Account Takeover: Identitätsdiebstahl mit schwerwiegenden Folgen
Täter brechen durch gezielte Phishing-, Malware- oder Man-in-the-Middle-Angriffe in Bank- oder E-Commerce-Konten ein.
Damit der Kontoinhaber oder das Unternehmen keine illegalen Aktivitäten bemerkt, werden im ersten Schritt Kontoinformationen, Passwörter und Benachrichtigungseinstellungen geändert. Ist das Konto schließlich übernommen und die Spuren verwischt, stehlen die Betrüger Geld, indem sie Transaktionen zu ihren eigenen Gunsten durchführen. Auch neue Kreditkarten, Bankkonten oder andere Finanzdienstleistungen werden von den Betrügern unter falschem Namen beantragt.
Bevorzugter Markplatz ist das Dark Web
Es gibt verschiedene Möglichkeiten, wie Angreifer an Kontonummern und Anmeldedaten für Finanzdienstleistungen oder Online-Konten gelangen. Bevorzugter Markplatz für diese Informationen ist das Dark Web. Dort werden gestohlene Zugangsdaten nach Datenlecks veröffentlicht und können unkompliziert und billig erworben und verkauft werden. Es gibt aber noch weitere gängige Account Takeover (ATO)-Angriffsmethoden:
- Credential Stuffi
Bei diesen Angriffen versuchen Bots mithilfe automatisierter Skripte auf ein Benutzerkonto zuzugreifen. Da viele Personen identische Anmeldeinformationen auf verschiedenen Plattformen verwenden, ist diese Methode besonders wirksam. - Brute-Force-Angriff
Hierbei werden mehrere Anmeldeversuche unter Verwendung eines jeweils anderen Kennworts unternommen. Diese Angriffe sind oft erfolgreich, weil viele Passwörter leicht zu erraten sind. - Malware
Benutzer werden beispielsweise per Mail dazu gebracht, Anwendungen von bösartigen Quellen herunterzuladen und installieren so unwissentlich Schadsoftware auf ihrem Gerät. Shlayer zum Beispiel ist ein herunterladbarer MacOS-Trojaner, der sich als Chrome-Browser-Update tarnt. - Phishing
Bei Phishing-Angriffen tarnen sich die Betrüger als vertrauenswürdige Marke oder Person und treten mit ihren Opfern meist per E-Mail, aber auch via SMS oder Social-Media-Nachricht, in Kontakt. Sie bringen Benutzer dazu, z. B. auf Links zu klicken, die sie auf gefälschte, bösartige Websites weiterleiten. Diese unterscheiden sich oftmals kaum von der imitierten Webseite und sind daher nur schwer zu erkennen. - SIM-Card-Stuffing
Bei dieser Art von Social Engineering, kontaktiert der Kriminelle den Mobilfunkanbieter eines Benutzers, gibt sich als Kunde aus und überzeugt einen Call-Center-Agenten davon, die Handynummer auf eine illegale SIM-Karte zu übertragen. Gelingt dies, können die Apps des Opfers, einschließlich der Banking-Apps mitsamt der Textnachrichten für die Multi-Faktor-Authentifizierung, auf dem Telefon des Betrügers aktiviert werden. Täter bekommen damit die Möglichkeit, betrügerische Transaktionen durchzuführen. - Man-in-the-Middle-Angriff
Bei dieser Art von Angriff positioniert sich der Betrüger zwischen einer Organisation (z. B. Finanzinstitut) und Nutzer, um die Kommunikation unbemerkt abzufangen. Ein Angreifer kann beispielsweise den Kommunikationskanal zwischen dem Device des Benutzers und dem Server einer Bank übernehmen, indem er ein bösartiges Wi-Fi-Netzwerk als öffentlichen Hotspot in einem Café einrichtet. Personen nutzen diese öffentlichen Hotspots, ohne zu wissen, dass sie ihre Zahlungsdaten über ein kompromittiertes Netzwerk übertragen.
ATO erkennen und abwehren
ATO ist schwer zu erkennen, aber es gibt Anzeichen, auf die Unternehmen achten sollten:
- Mehrere Benutzer beantragen plötzlich, und in einer kurzen Zeitspanne eine Kennwortänderung.
- Es gibt eine ungewöhnliche Häufung erfolgloser Anmeldeversuche.
- Benutzer, die in Europa auf ein Kundenkonto zugreifen, und zehn Minuten später aus einer völlig anderen Location erneut versuchen, auf das Konto zuzugreifen.
All diese Anzeichen können aber nur durch die kontinuierliche Überwachung von Benutzerkonten erkannt werden. Dafür benötigen Unternehmen nicht nur einen vollständigen Einblick in die Benutzeraktivitäten, sondern auch Echtzeit-Funktionen, die diese Verhaltensmuster erkennen können.
Zudem kann eine zusätzliche Authentifizierung des Benutzers (sogenannte „adaptive Authentifizierung“) die Übernahme eines Kontos erschweren oder verhindern. Eine zusätzliche Authentifizierung wird beispielweise erforderlich, wenn sich bestimmte Parameter ändern, z. B. das Gerät oder die Geo-Location des Benutzers. Einfach gesagt, sollten Unternehmen in diesen Fällen eine höhere Authentifizierungsstufe verlangen, bevor der Zugriff auf das Konto erlaubt oder eine Transaktion zugelassen wird.