Verhaltensbiometrie

KI deckt Betrugsversuche auf

25. März 2022, 7:00 Uhr | Klaus Gährs/wg
Online-Banking-Sitzung
Wenn eine Online-Banking-Sitzung eine weitere Überprüfung erfordert, können Sicherheitsexperten die verdächtigen Aktivitäten isolieren und entsprechende Maßnahmen ergreifen.
© BioCatch

Cyberbetrug hat in Deutschland 2021 einen neuen Höchststand erreicht: Laut einer aktuellen Studie des Bitkom waren 79 Prozent der hiesigen Unternehmen von Internetkriminalität betroffen. 15 Prozent fielen dabei einem Online-Banking-Betrug zum Opfer. Fachleute erwarten, dass die Zahl der Cyberangriffe 2022 weiter steigen wird. Oft beginnen die Angriffe mit Social Engineering in Echtzeit wie dem sogenannten Voice Scamming (Betrug per Telefon), was Sicherheitsexperten oft zu spät aufdecken. Abhilfe versprechen Lösungen auf der Basis künstlicher Intelligenz, die Betrugsversuche mit Verhaltensbiometrie in Echtzeit identifizieren.

In den vergangenen Jahren hat die Cyberkriminalität kontinuierlich zugenommen. Die Angriffe werden dabei immer ausgefeilter und zielgerichteter. Denn die Kriminellen entwickeln ständig neue Methoden, um ihren Opfern zu schaden. Oft beginnen ihre Attacken mit Social Engineering. Dabei nutzen Cyberkriminelle den Faktor Mensch als schwächstes Glied der IT-Sicherheitskette aus: Sie verschicken gut gefälschte E-Mails (Phishing) oder SMS-Nachrichten (Smishing), die vermeintlich von einem vertrauenswürdigen Unternehmen oder der eigenen Bank stammen. Öffnet der Empfänger den Anhang der E-Mail oder SMS, wird automatisch ein Schadcode eingeschleust.

Die Kriminellen können so wertvolle Informationen wie Login-Daten des Nutzers abgreifen – oder sie übernehmen durch Remote Access Tools (RATs) die Kontrolle über das Endgerät ihres Opfers. Eine noch persönlichere Form des Social Engineerings ist der sogenannte Zahlungsbetrug in Echtzeit, auch APP-Betrug (Authorized Push Payment) genannt.

Authorized Push Payment: Zahlungsbetrug in Echtzeit

Auch hier geben sich Kriminelle als Vertreter einer seriösen Organisation aus und überzeugen ihr Opfer, einen Betrag auf ein bestimmtes Konto zu überweisen (es handelt sich also eher um klassischen Betrug als um „Cybercrime“, d.Red.). In der Regel erfolgt der Kontakt per Telefon, die Taktik wird daher auch als „Voice Scam“ bezeichnet. Die Sicherheitsexperten von Proofpoint berichten in ihrem „2021 State of the Phish“-Report, dass 62 Prozent der deutschen Unternehmen bereits mindestens einen Betrugsversuch per Telefon erlebt haben.

Besonders erfolgreich ist diese Methode, wenn die Täter vorab viele persönliche Informationen über ihre Opfer sammeln konnten – etwa von Social-Media-Profilen. Oder sie kaufen die Informationen einfach im Darknet, wo sie durch ein Datenleck gelandet sind. Anschließend manipulieren die Kriminellen die angerufene Person und bringen sie dazu, Geld auf ein bestimmtes Konto zu überweisen.

Bei dieser Art von Betrug reichen gängige Kontrollen wie die Identifikation von Standort, Endgerät oder IP-Adresse nicht mehr aus. Damit umgehen die Kriminellen auch die Mehr-Faktor-Authentifizierung (MFA), bei der Software die Zugangsberechtigung anhand mehrerer voneinander unabhängiger Merkmale überprüft. Schließlich lösen hier nicht die Kriminellen selbst, sondern ein echter Kunde eine Überweisung aus. Selbst Out-of-Band-Methoden wie das Versenden eines Einmal-Passwortes (OTP) per SMS bieten deshalb hier keinen Schutz.

Abwehr von Betrugsversuchen per Verhaltensbiometrie

Doch gegen diese Angriffsform hilft Technik auf Basis von Verhaltensbiometrie. Damit lässt sich die Identität beispielsweise eines Bankkunden während der gesamten Online-Sitzung verifizieren. Mittels datenbasierter Erkenntnisse können die Sicherheitsexperten der Bank echtes von unechtem Nutzerverhalten unterscheiden.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

  1. KI deckt Betrugsversuche auf
  2. Ablauf eines Betrugsfalls beim Online-Banking

Verwandte Artikel

Social Engineering

Cybercrime

künstliche Intelligenz