werden.
Es ist wichtig, Benutzerkonten und -aktivitäten zu überwachen, um Anzeichen von ATO zu erkennen.
Ein proaktiver Ansatz zur Verhinderung von ATO umfasst mehrere Schutzstrategien auf verschiedenen Ebenen. Dazu gehören der Einsatz bewährter Methoden samt Schwerpunkt auf der Aufklärung von Benutzern, die Infrastrukturüberwachung in Echtzeit sowie ein starker Authentifizierungsschutz.
Eine der effektivsten Möglichkeiten, die Übernahme von Accounts zu verhindern, sind Bildungsprogramme, die die Benutzer darin schulen, Risiken zu erkennen und diesen nicht nachzugeben. ATO-Angriffe beginnen oft mit Phishing, bei denen ein böswilliger Akteur versucht, Benutzer dazu zu bringen, Anmeldedaten für ihr Benutzerkonto preiszugeben oder auf bösartige Links zu klicken. Phishing-E-Mails und -Texte können sehr überzeugend sein, vor allem wenn Kriminelle hierfür persönliche Daten aus den sozialen Medien nutzen. Stellen Sie außerdem sicher, dass Benutzer wissen, wieso starke Passwörter so wichtig sind und setzen Sie die Verwendung starker Passwortprotokolle durch.
Eine starke Authentifizierung erfordert, dass Benutzer bei einem Anmeldeversuch zwei oder mehr Verifizierungsfaktoren angeben, welche über die Kombination aus Benutzernamen und Passwort hinausgehen. Es gibt mehrere Ansätze im Rahmen einer starken Authentifizierung.
Sowohl Verbraucher als auch Unternehmen sollten Konten regelmäßig auf verdächtige Aktivitäten überwachen und prüfen. Für Verbraucher umfasst dies die regelmäßige Anmeldung bei Finanzkonten und anderen Konten mit Vermögenswerten (einschließlich Treueprogrammen und Geschenkkarten), um Guthaben und Kontoaktivitäten im Auge zu behalten.
Unternehmen und Organisationen können eine Reihe von Technologien einsetzen, um die kontinuierliche Überwachung und Überprüfung von Konten zu automatisieren. Dies umfasst Kontoverfolgungssystemen, die Techniken wie maschinelles Lernen und KI-basierte Erkennung zur Betrugsprävention verwenden, wobei anomale Aktivitäten identifiziert werden, die nicht dem üblichen Verhalten des Benutzers entsprechen.
Eine WAF schützt Webanwendungen durch das Filtern, Überwachen und Blockieren jeglichen böswilligen HTTP/S-Datenverkehrs, der zur Webanwendung gelangt, und verhindert, dass nicht autorisierte Daten die Anwendung verlassen. Dies geschieht durch die Einhaltung einer Reihe von Richtlinien, mit deren Hilfe bestimmt werden kann, welcher Datenverkehr als böswillig und welcher als sicher gilt. Eine WAF fungiert als Vermittler, der den Webanwendungsserver vor einem potenziell böswilligen Client schützt.
Obwohl WAF-Richtlinien nicht speziell auf die Erkennung von ATO-Aktivitäten ausgelegt sind, können sie gezielt zum Identifizieren und Blockieren von Kontoübernahmen eingesetzt werden. WAFs können außerdem dazu beitragen, bösartige Botaktivitäten zu identifizieren, welche häufig Brute-Force-Credential Stuffing-Angriffen vorausgehen.
Armeen von Bots ermöglichen es Kriminellen, ihre Angriffe zu skalieren, MFA-Kontrollen zu umgehen und Betrug zu begehen. Automatisierung bedeutet, dass Massen von Bots zur Verfolgung der zugewiesenen Aufgabe eingesetzt werden können, unabhängig davon, ob es sich um Credential Stuffing oder Phishing-Angriffe handelt. Bot-Erkennungslösungen bieten Einblicke in böswillige Aktivitäten wie die Erstellung gefälschter Konten, das Horten von Beständen, Scraping und digitales Skimming von Anmeldedaten. Bot-Erkennungslösungen können zudem Warnmeldungen im Falle clientseitiger Angriffe wie Formjacking, digitales Skimming, Magecart und andere browserbasierte JavaScript-Schwachstellen ausgeben.
Aufgrund der Vielzahl gestohlener und kompromittierter Anmeldedaten, die im Dark Web leicht verfügbar sind, wird es immer wahrscheinlicher, dass Unternehmen früher oder später von einem Cyberangriff betroffen sind. Es ist unerlässlich, dass Unternehmen im Voraus robuste Reaktionen und Prozesse planen, um die Auswirkungen eines Cyberangriffs auf die Organisation und ihre Kunden zu einzudämmen.
