Anmeldedaten-Sharking: Ein neuer Betrug ist auf dem Vormarsch

Im Laufe der letzten paar Jahre haben ich an zahlreichen Projekten gearbeitet, die Unternehmen dabei unterstützen sollten, Licht auf die Dinge zu werfen, die auf ihrer Website vorgehen – die guten, die schlechten und die Grauzone dazwischen. In einem der ungewöhnlichsten Fälle, die ich je gesehen habe, ging es um einen Kurzzeitkreditgeber und eine massive Offenlegung von Anmeldedaten für das Onlinebanking.  Nach vielen Diskussionen mit meinen Kollegen kamen wir zu dem Schluss, diese neue Art des Betrugs Anmeldedaten-Sharking zu nennen (in Anlehnung an den englischen Begriff für Kredithai).

Wie also funktioniert Anmeldedaten-Sharking? Während der Analyse des Klickverhaltens im Onlinebanking bemerkten wir einen Sonderfall, der eine potenzielle Bedrohung zu sein schien. Ein einziges Gerät hat sich wiederholt angemeldet und eine Vielzahl von Benutzerkonten durchsucht – komplett anders als bei einer normalen Nutzung von Onlinebanking.

Nach mehreren Anrufen bei den Konteninhabern stellte sich heraus, dass alle Benutzer etwas gemeinsam hatten – Kurzzeitkredite bei einem externen Drittanbieter. Nach weiterer Recherche trat die zugrunde liegende Antwort zutage. Als Teil des Darlehenseröffnungsprozesses hatte der Kurzzeitkreditgeber die Bewerber um die Bereitstellung ihrer Anmeldedaten für das Onlinebanking gebeten. Die Absicht des Kreditgebers war es, diese Anmeldedaten zur Überprüfung eingehender Einkommenszahlungen (z. B. Gehalt, Sozialhilfezahlungen) zu nutzen und anschließend die Darlehensrückzahlungen davon abzuziehen.

Die mit diesem Fall verbundenen potenziellen Risiken, ethischen Bedenken sowie Compliance- und rechtliche Probleme müssten eigentlich wesentlich eingehender behandelt werden. Belassen wir es aber dabei, sie als erheblich zu bezeichnen. Offenbar konnte dieses Problem auf einen überaus kreativen und betrügerischen Mitarbeiter eingegrenzt werden, der sich seinen eigenen Prozess zur Minimierung von Zahlungsausfällen ausgedacht hatte. Das Risiko war zudem nicht auf eine einzelne Bank beschränkt. Es betraf alle Banken, die einen Kunden hatten, die mit diesem bestimmten Kurzzeitkreditgeber einen Vertrag geschlossen hatten. Insgesamt waren das Tausende von Konten.

Obwohl dies ein Einzelfall zu sein schien, wirft er Fragen zur Offenlegung von Anmeldedaten für das Onlinebanking an Drittanbieter auf – etwas, das bei innovativen finanztechnischen Produkten immer häufiger vorkommt. Services, die eine Offenlegung von Onlinebankingdaten erfordern, sind z. B. Zahlungsabwickler, Produkte zum automatischen Sparen und Kontenaggregatoren.

Kontenaggregation: Komfortabel, aber riskant

Ohne Ausnahme sind Kontenaggregatoren das Erste, was bei der Analyse des Klickverhaltens auf Bankingwebsites ins Auge sticht.  Kontenaggregatoren sind Drittanbieterservices, die Transaktions- und Kontostandsdaten aus Webportalen (normalerweise Onlinebanking) in einer „zentralen Ansicht“ zusammenfassen.  Diese Services wurden im Privatkundengeschäft gestartet, aber haben sich seitdem auf Bereiche wie Vermögensmanagement, Rentenberechnung und sogar Vielfliegerkonten ausgeweitet.

Die Verbraucher haben den Vorteil einer einzigen Ansicht ihrer finanziellen Lage und aller Transaktionen – unabhängig von dem Institut, bei dem sie die Konten oder Darlehen tatsächlich haben.  Dies ist ein überzeugendes Angebot, insbesondere für Verbraucher, die immer nach dem größten Schnäppchen suchen und sich nicht an eine einzige Bank binden wollen.  Doch dann gibt es da noch das Kleingedruckte.  Die typischen allgemeinen Geschäftsbedingungen für diese Services sind sehr zum Vorteil des Aggregators ausgelegt und enthalten Vorschriften, die dem Aggregator ermöglichen, die gesammelten, kumulierten Daten für Drittanbieter zu verwenden, sie an diese zu verkaufen, zu lizenzieren, weiterzuleiten und offenzulegen, oder die besagen, dass die Datenweitergabe auf Risiko des Verbrauchers erfolgt.

Obwohl Kontenaggregatoren in der Regel sehr sicherheitsbewusst sind, stellen sie immer noch eine perfekte, potenzielle Ressource und ein Ziel für Cyberangriffe dar. Das Aggregationskonto eines Verbrauchers verfügt über perfekte und vollständige finanzielle Daten. Wenn Sie planen, die Identität einer Person zu stehlen, ist das ein ausgezeichnete Ausgangspunkt, da es eine Fülle von Informationen bietet, z. B. wo das Opfer Konten unterhält und wie viel Geld es hat.

