Glossar: Begriffe und Definitionen zur Cybersicherheit

Was ist Account-Takeover-Fraud (ATO)?

Informieren Sie sich über Account-Übernahmebetrug, wie er entsteht und welche Erkennungs- und Präventionsstrategien F5 bietet.

Die Übernahme eines Kontos (Account Takeover, ATO) ist der am weitesten verbreitete und kostenintensive Angriff auf Finanzinstitute, den elektronischen Handel und andere digitale Onlinedienste. Mithilfe automatisierter Bots und anderer Methoden der Internetkriminalität nutzen Kriminelle gestohlene Anmeldeinformationen, um sich Zugriff zu verschaffen und die Kontrolle über Benutzerkonten zu erlangen, um sich damit Geld zu verdienen oder Betrug zu begehen. Die Auswirkungen von Account-Übernahmebetrug sind real: Laut der Javelin 2022 ID Fraud Study sind 22 % der Erwachsenen in den USA Opfer von ATO geworden.

So funktioniert es: Betrugstechniken zur Kontoübernahme

Beim Account-Takeover-Betrug handelt es sich um den Höhepunkt einer Reihe cyberkrimineller Aktivitäten. Normalerweise beginnt der Betrug mit gestohlenen oder kompromittierten Zugangsdaten, führt zu Credential-Stuffing-Angriffen und kann zur Übernahme der Online-Konten eines Kunden führen. Sobald der Kriminelle die Kontrolle erlangt hat, kann er das Konto leeren, den gespeicherten Wert zu Geld machen und das Konto für weitere Betrügereien verwenden.  

Bei der einfachsten Form von Credential Stuffing handelt es sich um Brute-Force-Angriffe , die von Bots ausgeführt werden. Dabei werden zufällige Zeichenkombinationen in Anmeldeformulare eingegeben, bis die Angreifer eine Übereinstimmung mit den Anmeldeinformationen eines Kontos finden.

Wie werden Anmeldeinformationen gestohlen?

Fortgeschrittenere Credential-Stuffing-Angriffe beginnen mit gültigen Benutzernamen- und Kennwortpaaren, die bei Datenlecks gestohlen oder kompromittiert wurden. Auf Darknet-Marktplätzen können gestohlene Zugangsdaten problemlos erworben werden ( laut Cyber Security Hub wurden allein im Jahr 2022 22 Milliarden Datensätze offengelegt).

Anmeldeinformationen können auch durch eine Reihe von Cyberangriffen und anderen Cybercrime-Techniken gestohlen werden, darunter:

  • Phishing-Angriffe sind eine Art Social-Engineering-Angriff, bei dem Kriminelle E-Mails, SMS oder Social-Media-Nachrichten verwenden, um Menschen dazu zu verleiten, private Informationen wie Anmeldeinformationen, Bankkontoinformationen, Sozialversicherungsnummern oder andere vertrauliche Daten preiszugeben.
  • Keylogging, Magecart, Skimming und andere Formen clientseitiger Malware, bei denen böswillige Akteure Anmeldeinformationen stehlen, indem sie bösartige Skripte in Online-Checkout-Formulare einschleusen. Während das Opfer seine Zugangsdaten und Kreditkarteninformationen eingibt, überträgt das Skript die Daten an den Angreifer, der die Informationen für Betrugszwecke verwenden oder an andere Kriminelle verkaufen kann.
  • Bei Man-in-the-Middle-Angriffen (MitM) fangen Angreifer Nachrichten oder Datentransaktionen ab, indem sie sich als Stellvertreter zwischen zwei legitime, an der Datenkommunikation beteiligte Parteien schalten. Auf diese Weise kann der Angreifer den Informations- und Datentransfer beider Parteien „belauschen“ und Anmeldeinformationen oder andere persönliche Informationen abgreifen.

