Wie Kriminelle die Multifaktor-Authentifizierung in Echtzeit aushebeln
Die Multi-Faktor-Authentifizierung (MFA) ist eine sichere Methode zum Schutz vor Bankkontenbetrug. Sie erfordert einen zusätzlichen Faktor neben den üblichen Anmeldedaten. Trotzdem können Cyber-Kriminelle Wege finden, um MFA zu umgehen und Zugriff auf geschützte Konten zu erlangen.
Selbst bei fortschrittlichen Multi-Faktor-Authentifizierungsverfahren sind Betrüger nicht untätig. Während sie bei einfachen passwortbasierten MFA-Verfahren auf bekannte Social-Engineering-Attacken wie Phishing, Smishing oder Vishing zurückgreifen, haben sie bei sichereren Authentifizierungsverfahren, die auf Public-Key-Kryptographie und Biometrie basieren, neue Taktiken entwickelt.
Eine besonders hinterlistige Masche ist der Law Enforcement Scam. Dabei geben sich Hacker als Bankmitarbeiter oder seriöse Behördenvertreter aus und drängen ihre Opfer in Echtzeit, beispielsweise per Telefon oder WhatsApp, sich in ihr Bankkonto einzuloggen und eine Überweisung vorzunehmen. Oft nutzen sie dabei geschickte Vorwände, wie den angeblichen Verlust eines Mobiltelefons oder dringende Rechnungsbegleichungen.
Abwehr auf Basis von Verhaltenserkennung
Hierbei umgehen die Betrüger sogar die Multi-Faktor-Authentifizierung, da der Bankkunde selbst die Transaktion ausführt. Herkömmliche Betrugserkennungssysteme stoßen hier an ihre Grenzen. Dennoch gibt es Möglichkeiten, solche Betrugsfälle zu entdecken und zu stoppen. Ein effektiver Ansatz besteht darin, das Nutzerverhalten zu beobachten und ungewöhnliche Verhaltensmuster zu erkennen. Abweichungen vom üblichen Verhalten des Bankkunden können auf einen Echtzeitbetrugsversuch hindeuten.
Die Verhaltensbiometrie bietet hier eine zusätzliche Sicherheitsebene. Sie ermöglicht es, auch betrügerische Aktivitäten zu erkennen, bei denen der Betrüger einen vermeintlich „legitimen“ Dritten einbezieht. Zum Beispiel können zögerliche Aktionen während der Kontositzung ein Anzeichen dafür sein, dass das Opfer von jemand anderem Anweisungen erhält. Bei der Nutzung von Mobile Banking via Smartphone kann die Bewegung des Geräts vom Ohr zum Gesicht und zurück aufgezeichnet werden, was auf ein Telefongespräch während der Transaktion hinweisen könnte.
Bei PC-Überweisungen können ziellose Mausbewegungen oder verzögerte Tastatureingaben auf einen Echtzeitbetrug hinweisen, da das Opfer während des Gesprächs mit dem Betrüger die Sitzung aufrechterhalten muss.
Der Einsatz von Verhaltensbiometrie ergänzt also die sicheren MFA-Verfahren und bietet zusätzlichen Schutz vor Echtzeitbetrug. „Es ist wichtig, dass Banken und ihre Kunden zusätzliche Maßnahmen ergreifen, insbesondere bei Betrugsformen wie Law Enforcement Scams, um die Sicherheit zu gewährleisten“, so Wiebe Fokma, Director EMEA Global Advisory bei BioCatch.