Nachdem die Anmeldedaten für das Onlinebanking infiziert wurden (z. B. über Phishing oder Malware), muss der Angreifer zwei Aktionen ausführen: Validierung und Priorisierung. Die Validierung stellt sicher, dass die Anmeldedaten und Passwörter weiterhin funktionieren.  Die Priorisierung erfolgt in erster Linie auf Grundlage der verfügbaren Geldmengen auf den infizierten Konten (um den ROI zu maximieren).

Kontenaggregationsservices stellen einen kostenlosen und äußerst effizienten Mechanismus bereit, mit dem diese beiden Ziele erreicht werden können, weshalb diese Methode von Angreifern häufig verwendet wird. Der zusätzliche Vorteil ist, dass sie einen Schleier der Anonymität bieten, sofern der Aggregator als Proxy verwendet wird.

Minimierung von Betrugsverlusten

Ab hier wird es jetzt etwas unübersichtlicher. Lassen Sie uns ein hypothetisches Beispiel durchexerzieren, um potenzielle Auswirkungen ausarbeiten zu können.  Nehmen wir an, eine Aggregationswebsite wurde infiziert und die Angreifer haben Tausende von Anmeldedaten für das Onlinebanking erhalten.  Angreifer verwenden die Anmeldedaten, um Millionenbeträge von einer großen Anzahl von Banken zu stehlen.

Die Frage ist, wer wird letztlich für den Betrugsverlust haftbar gemacht?

(a) die Banken

(b) die Aggregatorenwebsite des Drittanbieters

(c) die Benutzer, die sich ihre Daten haben stehlen lassen

Wenn Sie mit (c) geantwortet haben, dann haben Sie formell gesehen recht.

Durch das Teilen der Anmeldedaten mit Dritten verletzt eine Person genaugenommen ihre sicherheitsbezogenen Verpflichtungen und ist formell gesehen für Betrugsverluste haftbar, die durch eine solche Offenlegung ermöglicht werden. Diese Entscheidung unterliegt den üblichen Geschäftsbedingungen der Banken und gesetzlichen Regelungen wie dem australischen ePayments Code.

Tatsächlich werden die meisten Banken jedoch selbst die Haftung übernehmen und den Kunden Rückerstattungen anbieten, da sie den potenziellen Verlust unzufriedener Kunden und die mit solch einem Vorfall einhergehende Rufschädigung in Betracht ziehen.

Ähnlich wie bei vielen Cyberrisiken lautet auch hier die Schlüsselfrage, wie man das Risiko managt.  Meiner Ansicht nach besteht eine Lösung aus zwei Teilen:

Transparenz

Um das Risiko zu verstehen, müssen wir eine einfache Frage beantworten können: wie viele Kunden nutzen tatsächlich Aggregationsservices von Drittanbietern? Diese Frage kann durch eine Analyse des Besucherverhaltens auf der Website und der zugehörigen Metadaten beantwortet werden.

Auf Grundlage meiner Erfahrungen durch die Arbeit mit Banken im asiatisch-pazifischen Raum ist die Antwort für gewöhnlich: Hunderte bis Zehntausende von Kunden.

Aktion

Sobald wir den Umfang bestimmt haben, ist der erste logische Schritt, das Risiko in ein entsprechendes Risikoregister einzuordnen. Dieser Prozess ermöglicht es einem Unternehmen, den Schweregrad des Risikos zu ermitteln, indem es die Wahrscheinlichkeit und die potenziellen Auswirkungen (z. B. Betrugsverlust, Medienecho, Imageschäden, Aktienpreise) bewertet.

Von diesem Punkt aus müssen wir pragmatische Kontrollmaßnahmen in Erwägung ziehen, die das Risiko auf ein für das Unternehmen annehmbares Niveau reduzieren. Diese Kontrollmaßnahmen können die folgenden Aktionen umfassen:

  • Kundensegmentierung:  Verstärkung der Risikoüberwachung und des Monitorings für jene Kunden, bei denen die Nutzung von Aggregationsservices von Drittanbietern festgestellt wurde
  • Bereitstellen einer sicheren Read-only API für Aggregatoren, um Screen Scraping zu vermeiden
  • Vollständiges Blockieren von Aggregatoraktivitäten
  • Proaktives Kontaktieren von Kunden, bei denen die Nutzung von Aggregationsservices festgestellt wurde, um die Risiken und potenziellen Auswirkungen zu erläutern
  • Implementieren eines zweiten Faktors: einer Plattform für Risk-based Authentication für Anmeldungen mit höherem Risiko. Dadurch werden die Geschäftsprozesse für Aggregatoren geändert, da die Authentifizierung dynamisch erfolgt.

Unabhängig von den Kontrollmaßnahmen müssen alle Unternehmen, die von aggregatorenähnlichen Aktivitäten betroffen sind, einen Kontingenzplan für das Risikomanagement erstellen. Der Plan kann einfach sein und beispielsweise darin bestehen, alle Risikokonten im Verbindung mit einem Kundenkommunikationsplan vorübergehend zu sperren – wichtig ist nur, dass etwas unternommen wird.

Obwohl innovative Services (z. B. Aggregatoren) neue Cyberrisiken mit sich bringen, hindert uns nichts daran, diese Risiken effektiv zu managen. Datengesteuerte Monitoringlösungen in Kombination mit einem klaren Plan und gesundem Menschenverstand sind die Schlüsselfaktoren, die zu diesem Ergebnis führen.

No Comments