Was ist Kontoübernahmebetrug (ATO)?

Kontoübernahmebetrug, auch als ATO-Betrug bezeichnet, ist eine Form des Identitätsdiebstahls, bei der Betrüger Ihre kompromittierten Login-Daten verwenden, um sich bei einer Online-Anwendung oder einem Online-Dienst mit Ihrer Identität einzuloggen. Stellen Sie sich vor, Sie wollen an einem Geldautomaten Geld abheben, aber die PIN Ihrer Kontokarte wird nicht mehr akzeptiert. Wenn Sie versuchen, sich über die Bank-App in Ihr Konto einzuloggen, stellen Sie fest, dass Ihr Passwort geändert wurde. Nun müssen Sie sich bei der Bank ausweisen und erfahren dann, dass Ihr Konto von einem Betrüger komplett leergeräumt wurde.

Finanzdienstleistungen, Online-Einzelhandel, soziale Medien, Videostreaming und Unterhaltung gehören zu den Branchen, die von Kontoübernahmebetrug betroffen sind. Bei ATO-Betrug werden bestehende, legitime Konten und deren gespeicherte (oder gestohlene) Kreditkarteninformationen, Treuepunkte und andere Daten missbraucht. Ein Betrüger verschafft sich Zugang zum Konto, tätigt Einkäufe, um dann die Waren zu verwenden oder weiterzuverkaufen, Rückerstattungen zu beantragen und/oder Händler mit Rückbuchungen zu belasten.

Eine Studie von Riskified aus dem Jahr 2021 zeigte einen Anstieg der ATOs: 43 Prozent der US-amerikanischen Händler gaben an, dass es sich bei mehr als 10 Prozent ihrer Rückbuchungen um ATO-Betrug handelte. Die Verluste umfassten neben den direkten Kosten auch den verlorenen Customer Lifetime Value (CLV) sowie den Kostenaufwand für den Kundendienst und die langfristige Schädigung des Rufs der Marke.

Tools für Credential-Stuffing-Angriffe, Tools zum Knacken von Passwörtern, Phishing- und Social-Engineering-Methoden führen in Verbindung mit personenbezogenen Informationen (PII), die im Dark Web verfügbar sind, häufig zu Kontoübernahmeversuchen. Eine Studie des Digital Shadows Photon Research Teams aus dem Jahr 2020 ergab, dass im Dark Web 15 Milliarden gestohlene Login-Daten zu finden sind, darunter auch Kombinationen aus Benutzernamen-Passwort für Online-Banking, Social-Media-Konten und Musik-Streaming-Dienste.

Laut einer Untersuchung von Security.org und Daten des Unternehmens für Cybersicherheit Deduce wurden bereits 22 Prozent der erwachsenen US-Bürger Opfer von Kontoübernahmen, das heißt mehr als 24 Millionen Haushalte. Die Untersuchung ergab weiterhin, dass 60 Prozent der Opfer von Kontoübernahmen das Passwort des kompromittierten Kontos auch zum Einloggen bei weiteren Konten verwendet hatten. Darüber hinaus handelt es sich bei einem Drittel der Login-Versuche bei Finanzdienstleistungs- und Finanztechnologieunternehmen um mutmaßliche Versuche von Kontoübernahmen.

Durch die Pandemie tätigten mehr Menschen ihre Einkäufe online und die Zahl der ATO-Versuche nahm deutlich zu. Gemäß einer Forschungsstudie von Sift haben betrügerische Login-Versuche um 282 Prozent zugenommen. Bei Händlern, die sich auf den Verkauf physischer Waren spezialisiert haben, stieg die Zahl der ATO-Versuche um 378 Prozent. ATO-Betrug schädigt auch den Ruf der Marken: 28 Prozent der Befragten gaben an, sie würden eine E-Commerce-Website oder einen Dienst nicht mehr nutzen, nachdem ihre Konten dort gehackt wurden.

https://www.pymnts.com/news/retail/2020/ecommerce-fraud-costs-prevention/

Der ATO-Betrug beschränkt sich nicht auf die Konten von Einzelpersonen. Das FBI gab an, die Kompromittierung geschäftlicher E-Mails (BED) sei eine der kostspieligsten Formen des Betrugs im Jahr 2020 gewesen, mit Verlusten in Höhe von 1,8 Milliarden US-Dollar. Bei dieser Form der Kontoübernahme erhält der Betrüger Zugriff auf das E-Mailkonto eines Unternehmens und nimmt unberechtigte Überweisungen vor.

Die Kontoübernahme erfolgt in einer Reihe von Schritten:

1. Der Betrüger nimmt (in der Regel mit kompromittierten Login-Daten) Zugriff auf die Konten des Opfers.

 

2. Der Betrüger beginnt mit kleinen, nichtmonetären Änderungen von Kontodaten, wie beispielsweise folgende:
   
   • Änderung von persönlich identifizierbaren Informationen (PII)
   • Beantragung einer neuen Karte
   • Hinzufügen eines autorisierten Benutzers
   • Ändern des Passworts

   Diese Aktionen sind regulär und damit schwerer als betrügerische Aktivitäten auszumachen.