Sobald Cyberkriminelle einen Vorrat an gültigen Anmeldeinformationen angehäuft haben, können sie mit dem Credential-Stuffing-Prozess beginnen, oft in großem Umfang. Da etwa zwei Drittel der Verbraucher dieselben Benutzernamen und Passwörter auf mehreren Websites verwenden, können Cyberkriminelle und ihre Armeen automatisierter Bots diese wiederverwendeten Anmeldeinformationen leicht ausnutzen: Mit einem erheblichen Teil der erbeuteten Zugangsdaten kann auch auf Konten auf anderen Websites zugegriffen werden. Sobald Angreifer Konten übernommen haben, können sie die Anmeldeinformationen ändern, um den rechtmäßigen Kontoinhaber auszusperren, das Vermögen zu plündern und die Konten für weitere Betrugshandlungen zu verwenden.

Auswirkungen von Account-Übernahmebetrug

Berichten des American Banker zufolge werden die Schäden durch digitalen Betrug aufgrund von Angriffen wie ATO zwischen 2023 und 2027 weltweit voraussichtlich 343 Milliarden US-Dollar übersteigen. 

Die Übernahme eines Kontos hat auch Auswirkungen, die über den finanziellen Bereich hinausgehen. Auch die Marke und der Ruf eines Unternehmens können Schaden nehmen, was zu Geschäftsverlusten und negativer Publicity aufgrund wahrgenommener Sicherheitsschwächen führen kann. Die Folge kann ein langfristiger Markenschaden sein und es kann Jahre dauern, bis der gute Ruf wiederhergestellt ist.

Unternehmen können auch das Vertrauen und die Treue ihrer Kunden verlieren, was zur Beendigung der Geschäftsbeziehungen führen kann. Kunden sind verständlicherweise unzufrieden, wenn die unzureichenden Sicherheitsmaßnahmen eines Unternehmens zur Übernahme von Konten und kostspieligen betrügerischen Aktivitäten führen.

Für Unternehmen können bei mangelndem Schutz von Verbraucherdaten auch Compliance- und rechtliche Konsequenzen drohen. Gesetze und Standards wie die Datenschutz-Grundverordnung (DSGVO) in der EU, der California Consumer Protection Act (CCPA) und der Payment Card Industry Data Security Standard (PCI-DSS) sollen den Schutz der Verbraucherdaten gewährleisten und im Falle von Datenschutzverstößen hohe Geldstrafen verhängen. Hierzu gehören ATO-Angriffe, die private Daten Bots preisgeben.

Betrug durch Kontoübernahme erkennen

Es ist wichtig, Benutzerkonten und Aktivitäten zu überwachen, um Anzeichen von ATO zu erkennen.

  • Achten Sie auf unerwartete Änderungen der Kontoaktivität. Zu diesen Änderungen können neue oder nicht autorisierte Transaktionen, große Abhebungen, zufällige und sporadische Verkehrsspitzen oder Aufforderungen zur Änderung von Passwörtern, Adressen oder Zahlungsempfängern gehören. Diese ungewöhnlichen Aktivitäten können ein Hinweis darauf sein, dass das Konto angegriffen wird. Überprüfen Sie in diesen Fällen das Konto, um festzustellen, ob sich auch Benutzerdaten wie Passwort oder Telefonnummer geändert haben. Dies könnte darauf hinweisen, dass das Konto gehackt wurde.
  • Achten Sie auf nicht erkannte Anmeldeversuche . Eine Reihe fehlgeschlagener Anmeldeversuche kann darauf hinweisen, dass ein böswilliger Akteur versucht, mithilfe von Credential-Stuffing-Methoden in ein Konto einzudringen. Seien Sie besonders wachsam, wenn die Anmeldeversuche von einem ungewöhnlichen Standort aus erfolgen oder zu einer Tageszeit stattfinden, zu der das Konto normalerweise inaktiv ist. 
  • Achten Sie auf neue oder nicht erkannte Geräte, die auf ein Konto zugreifen. Aktivitäten von neuen oder unbekannten Geräten können darauf hinweisen, dass ein Konto kompromittiert wurde oder dass ein Betrüger versucht, sich mit gestohlenen Anmeldeinformationen anzumelden. Ebenso kann die Anmeldung mehrerer Geräte bei einem einzigen Konto ein Zeichen dafür sein, dass das Konto von Kriminellen angegriffen wird.
  • Verdächtige E-Mails oder Textnachrichten. Eine Zunahme von Phishing-E-Mails und E-Mails kann ein Hinweis darauf sein, dass Benutzer ins Visier von Betrügern geraten. Erinnern Sie Kunden daran, niemals auf Anhänge oder Live-Links in digitalen Nachrichten von unbekannten Absendern zu klicken und niemals Benutzernamen, Passwörter oder persönliche oder finanzielle Informationen an Dritte über Telefon oder Internet weiterzugeben. Seriöse Unternehmen fragen nicht per E-Mail oder SMS nach Kontoinformationen.

