Account Takeover: Identitätsdiebstahl mit schwerwiegenden Folgen

Damit der Kontoinhaber oder das Unternehmen keine illegalen Aktivitäten bemerkt, werden im ersten Schritt Kontoinformationen, Passwörter und Benachrichtigungseinstellungen geändert. Ist das Konto schließlich übernommen und die Spuren verwischt, stehlen die Betrüger Geld, indem sie Transaktionen zu ihren eigenen Gunsten durchführen. Auch neue Kreditkarten, Bankkonten oder andere Finanzdienstleistungen werden von den Betrügern unter falschem Namen beantragt.

Bevorzugter Markplatz  ist das Dark Web

Es gibt verschiedene Möglichkeiten, wie Angreifer an Kontonummern und Anmeldedaten für Finanzdienstleistungen oder Online-Konten gelangen. Bevorzugter Markplatz für diese Informationen ist das Dark Web. Dort werden gestohlene Zugangsdaten nach Datenlecks veröffentlicht und können unkompliziert und billig erworben und verkauft werden. Es gibt aber noch weitere gängige Account Takeover (ATO)-Angriffsmethoden:

  1. Credential Stuffi
    Bei diesen Angriffen versuchen Bots mithilfe automatisierter Skripte auf ein Benutzerkonto zuzugreifen. Da viele Personen identische Anmeldeinformationen auf verschiedenen Plattformen verwenden, ist diese Methode besonders wirksam.
  2. Brute-Force-Angriff
    Hierbei werden mehrere Anmeldeversuche unter Verwendung eines jeweils anderen Kennworts unternommen. Diese Angriffe sind oft erfolgreich, weil viele Passwörter leicht zu erraten sind.
  3. Malware
    Benutzer werden beispielsweise per Mail dazu gebracht, Anwendungen von bösartigen Quellen herunterzuladen und installieren so unwissentlich Schadsoftware auf ihrem Gerät. Shlayer zum Beispiel ist ein herunterladbarer MacOS-Trojaner, der sich als Chrome-Browser-Update tarnt.
  4. Phishing
    Bei Phishing-Angriffen tarnen sich die Betrüger als vertrauenswürdige Marke oder Person und treten mit ihren Opfern meist per E-Mail, aber auch via SMS oder Social-Media-Nachricht, in Kontakt. Sie bringen Benutzer dazu, z. B. auf Links zu klicken, die sie auf gefälschte, bösartige Websites weiterleiten. Diese unterscheiden sich oftmals kaum von der imitierten Webseite und sind daher nur schwer zu erkennen.
  5. SIM-Card-Stuffing
    Bei dieser Art von Social Engineering, kontaktiert der Kriminelle den Mobilfunkanbieter eines Benutzers, gibt sich als Kunde aus und überzeugt einen Call-Center-Agenten davon, die Handynummer auf eine illegale SIM-Karte zu übertragen. Gelingt dies, können die Apps des Opfers, einschließlich der Banking-Apps mitsamt der Textnachrichten für die Multi-Faktor-Authentifizierung, auf dem Telefon des Betrügers aktiviert werden. Täter bekommen damit die Möglichkeit, betrügerische Transaktionen durchzuführen.
  6. Man-in-the-Middle-Angriff
    Bei dieser Art von Angriff positioniert sich der Betrüger zwischen einer Organisation (z. B. Finanzinstitut) und Nutzer, um die Kommunikation unbemerkt abzufangen. Ein Angreifer kann beispielsweise den Kommunikationskanal zwischen dem Device des Benutzers und dem Server einer Bank übernehmen, indem er ein bösartiges Wi-Fi-Netzwerk als öffentlichen Hotspot in einem Café einrichtet. Personen nutzen diese öffentlichen Hotspots, ohne zu wissen, dass sie ihre Zahlungsdaten über ein kompromittiertes Netzwerk übertragen.

ATO erkennen und abwehren

ATO ist schwer zu erkennen, aber es gibt Anzeichen, auf die Unternehmen achten sollten:

  • Mehrere Benutzer beantragen plötzlich, und in einer kurzen Zeitspanne eine Kennwortänderung.
  • Es gibt eine ungewöhnliche Häufung erfolgloser Anmeldeversuche.
  • Benutzer, die in Europa auf ein Kundenkonto zugreifen, und zehn Minuten später aus einer völlig anderen Location erneut versuchen, auf das Konto zuzugreifen.

All diese Anzeichen können aber nur durch die kontinuierliche Überwachung von Benutzerkonten erkannt werden. Dafür benötigen Unternehmen nicht nur einen vollständigen Einblick in die Benutzeraktivitäten, sondern auch Echtzeit-Funktionen, die diese Verhaltensmuster erkennen können.

Zudem kann eine zusätzliche Authentifizierung des Benutzers (sogenannte „adaptive Authentifizierung“) die Übernahme eines Kontos erschweren oder verhindern. Eine zusätzliche Authentifizierung wird beispielweise erforderlich, wenn sich bestimmte Parameter ändern, z. B. das Gerät oder die Geo-Location des Benutzers. Einfach gesagt, sollten Unternehmen in diesen Fällen eine höhere Authentifizierungsstufe verlangen, bevor der Zugriff auf das Konto erlaubt oder eine Transaktion zugelassen wird.

Roger Homrich

Recent Posts

„AI Defense“ von Cisco sichert KI-Transformation für Unternehmen

End-to-End-Lösung schützt sowohl die Entwicklung als auch den Einsatz von KI-Anwendungen.

5 Stunden ago

HYCU: Wachsende Herausforderungen für Backup, Recovery und Cyberresilienz durch KI

Daten-Trends 2025: Geschwindigkeit, mit der neue SaaS-Plattformen und Datenquellen geschützt werden können, muss drastisch erhöht…

6 Stunden ago

Von digitalen zu intelligenten Netzen: Breitband-Trends für 2025

Bandbreitenstarke Glasfasertechnologie bietet großes Potenzial für Homeoffice, Campusnetze sowie die industrielle Automatisierung.

1 Tag ago

Bleibt KI-Innovation im Zoll stecken?

Die Rückkehr Donald Trumps ins Weiße Haus könnte einen Wendepunkt in der globalen KI-Politik markieren,…

1 Tag ago

Was Tech-Absolventen von Arbeitgebern erwarten

Laut Studie interessieren sich viele Hochschulabgänger für die Arbeit mit disruptiven Technologien. Allen voran Quanten-Computing.

1 Tag ago

Industrielle KI: Siemens beansprucht Führungsrolle

Auf der Technologiemesse CES zeigte das Unternehmen, wie Daten, KI und softwaredefinierte Automatisierung zusammenwachsen.

5 Tagen ago