Verhaltensbiometrie

KI deckt Betrugsversuche auf

25. März 2022, 7:00 Uhr | Klaus Gährs/wg

Fortsetzung des Artikels von Teil 1

Ablauf eines Betrugsfalls beim Online-Banking

Online-Banking-Betrugsfälle beginnen in der Regel mit einer reinen Anmeldesitzung. Die Sicherheitsexperten können sie nur aufdecken, wenn riskante Aktivitäten auftreten, zum Beispiel eine Änderung der Login-Daten. Verdächtig ist auch, wenn der Standort, von dem jemand eine Überweisung auslöst, nicht mit dem bisherigen Standort übereinstimmt. Beide Szenarien stellen aber jeweils nur eine Momentaufnahme des Risikos dar.

Mit Technologie auf Basis von Verhaltensbiometrie erhalten Sicherheitsteams dagegen kontinuierlich prädiktive Analysen, um Betrugsrisiken zu erkennen. Mit den daraus generierten Risikomodellen können sie eine Vielzahl von Bedrohungen identifizieren. Dabei lässt sich das physische und kognitive Verhalten eines Online-Nutzers während der gesamten Sitzung analysieren, also nicht nur beim Einloggen oder bei einer Überweisung. Durch das adaptive Risiko-Management können sie für ihre Kunden ein akzeptables Risikoniveau definieren. Während der Online-Sitzung eines Endanwenders erhalten sie proaktiv Warnungen über die Push-API, die ihnen Einblicke in den jeweiligen Risikostatus in Echtzeit liefern. Neben dem Schutzniveau verbessert dies auch das Nutzererlebnis.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Wie Verhaltensbiometrie bei der Aufdeckung hilft

In der Verhaltensbiometrie gibt es eindeutige Muster, die erkennen lassen, dass ein Nutzer unter telefonischer Anleitung eines Kriminellen eine Transaktion auslöst:

Ungewöhnliche Dauer der Sitzung: Die Sitzung nimmt deutlich mehr Zeit als gewöhnlich in Anspruch, während der eingeloggte Nutzer auffällige Verhaltensweisen wie unkoordinierte Mausbewegungen zeigt. Das kann darauf hindeuten, dass die Person nervös ist, während sie auf die Anweisungen des Kriminellen wartet.
Unregelmäßige Tastaturanschläge: Wenn das Tippen Unterbrechungen aufweist und arhythmisch ist, kann das darauf hindeuten, dass der Anwender die Kontonummer nicht routiniert eingibt, da ein Krimineller sie diktiert.
Zögerliches Agieren: Die Zeit für einfache und intuitive Aktionen, etwa das Bestätigen von Schritten, steigt deutlich an.
Ungewöhnlicher Umgang mit dem Endgerät: Die Ausrichtung des Geräts ändert sich häufig – zum Beispiel, weil der Nutzer das Telefon ablegt und wieder aufnimmt, um die Anweisungen des Kriminellen entgegenzunehmen.

Bei einer Plattform, die Verhaltensbiometrie nutzt, sind aber noch weitere Funktionen wichtig. So sollte es Unternehmen möglich sein, Geschäftsrichtlinien auf Basis von Verhaltensrisikobewertungen und weiteren Indikatoren einfach zu erstellen und zu verwalten. Die Verantwortlichen können dann entscheiden, welche Maßnahmen unter bestimmten Umständen zu ergreifen sind – beispielsweise eine weitere Authentifizierung, ein Anruf im Call-Center der Bank oder eine Sperrung der Transaktion. Neben der Untersuchung des für eine bestimmte Region oder Kundengruppe typischen Benutzerverhaltens sollten auch Analysen möglich sein, die das Verhalten eines ganz bestimmten Endanwenders ermitteln und kontrollieren. Zudem müssen die Sicherheitsfachleute in der Lage sein, Aktivitäten und einzelne Sitzungen zu isolieren, die eine weitere Überprüfung erfordern. Je mehr Faktoren zu einem Nutzer erfasst sind, desto transparenter ist die Risikobewertung. Es gibt Plattformen, die rund 100 verschiedene Faktoren während einer Sitzung erfassen und analysieren, darunter Indikatoren, die auf einen echten Benutzer oder potenziellen Betrug hinweisen. Es gibt auch spezifische Indikatoren für Bots, Fernzugriffsattacken per RAT (Remote Access Trojan) und andere Bedrohungen, von denen die Sicherheitsexperten einer Bank per API erfahren.

Fazit: ML-basierte Analyse gewinnt an Bedeutung

Die Betrugsmaschen von Kriminellen werden immer ausgefeilter. Deshalb gewinnen Plattformen an Bedeutung, die maschinelles Lernen (ML) zur Analyse des physischen und kognitiven Benutzerverhaltens nutzen. Durch kontextbezogene Analysen, die sich auf verschiedene Anwendungsfälle im gesamten digitalen Lebenszyklus beziehen, können Banken und andere Unternehmen Betrugsfälle aufdecken und verhindern bevor ein Schaden entsteht. Neben gestohlenen Identitäten lassen sich so zum Beispiel auch synthetische Identitäten in der Onboarding-Phase erkennen, Nutzer bei der Anmeldung authentifizieren und Versuche einer Kontoübernahme verhindern.

Klaus Gährs ist Senior Account Manager bei BioCatch.