Betrug durch Kontoübernahme verhindern

Ein proaktiver Ansatz zur Verhinderung von ATO umfasst mehrere Schutzebenen und Strategien. Hierzu gehören Best-Practice-Methoden, ein Schwerpunkt auf Benutzerschulung, Echtzeit-Infrastrukturüberwachung und starker Authentifizierungsschutz.

Benutzerschulung und Sensibilisierung

Eine der wirksamsten Möglichkeiten, die Übernahme von Konten zu verhindern, besteht in Schulungsprogrammen, in denen die Benutzer darin geschult werden, Risiken zu erkennen und ihnen zu widerstehen. ATO-Angriffe beginnen häufig mit Phishing, wenn ein böswilliger Akteur versucht, Benutzer dazu zu verleiten, ihre Kontoanmeldeinformationen preiszugeben oder auf bösartige Links zu klicken. Phishing-E-Mails und -Texte können sehr überzeugend sein, insbesondere wenn die Mitteilung persönliche Daten enthält, die Kriminelle aus sozialen Medien sammeln können. Stellen Sie außerdem sicher, dass die Benutzer die Bedeutung einer guten Kennworthygiene verstehen, und setzen Sie die Verwendung sicherer Kennwortprotokolle durch.

Starke Authentifizierungsmaßnahmen

Bei einer starken Authentifizierung müssen Benutzer bei einem Anmeldeversuch zusätzlich zu Benutzername und Kennwort zwei oder mehr Verifizierungsfaktoren angeben. Es gibt mehrere Ansätze zur starken Authentifizierung.

  • Die Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode für die Identitäts- und Zugriffsverwaltung, die zwei Verifizierungsfaktoren erfordert, um die Identität einer Person für den Zugriff auf Ressourcen und Daten nachzuweisen. In der Praxis wird hierfür häufig ein Einmalpasswort aus einer E-Mail oder Textnachricht in ein bekanntes Gerät wie beispielsweise ein Smartphone oder den Browser eines Heimcomputers eingegeben.
  • Multi-Faktor-Authentifizierung (MFA) ist ähnlich wie 2FA, außer dass für eine erfolgreiche Anmeldung mindestens drei Verifizierungsfaktoren angegeben werden müssen. In den meisten Fällen handelt es sich hierbei um den Erhalt eines Einmalcodes auf einem bekannten Gerät und die Bereitstellung einer Form biometrischer Daten, wie etwa die Erfassung des Fingerabdrucks, eines Netzhautscans oder einer Stimmerkennung. Es ist zu beachten, dass sowohl 2FA als auch MFA zwar weiterhin wertvolle Tools zur Verbesserung der Sicherheit von Online-Konten darstellen, jedoch nicht mehr als letzte Verteidigungslinie gegen ATO-Angriffe ausreichen, da sie von Kriminellen leicht umgangen werden können und das Nutzungserlebnis beeinträchtigen.
  • Bei der risikobasierten Authentifizierung handelt es sich um eine Methode zur Zugriffsverwaltung, die die Anforderungen des Authentifizierungsprozesses an das Risiko des Anmeldeversuchs anpasst. Beispielsweise wäre für die Anmeldung zum bloßen Überprüfen des Kontostands ein weniger restriktiver Authentifizierungsprozess erforderlich als für die Anmeldung zum Ändern von Passwörtern oder zum Überweisen von Geldern auf ein neues Konto. Grundsätzlich gilt: Je höher das Risiko, desto strenger wird der Authentifizierungsprozess, der zusätzliche Faktoren und mehr Kontrolle erfordert.

