Sie alle kennen vermutlich das seltsame Ph\u00e4nomen, dass Flugzeugabst\u00fcrzen wesentlich mehr Aufmerksamkeit in den Medien gezollt wird als Verkehrsunf\u00e4llen, obwohl die Zahl der j\u00e4hrlichen Todesopfer bei ersteren deutlich geringer ist. Dasselbe Ph\u00e4nomen trifft auch auf andere Lebensbereiche und -aspekte zu und gilt beispielsweise auch f\u00fcr Themen wie Cybersicherheit und die Berichterstattung von Cybercrime.<\/p>\n
Als wir 2014 das Schadprogramm\u00a0Carbanak<\/a> entdeckten, mit dem Kriminelle bis zu 1 Milliarde US-Dollar von \u00fcber 100 Banken entwenden konnten, gab es unz\u00e4hlige Artikel dar\u00fcber in der Presse. Dabei sollten wir jedoch nicht vergessen, dass allt\u00e4glicher Kreditkartenbetrug zu erheblich gr\u00f6\u00dferen finanziellen Verlusten f\u00fchrt. So wird im Nilson-Bericht<\/em>\u00a0beispielsweise gesch\u00e4tzt, dass Kartenbetrugsf\u00e4lle alleine im Jahr 2018 Verluste in H\u00f6he von 24 Milliarden US-Dollar<\/a> verursacht haben; eine Ziffer, die dieses Jahr noch weiter steigen soll. Carding<\/em> \u2013 wie Cyberkriminelle und Sicherheitsspezialisten den Kartenbetrug auch nennen \u2013 geh\u00f6rt noch lange nicht der Geschichte an. Ganz im Gegenteil!<\/p>\n Ja, all das mag \u00fcberraschend klingen, da immer mehr Banken strikte Sicherheitssysteme und ausgekl\u00fcgelte Betrugspr\u00e4ventionsl\u00f6sungen (Fraud Prevention) einsetzen, die auf maschinellen Lerntechnologien basieren, und so vor Gelddiebstahl und Kreditkartenbetrug sch\u00fctzen sollen. Und ja, theoretisch sollte diese Tatsache zumindest Neulinge vom Einsatz dieser Betrugsmasche abhalten, doch die Statistiken sprechen f\u00fcr sich. Auch wenn in Darknet-Foren die Frage f\u00e4llt, wie man am besten eine Karriere als Cyberkrimineller startet, lautet die Antwort meist \u201eCarding<\/em>\u201e.<\/p>\n Gl\u00fccklicherweise ist Kreditkartenbetrug aufgrund der Sicherheitsma\u00dfnahmen von Banken und Zahlungsplattformen mittlerweile tats\u00e4chlich schwieriger geworden als noch in der Vergangenheit. Leider funktionieren Anti-Fraud-Systeme in der Realit\u00e4t aber nicht ganz so fehlerfrei wie in der Theorie \u2013 dar\u00fcber hinaus gibt es spezielle Dienste, Tools und Marktpl\u00e4tze, die Betr\u00fcgern alle notwendigen Tools und Dienstleistungen zur Verf\u00fcgung stellen.<\/p>\n Sergey Lozhkin, Forscher von Kaspersky Lab, hat einen solchen Marktplatz, genannt Genesis<\/a>, der zum Verkauf digitaler Masken<\/em> von Nutzern dient, im Darknet entdeckt. Auf dem Security Analyst Summit 2019<\/a> pr\u00e4sentierte er seine grundlegenden Gedanken zu dieser Entdeckung. Eine digitale Maske besteht aus dem digitalen Fingerabdruck (Webverlauf, Betriebssystem- und Browserinformationen, installierte Plugins usw.) sowie den Verhaltensinformationen eines Nutzers.<\/p>\n Aber warum sollten Betr\u00fcger diese Masken verkaufen und was hat all das mit dem Thema Kartenbetrug zu tun? Digitale Masken werden von Anti-Fraud-Systemen verwendet, um Benutzer zu verifizieren und identifizieren. Wenn die einem solchen System vorgelegte digitale Maske einer zuvor f\u00fcr denselben Nutzer zugeordneten Maske entspricht, wird eine Transaktion als legitim eingestuft. F\u00fcr viele Banken bedeutet das, dass es nicht mehr notwendig ist, einen 3D Secure-Code oder eine Push-Benachrichtigung an den Benutzer zu senden, um die Transaktion zus\u00e4tzlich zu best\u00e4tigen.<\/p>\n Wenn es Kriminellen also gelingt, Ihre digitale Maske gemeinsam mit Ihren Online-Banking-Anmeldeinformationen zu entwenden, geht das Anti-Fraud-System davon aus, dass Sie die Person sind, die sich am anderen Ende des Ger\u00e4ts befindet, und schl\u00e4gt somit keinen Alarm. Auf diese Weise k\u00f6nnen Kriminelle problemlos Geld von Ihrem Konto abheben, ohne dass es bemerkt wird.