Account Takeover: Identitätsdiebstahl mit schwerwiegenden Folgen

Damit der Kontoinhaber oder das Unternehmen keine illegalen Aktivitäten bemerkt, werden im ersten Schritt Kontoinformationen, Passwörter und Benachrichtigungseinstellungen geändert. Ist das Konto schließlich übernommen und die Spuren verwischt, stehlen die Betrüger Geld, indem sie Transaktionen zu ihren eigenen Gunsten durchführen. Auch neue Kreditkarten, Bankkonten oder andere Finanzdienstleistungen werden von den Betrügern unter falschem Namen beantragt.

Bevorzugter Markplatz  ist das Dark Web

Es gibt verschiedene Möglichkeiten, wie Angreifer an Kontonummern und Anmeldedaten für Finanzdienstleistungen oder Online-Konten gelangen. Bevorzugter Markplatz für diese Informationen ist das Dark Web. Dort werden gestohlene Zugangsdaten nach Datenlecks veröffentlicht und können unkompliziert und billig erworben und verkauft werden. Es gibt aber noch weitere gängige Account Takeover (ATO)-Angriffsmethoden:

1. Credential Stuffi
   Bei diesen Angriffen versuchen Bots mithilfe automatisierter Skripte auf ein Benutzerkonto zuzugreifen. Da viele Personen identische Anmeldeinformationen auf verschiedenen Plattformen verwenden, ist diese Methode besonders wirksam.
2. Brute-Force-Angriff
   Hierbei werden mehrere Anmeldeversuche unter Verwendung eines jeweils anderen Kennworts unternommen. Diese Angriffe sind oft erfolgreich, weil viele Passwörter leicht zu erraten sind.
3. Malware
   Benutzer werden beispielsweise per Mail dazu gebracht, Anwendungen von bösartigen Quellen herunterzuladen und installieren so unwissentlich Schadsoftware auf ihrem Gerät. Shlayer zum Beispiel ist ein herunterladbarer MacOS-Trojaner, der sich als Chrome-Browser-Update tarnt.
4. Phishing
   Bei Phishing-Angriffen tarnen sich die Betrüger als vertrauenswürdige Marke oder Person und treten mit ihren Opfern meist per E-Mail, aber auch via SMS oder Social-Media-Nachricht, in Kontakt. Sie bringen Benutzer dazu, z. B. auf Links zu klicken, die sie auf gefälschte, bösartige Websites weiterleiten. Diese unterscheiden sich oftmals kaum von der imitierten Webseite und sind daher nur schwer zu erkennen.
5. SIM-Card-Stuffing
   Bei dieser Art von Social Engineering, kontaktiert der Kriminelle den Mobilfunkanbieter eines Benutzers, gibt sich als Kunde aus und überzeugt einen Call-Center-Agenten davon, die Handynummer auf eine illegale SIM-Karte zu übertragen. Gelingt dies, können die Apps des Opfers, einschließlich der Banking-Apps mitsamt der Textnachrichten für die Multi-Faktor-Authentifizierung, auf dem Telefon des Betrügers aktiviert werden. Täter bekommen damit die Möglichkeit, betrügerische Transaktionen durchzuführen.
6. Man-in-the-Middle-Angriff
   Bei dieser Art von Angriff positioniert sich der Betrüger zwischen einer Organisation (z. B. Finanzinstitut) und Nutzer, um die Kommunikation unbemerkt abzufangen. Ein Angreifer kann beispielsweise den Kommunikationskanal zwischen dem Device des Benutzers und dem Server einer Bank übernehmen, indem er ein bösartiges Wi-Fi-Netzwerk als öffentlichen Hotspot in einem Café einrichtet. Personen nutzen diese öffentlichen Hotspots, ohne zu wissen, dass sie ihre Zahlungsdaten über ein kompromittiertes Netzwerk übertragen.

ATO erkennen und abwehren

ATO ist schwer zu erkennen, aber es gibt Anzeichen, auf die Unternehmen achten sollten:

• Mehrere Benutzer beantragen plötzlich, und in einer kurzen Zeitspanne eine Kennwortänderung.
• Es gibt eine ungewöhnliche Häufung erfolgloser Anmeldeversuche.
• Benutzer, die in Europa auf ein Kundenkonto zugreifen, und zehn Minuten später aus einer völlig anderen Location erneut versuchen, auf das Konto zuzugreifen.

All diese Anzeichen können aber nur durch die kontinuierliche Überwachung von Benutzerkonten erkannt werden. Dafür benötigen Unternehmen nicht nur einen vollständigen Einblick in die Benutzeraktivitäten, sondern auch Echtzeit-Funktionen, die diese Verhaltensmuster erkennen können.

Zudem kann eine zusätzliche Authentifizierung des Benutzers (sogenannte „adaptive Authentifizierung“) die Übernahme eines Kontos erschweren oder verhindern. Eine zusätzliche Authentifizierung wird beispielweise erforderlich, wenn sich bestimmte Parameter ändern, z. B. das Gerät oder die Geo-Location des Benutzers. Einfach gesagt, sollten Unternehmen in diesen Fällen eine höhere Authentifizierungsstufe verlangen, bevor der Zugriff auf das Konto erlaubt oder eine Transaktion zugelassen wird.