Überwachung und Prüfung von Konten

Sowohl Verbraucher als auch Unternehmen sollten ihre Konten regelmäßig auf verdächtige Aktivitäten überwachen und prüfen. Für Verbraucher bedeutet dies, sich regelmäßig bei Bankkonten und anderen Konten mit gespeichertem Wert (einschließlich Treueprogrammen und Geschenkkarten) anzumelden, um den Überblick über Kontostände und Kontoaktivitäten zu behalten.

Unternehmen und Organisationen können eine Reihe von Technologien einsetzen, um die kontinuierliche Überwachung und Prüfung von Konten zu automatisieren. Dazu gehören Kontoverfolgungssysteme, die maschinelles Lernen und KI-basierte Erkennung nutzen, um Betrug zu verhindern, indem sie anomale Aktivitäten identifizieren, die nicht dem üblichen Verhalten des Benutzers entsprechen.

Webanwendungs-Firewall (WAF)

Eine WAF schützt Webanwendungen, indem sie bösartigen HTTP/S-Datenverkehr, der zur Webanwendung gelangt, filtert, überwacht und blockiert und verhindert, dass nicht autorisierte Daten die Anwendung verlassen. Dies geschieht durch die Einhaltung einer Reihe von Richtlinien, mit deren Hilfe festgestellt werden kann, welcher Datenverkehr bösartig und welcher sicher ist. Eine WAF fungiert als Vermittler, der den Web-App-Server vor einem potenziell böswilligen Client schützt.

Obwohl WAF-Richtlinien nicht speziell für die Erkennung von ATO-Aktivitäten entwickelt wurden, können sie dazu beitragen, Angriffe zur Kontoübernahme zu identifizieren und zu blockieren. WAFs können auch dabei helfen, bösartige Bot-Aktivitäten zu identifizieren, die oft Brute-Force-Angriffen zum Erlangen von Credential-Stuffing vorausgehen.

Bot-Erkennung und -Abwehr zu Netzwerken hinzufügen

Armeen aus Bots ermöglichen es Kriminellen, ihre Angriffe zu skalieren, MFA-Kontrollen zu umgehen und Betrug zu ermöglichen. Automatisierung bedeutet, dass Bots in großem Umfang zur Erfüllung der ihnen zugewiesenen Aufgaben eingesetzt werden können, sei es Credential Stuffing oder Phishing-Angriffe. Lösungen zur Bot-Erkennung bieten Einblick in böswillige Aktivitäten wie die Erstellung gefälschter Konten, das Horten von Inventaren, Scraping und das digitale Skimming von Anmeldeinformationen. Lösungen zur Bot-Erkennung können auch vor clientseitigen Angriffen warnen, etwa vor Formjacking, Digital Skimming, Magecart und anderen browserbasierten JavaScript-Schwachstellen.

Reaktion auf Kontoübernahmebetrug

Angesichts der Vielzahl gestohlener und kompromittierter Anmeldeinformationen, die im Darknet leicht verfügbar sind, wird es immer wahrscheinlicher, dass Organisationen früher oder später Opfer eines Cyberangriffs werden. Es ist zwingend erforderlich, dass Unternehmen im Voraus robuste Reaktionen und Prozesse vorbereiten, um die Auswirkungen eines Cyberangriffs sowohl auf das Unternehmen als auch auf seine Kunden zu bewältigen.

Reaktionsplan für Vorfälle

Ein Vorfallreaktionsplan definiert die aktiven Schritte, verfügbaren Ressourcen und Kommunikationsstrategien, die bei Identifizierung eines Bedrohungsereignisses umgesetzt werden. Ein Vorfallreaktionsplan sollte die Protokolle für die Reaktion auf das Ereignis definieren und ein Vorfallreaktionsteam benennen, das in der Umsetzung des Plans geschult wurde.

