Account Takeover: Identitätsdiebstahl mit schwerwiegenden Folgen

Damit der Kontoinhaber oder das Unternehmen keine illegalen Aktivitäten bemerkt, werden im ersten Schritt Kontoinformationen, Passwörter und Benachrichtigungseinstellungen geändert. Ist das Konto schließlich übernommen und die Spuren verwischt, stehlen die Betrüger Geld, indem sie Transaktionen zu ihren eigenen Gunsten durchführen. Auch neue Kreditkarten, Bankkonten oder andere Finanzdienstleistungen werden von den Betrügern unter falschem Namen beantragt.

Bevorzugter Markplatz  ist das Dark Web

Es gibt verschiedene Möglichkeiten, wie Angreifer an Kontonummern und Anmeldedaten für Finanzdienstleistungen oder Online-Konten gelangen. Bevorzugter Markplatz für diese Informationen ist das Dark Web. Dort werden gestohlene Zugangsdaten nach Datenlecks veröffentlicht und können unkompliziert und billig erworben und verkauft werden. Es gibt aber noch weitere gängige Account Takeover (ATO)-Angriffsmethoden:

  1. Credential Stuffi
    Bei diesen Angriffen versuchen Bots mithilfe automatisierter Skripte auf ein Benutzerkonto zuzugreifen. Da viele Personen identische Anmeldeinformationen auf verschiedenen Plattformen verwenden, ist diese Methode besonders wirksam.
  2. Brute-Force-Angriff
    Hierbei werden mehrere Anmeldeversuche unter Verwendung eines jeweils anderen Kennworts unternommen. Diese Angriffe sind oft erfolgreich, weil viele Passwörter leicht zu erraten sind.
  3. Malware
    Benutzer werden beispielsweise per Mail dazu gebracht, Anwendungen von bösartigen Quellen herunterzuladen und installieren so unwissentlich Schadsoftware auf ihrem Gerät. Shlayer zum Beispiel ist ein herunterladbarer MacOS-Trojaner, der sich als Chrome-Browser-Update tarnt.
  4. Phishing
    Bei Phishing-Angriffen tarnen sich die Betrüger als vertrauenswürdige Marke oder Person und treten mit ihren Opfern meist per E-Mail, aber auch via SMS oder Social-Media-Nachricht, in Kontakt. Sie bringen Benutzer dazu, z. B. auf Links zu klicken, die sie auf gefälschte, bösartige Websites weiterleiten. Diese unterscheiden sich oftmals kaum von der imitierten Webseite und sind daher nur schwer zu erkennen.
  5. SIM-Card-Stuffing
    Bei dieser Art von Social Engineering, kontaktiert der Kriminelle den Mobilfunkanbieter eines Benutzers, gibt sich als Kunde aus und überzeugt einen Call-Center-Agenten davon, die Handynummer auf eine illegale SIM-Karte zu übertragen. Gelingt dies, können die Apps des Opfers, einschließlich der Banking-Apps mitsamt der Textnachrichten für die Multi-Faktor-Authentifizierung, auf dem Telefon des Betrügers aktiviert werden. Täter bekommen damit die Möglichkeit, betrügerische Transaktionen durchzuführen.
  6. Man-in-the-Middle-Angriff
    Bei dieser Art von Angriff positioniert sich der Betrüger zwischen einer Organisation (z. B. Finanzinstitut) und Nutzer, um die Kommunikation unbemerkt abzufangen. Ein Angreifer kann beispielsweise den Kommunikationskanal zwischen dem Device des Benutzers und dem Server einer Bank übernehmen, indem er ein bösartiges Wi-Fi-Netzwerk als öffentlichen Hotspot in einem Café einrichtet. Personen nutzen diese öffentlichen Hotspots, ohne zu wissen, dass sie ihre Zahlungsdaten über ein kompromittiertes Netzwerk übertragen.

ATO erkennen und abwehren

ATO ist schwer zu erkennen, aber es gibt Anzeichen, auf die Unternehmen achten sollten:

  • Mehrere Benutzer beantragen plötzlich, und in einer kurzen Zeitspanne eine Kennwortänderung.
  • Es gibt eine ungewöhnliche Häufung erfolgloser Anmeldeversuche.
  • Benutzer, die in Europa auf ein Kundenkonto zugreifen, und zehn Minuten später aus einer völlig anderen Location erneut versuchen, auf das Konto zuzugreifen.

All diese Anzeichen können aber nur durch die kontinuierliche Überwachung von Benutzerkonten erkannt werden. Dafür benötigen Unternehmen nicht nur einen vollständigen Einblick in die Benutzeraktivitäten, sondern auch Echtzeit-Funktionen, die diese Verhaltensmuster erkennen können.

Zudem kann eine zusätzliche Authentifizierung des Benutzers (sogenannte „adaptive Authentifizierung“) die Übernahme eines Kontos erschweren oder verhindern. Eine zusätzliche Authentifizierung wird beispielweise erforderlich, wenn sich bestimmte Parameter ändern, z. B. das Gerät oder die Geo-Location des Benutzers. Einfach gesagt, sollten Unternehmen in diesen Fällen eine höhere Authentifizierungsstufe verlangen, bevor der Zugriff auf das Konto erlaubt oder eine Transaktion zugelassen wird.

Roger Homrich

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

6 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

7 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

24 Stunden ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago