Cyber-Betrug in Echtzeit: Wie Kriminelle die Multifaktor-Authentifizierung umgehen

Cyber-Kriminelle verfügen jedoch über Methoden, um auch das beste MFA-Verfahren zu umgehen. Bei „einfachen“ passwortbasierten MFA-Verfahren nutzen sie gängige Social-Engineering-Attacken wie Phishing, Smishing oder Vishing. Bei als besonders sicher geltenden Authentisierungsverfahren, etwa auf Basis von Public-Key-Kryptographie und Biometrie, verlegen sich die Betrüger auf Social-Engineering-Angriffe in Echtzeit ­­­– zum Beispiel Law Enforcement Scams.

Beim Law Enforcement Scam geben sich Hacker als vermeintliche Mitarbeiter von Banken oder seriösen Behörden aus und drängen ihre Opfer in Echtzeit – beispielsweise per Telefon – dazu, sich in ihr Konto einzuloggen und eine Überweisung auszulösen. Auch WhatsApp wird für diese Masche immer beliebter. „Hier gibt sich der Betrüger als Familienmitglied aus, das sein Smartphone verloren hat und deshalb eine Nachricht von einer unbekannten Nummer versendet. Der vermeintliche Familienangehörige muss dringend eine Rechnung begleichen und fordert das Opfer auf, einen den entsprechenden Betrag auf ein bestimmtes Konto zu überweisen“, erklärt Wiebe Fokma, Director EMEA Global Advisory bei BioCatch.

Zusätzliche Sicherheit durch Verhaltensbiometrie

Das Problem: Herkömmliche Lösungen zur Betrugserkennung reichen hier nicht mehr aus. Da sich der Bankkunde selbst in sein Konto einloggt und die Transaktion auslöst, kann der Betrüger sogar die MFA umgehen. Es gibt aber Möglichkeiten, solche Betrugsfälle zu erkennen und zu stoppen. Ein wirksames Mittel ist die Beobachtung des Nutzerverhaltens, insbesondere wenn dieses vom bisherigen Muster abweicht. Ein für den Bankkunden bislang untypisches Verhalten kann ein Zeichen dafür sein, dass ein Betrugsversuch in Echtzeit vorliegt. Mit Hilfe von Verhaltensbiometrie lassen sich daher auch kriminelle Aktivitäten aufdecken, bei denen der Betrüger einen „legitimen“ Dritten für seine Zwecke einspannt.

Zu ungewöhnlichen Verhaltensweisen kann es kommen, weil der zu überweisende Geldbetrag und die Kontodaten von einer dritten Person diktiert werden. Dadurch ist das Opfer verunsichert, was sich in seinem zögerlichen Verhalten während der Kontositzung äußert. Beim Mobile Banking via Smartphone wird der Anruf zudem auf dem Gerät registriert, und die Bewegung des Mobilgeräts erfolgt vom Ohr des Bankkunden (Empfang der Anweisung) zum Gesicht (Eingabe beziehungsweise Bestätigung der Eingabe) und zurück. Analysen von BioCatch zeigen, dass die Opfer bei rund 40 Prozent der weltweit bestätigten Betrugsversuche während der aktiven Kontositzung ein Telefongespräch führten.

Erfolgt die Überweisung am PC, können ziellose Mausbewegungen ein zusätzliches Indiz für einen Betrugsfall sein. Denn das Opfer befindet sich im Gespräch mit dem Kriminellen und muss gleichzeitig die Live-Sitzung aufrechterhalten. Ein weiteres Zeichen für Echtzeitbetrug sind verzögerte Tastatureingaben, da der getäuschte Bankkunde auf die Anweisungen des Anrufers wartet, während er die Überweisung tätigt. 

Der Einsatz verhaltensbiometrischer Technologien ergänzt sichere MFA-Verfahren und bietet einen zusätzlichen Schutz vor Echtzeitbetrug: „Gerade Betrugsformen wie Law Enforcement Scams erfordern zusätzliche Methoden, um einen zusätzlichen Schutz von Banken und deren Kunden zu gewährleisten“, fasst Fokma zusammen.