Kundenbenachrichtigung und Support

Es ist äußerst wichtig, dass das Incident-Response-Team die betroffenen Kunden direkt benachrichtigt und ihnen erklärt, was passiert ist. Es muss sie über die Schritte zu ihrem Schutz informieren und sie auffordern, das kompromittierte Passwort zu ändern, wenn es für andere Konten verwendet wird. Um das Vertrauen wiederherzustellen, ist es wichtig, mit betroffenen Kunden in Kontakt zu bleiben.

Untersuchung und Sanierung

Nachdem ein Angriff erkannt wurde, ist es von entscheidender Bedeutung, den Vorfall zu bewerten und einzudämmen sowie die Art und den Umfang des Vorfalls sowie die betroffenen Systeme zu ermitteln. Sobald der Zugriffspunkt identifiziert ist, sollte die Organisation den unbefugten Zugriff des Angreifers auf die betroffenen Konten unterbinden und kompromittierte Konten wiederherstellen, um sicherzustellen, dass sie nicht länger für böswillige Zwecke verwendet werden können. Analysieren Sie im Rahmen der Überprüfung der Betrugswiederherstellung, wie Sie einen erneuten solchen Angriff verhindern können.

Kommunikation und Transparenz

Es ist wichtig, transparent über Sicherheitsverletzungen und Angriffe zu kommunizieren, denn das Zurückhalten von Informationen kann von Aufsichtsbehörden, Medien oder Verbrauchern als Verschleierung wahrgenommen werden und die finanziellen Auswirkungen des Angriffs erheblich verstärken.

Zusammenfassung

Heutzutage ist jede Organisation, die digitale Zahlungen ausgibt oder akzeptiert, ein Ziel der ATO, und die Gefahr von Angriffen nimmt weiter zu. Dies stellt Online-Händler, Finanzinstitute und Dienstleistungsunternehmen vor ein Paradox: Indem sie den Vorlieben der Kunden nach bequemeren Onlinediensten und Apps nachkommen, setzen sie sich einem höheren Risiko von Betrug und anderen Formen der Internetkriminalität aus.  Ist ein Konto erst einmal kompromittiert, kann ein Betrüger Geld abschöpfen, Waren oder Dienstleistungen stehlen oder auf Zahlungsinformationen zugreifen, um diese auf anderen Websites zu verwenden – was zur Veruntreuung von Kunden und Umsatzeinbußen führt.

Herkömmliche 2FA- und MFA-Kontrollen reichen nicht mehr aus, um Cyberkriminelle zu stoppen, die immer ausgefeiltere ATO-Angriffe starten. Um ATO zu verhindern, ist ein End-to-End-Ansatz zur Sicherheit und Betrugsprävention erforderlich, der die Absicht bewertet, digitale Erfahrungen optimiert und ATO stoppt, indem Betrugsmuster und riskante Transaktionen identifiziert werden, bevor sie stattfinden.

Wie F5 helfen kann

Die Sicherheits- und Betrugspräventionslösungen von F5 bieten den branchenweit umfassendsten Schutz vor Kontoübernahmen auf einer einzigen Plattform . Mithilfe ausgefeilter Technologien wie Bedrohungsaufklärungsmodellierung und maschinellem Lernen zur Erkennung von Angreifertechniken ergreift Distributed Cloud Bot Defense in Echtzeit geeignete Gegenmaßnahmen, um Bot-gesteuertem Betrug und ATO mit maximaler Wirksamkeit entgegenzuwirken. Distributed Cloud Authentication Intelligence erkennt legitime Benutzer während der gesamten Customer Journey und Distributed Cloud Client-Side Defense bietet Echtzeit-Einblicke in clientseitige digitale Skimming-Angriffe.

In Verbindung mit der schnellen Beseitigung von Betrug nach der Anmeldung durch Distributed Cloud Account Protection bietet die Sicherheits- und Betrugspräventionsplattform F5 Distributed Cloud einen End-to-End-Ansatz, der Absichten bewertet, digitale Erlebnisse optimiert und ATO-Versuche stoppt, die andernfalls zu Betrug, Umsatzeinbußen und geringerer Kundentreue führen.