<\/p>\n Das ist auch der Grund, weshalb einige Kriminelle derartige Nutzerdaten bei Genesis zum Verkauf anbieten. Betr\u00fcger kaufen diese Informationen, die, abh\u00e4ngig von den zur Verf\u00fcgung gestellten Daten und Anmeldeinformationen, zwischen 5 und 200 US-Dollar kosten k\u00f6nnen, und verwenden diese dann, um als Inhaber der digitalen Maske zu passieren.<\/p>\n Daf\u00fcr verwenden sie ein kostenloses Browser-Plug-in namens Genesis Security <\/em>mit dem\u00a0die Betr\u00fcger die virtuelle Identit\u00e4t eines legitimen Nutzers nachbilden und Anti-Fraud-Systeme t\u00e4uschen k\u00f6nnen. Im Grunde genommen modifiziert Genesis Security<\/em> die vom System wahrgenommenen Parameter so, dass diese mit den Parametern des Ger\u00e4ts des Opfers \u00fcbereinstimmen und dessen Verhalten exakt nachahmen.<\/p>\n Aber wie kommen die Cyberkriminellen, die hinter Genesis stecken, \u00fcberhaupt an die Daten, die sie verkaufen? Die Antwort ist einfach, wenn auch etwas vage: durch verschiedene Malware-Arten.<\/p>\n Nicht jede Malware versucht, Ihre Daten f\u00fcr eine nachfolgende L\u00f6segeldzahlung zu verschl\u00fcsseln oder Ihr Geld zu stehlen, sobald sie es auf Ihr Ger\u00e4t geschafft hat. Einige Malware-Arten verhalten sich unauff\u00e4llig und still, sammeln so viele Daten wie m\u00f6glich und erstellen darauf basierend dann die digitalen Masken, die sp\u00e4ter bei Genesis verkauft werden.<\/p>\n\n Die eine M\u00f6glichkeit, Betrugspr\u00e4ventionssystemen aus dem Weg zu gehen, ist also, vertraut zu handeln\/wirken. Die andere Option ist, mit einem v\u00f6llig neuen<\/em> Erscheinungsbild daherzukommen. Auch zu diesem Zweck lassen sich im Netz selbstverst\u00e4ndlich alle notwendingen Dienste und Tools finden.<\/p>\n V\u00f6llig neu<\/em> bedeutet in diesem Zusammenhang, dass es so gut wie keine \u00fcbereinstimmenden Parameter zwischen der verwendeten und einer anderen digitalen Maske, die dem Dienst bereits bekannt ist, geben darf. Denn entsprechen einige Parameter wie Computerhardware, Bildschirmaufl\u00f6sung usw. denen der zuvor verwendeten digitalen Maske, kann sich der Betr\u00fcger nicht bei einem Dienst mit Anti-Fraud-System anmelden, selbst wenn er einen neuen Browser auf seinem PC installieren w\u00fcrde.<\/p>\n Doch mit einem Service namens Sphere<\/em> k\u00f6nnen die Kriminellen eine vollkommen neue digitale Identit\u00e4t erschaffen und all diese Parameter anpassen, sodass ein Anti-Fraud-System sie als v\u00f6llig neuen Nutzer sieht und somit keinen Grund hat, ihnen kein Vertrauen zu schenken.<\/p>\n Das Problem ist, dass diese Techniken, egal wie fortschrittlich das Betrugspr\u00e4ventionssystem auch sein mag, weiterhin funktionieren werden, da die Systemalgorithmen, die bestimmen, ob eine Person auf das Geld zugreifen darf oder nicht, auf den gleichen Daten basieren, die auch die Kriminellen sammeln.<\/p>\n Kann man sich also \u00fcberhaupt vor dieser Art des Kartenbetrugs sch\u00fctzen?<\/p>\n Um einen angemessenen Schutz bieten zu k\u00f6nnen, ist f\u00fcr Banken die Einf\u00fchrung der Zwei-Faktor-Authentifizierung<\/a> nicht nur erforderlich, sondern obligatorisch; neben der 2FA kann die Erfassung biometrischer Daten durch das Scannen von Fingerabdr\u00fccken (real, nicht digital) sowie die Iris- oder Gesichtserkennung eine zweite Sicherheitsebene bilden. Dar\u00fcber hinaus m\u00fcssen sich Banken s\u00e4mtlichen Betrugsarten der heutigen Zeit bewusst sein. Andernfalls k\u00f6nnen Ma\u00dfnahmen zur Betrugsbek\u00e4mpfung nicht erfolgreich umgesetzt werden.<\/p>\nDigitales Fingerprinting: Wenn sich Kriminelle Ihre Identit\u00e4t leihen<\/h2>\n
Sammeln von Fingerabdr\u00fccken<\/h3>\n
Weitere M\u00f6glichkeiten Anti-Fraud-Systeme zu umgehen<\/h3>\n
Sagen Sie nein zu\u00a0Doppelg\u00e4ngern<\/h3>\n