Ein Plan zur Reaktion auf Sicherheitsvorfälle definiert die aktiven Schritte, verfügbaren Ressourcen und Kommunikationsstrategien, die bei der Identifizierung eines Bedrohungsereignisses umgesetzt werden. Ein Plan zur Reaktion auf Sicherheitsvorfälle sollte die Protokolle zur Reaktion auf das Ereignis definieren und ein Team zur Reaktion auf Sicherheitsvorfälle festlegen, das für die Umsetzung des Plans geschult wurde.
Es ist wichtig, dass das Team zur Reaktion auf Sicherheitsvorfälle die betroffenen Kunden direkt benachrichtigt und ihnen erklärt, was passiert ist, welche Schritte zu ihrem Schutz unternommen werden, und sie auffordert, das kompromittierte Passwort zu ändern, falls es auch für andere Konten verwendet wird. Der Kontakt zu betroffenen Kunden ist wichtig, um das Vertrauen wiederaufzubauen.
Nach der Erkennung eines Angriffs ist es von entscheidender Bedeutung, den Sicherheitsvorfall auszuwerten und einzudämmen sowie die Art und den Umfang des Vorfalls sowie die betroffenen Systeme zu ermitteln. Sobald der Zugriffspunkt identifiziert wurde, sollte die Organisation den unbefugten Zugriff des Angreifers auf betroffene Konten unterbinden und sicherstellen, dass die kompromittierten Konten nicht mehr für böswillige Aktivitäten verwendet werden können. Analysieren Sie im Rahmen der Überprüfung der Betrugseindämmung, wie Sie verhindern können, dass es erneut zu einem derartigen Angriff kommt.
Es ist wichtig, offen über Sicherheitsverletzungen und Angriffe zu kommunizieren, da das Zurückhalten von Informationen von Aufsichtsbehörden, Medien oder Verbrauchern als Verschleierung wahrgenommen werden kann und zu einer erheblichen Verschlimmerung der finanziellen Auswirkungen des Angriffs führen könnte.
Heutzutage ist jedes Unternehmen, das digitale Zahlungen ausstellt oder akzeptiert, ein ATO-Ziel, und die Bedrohung durch Angriffe nimmt weiter zu. Dies bringt Online-Händler, Finanzinstitute und Dienstleistungsunternehmen in eine paradoxe Lage: Während sie den Wunsch ihrer Kunden nach komfortableren Online-Diensten und Anwendungen umsetzen, setzen sie sich einem erhöhten Risiko von Betrug und anderen Formen der Cyberkriminalität aus. Sobald ein Benutzerkonto kompromittiert wurde, kann ein Betrüger Konten plündern, Waren oder Dienstleistungen stehlen oder auf Zahlungsinformationen zugreifen, um sie auf anderen Websites zu verwenden. Dies führt zum Verlust von Kunden und schmälert die Einnahmen.
Konventionelle 2FA- und MFA-Kontrollen reichen nicht mehr aus, um Cyberkriminelle zu stoppen, die immer ausgefeiltere ATO-Angriffe starten. Um ATO zu verhindern, ist ein durchgängiger Ansatz zur Sicherheit und Betrugsprävention erforderlich. Dieser Ansatz muss Absichten bewerten, digitale Erlebnisse rationalisieren und ATO stoppen, indem Betrugsmuster und riskante Transaktionen schon vor deren Ablauf identifiziert werden.
Die F5-Lösungen für Sicherheit und Betrugsprävention bieten den branchenweit umfassendsten Schutz vor Account Takeover auf einer einzigen Plattform. Mit ausgefeilten Technologien wie Threat-Intelligence-Modellierung und maschinellem Lernen zur Erkennung von Angreifertechniken setzt die Distributed Cloud Bot Defense in Echtzeit geeignete Gegenmaßnahmen ein, um Bot-gesteuertem Betrug und ATO mit maximaler Wirksamkeit zu begegnen. Die Distributed Cloud Authentication Intelligence erkennt legitime Benutzer während der gesamten Interaktion des Kunden, und die Distributed Cloud Client-Side Defense bietet Echtzeit-Einblicke in clientseitige digitale Skimming-Angriffe.
In Verbindung mit der schnellen Eindämmung von betrügerischen Aktivitäten nach der Anmeldung mithilfe der Distributed Cloud Account Protection bietet die F5 Distributed Cloud-Sicherheits- und Betrugspräventionsplattform einen durchgehenden Ansatz, der Absichten bewertet, digitale Erlebnisse rationalisiert und ATO-Versuche stoppt, welche andernfalls zu Betrug, Umsatzeinbußen und sinkender Kundentreue führen.
ANWENDUNGSFÄLLE
Verhindern von Account Takeover (ATO) ›