 

3. Nach einer oder mehreren erfolgreichen Änderungen kann der Betrüger mit finanziellen und anderen Transaktionen fortfahren. Die Konten der Opfer enthalten unter Umständen gespeicherte Zahlungsinformationen, zusätzliche personenbezogene Daten oder Prämienpunkte. Diese liefern nützliche Daten für Geldüberweisungen, größere Einkäufe, die Aufnahme von Krediten im Namen der Opfer und die Übernahme weiterer Konten. Je mehr Informationen der Betrüger sammeln kann, desto einfacher wird es, auf weitere Konten und Dienste des Opfers zuzugreifen.
   

Neben Datenschutzverletzungen und dem Erwerb im Dark Web haben die Übeltäter zahlreiche weitere Methoden zur Auswahl, mit denen sie an die Login-Daten für Kontoübernahmen gelangen können. Methoden für Kontenübernahmebetrug sind unter anderem:

Phishing und Social Engineering

Mit dem Phishing, das häufig per E-Mail oder SMS erfolgt, sollen die Opfer dazu verleitet werden, ihre Kontodaten an die Betrüger weiterzugeben. Social Engineering ist eine fortgeschrittene Form des Phishings. Hierbei wird den Opfern vorgegaukelt, es handele sich um reguläre Unternehmen, wie beispielsweise Behörden und Banken, oder Angehörige und Freunde der Opfer. Wir haben alle schon E-Mails oder SMS von „Banken“ erhalten, die uns mitteilten, unsere Konten seien gesperrt und wir sollten unsere Login-Daten für die Wiederherstellung des Kontos angeben. In anderen Fällen wurden wir von „Freunden“ dazu aufgefordert, auf einen Link zu klicken, der Spyware oder andere Malware auf unserem Computer oder Mobilgerät installiert hätte. Wenn Opfer ohne es zu merken auf diese Art von Betrug hereinfallen, verschaffen sie den Betrügern leichten Zugang zu ihren Konten.

Telefonbetrug

Ältere Menschen sind häufig das Ziel von Telefonbetrügern, da ihre Telefonnummern möglicherweise gelistet sind, sie ein Haus besitzen und über Ersparnisse bzw. eine gute Bonität verfügen. Menschen, die unter Demenz oder anderen Problemen leiden, laufen stärker Gefahr, wiederholt von Betrügern ausgenutzt zu werden. Die Betrüger täuschen vor, Kundendienstmitarbeiter zu sein, die Zugang zum Computer des Opfers benötigen, oder geben sich als ein Enkel aus, der die Kontodaten benötigt, um aufgrund eines Notfall Geld überweisen zu können. Nach Schätzungen des FBI belaufen sich die durch Betrug an älteren Menschen entstehenden Verluste auf jährlich 3 Milliarden Dollar.

Unsicheres WLAN

Das persönliche WLAN muss abgesichert werden. Dies erfordert unter Umständen Änderungen der Standardeinstellungen. Das Gleiche gilt für die Sicherheitseinstellungen von IoT-Geräten (Internet of Things), die über WLAN arbeiten, wie beispielsweise Apps für Türklingeln, Thermostate und das Garagentor. Diese können gehackt werden und den Zugriff auf ein Netzwerk ermöglichen. Man sollte unter keinen Umständen wichtige Angelegenheiten über ein öffentliches WLAN-Netzwerk erledigen – insbesondere, wenn man sich bei Konten einloggen muss. Es besteht die Möglichkeit, dass ein Cyberkrimineller einen Man-in-the-Middle-Angriff durchführt, indem er einen gefälschten Wireless Access Point (WLAN-Zugang) an einem öffentlichen Ort anbietet (z. B. in einem Café) und diesen dann für das Abfangen Ihrer Internetaktivitäten nutzt.

Credential Stuffing/Knacken von Passwörtern/Brute-Force-Angriffe

Beim Credential Stuffing werden Bots eingesetzt, um Kombinationen kompromittierter Login-Daten auf mehreren Websites oder Anwendungen auszuprobieren, um auf diese Weise Kontenzugriff zu erhalten. Tools zum Knacken von Passwörtern automatisieren die Verwendung von durchgesickerten oder gestohlenen Benutzernamen mit Bibliotheken gängiger Passwörter, die manchmal durch benutzerdefinierte Bibliotheken ergänzt werden, um auf Konten zuzugreifen. Brute-Force-Angriffe sind eine beliebte Hacker-Technik, bei der verschiedene Variationen von Zeichen oder Wörtern ausprobiert werden, bis das richtige Passwort herauskommt.

Beispiele für Kontoübernahmebetrug gibt es in vielen Branchen. Da es Monate dauern kann, bis diese Angriffe entdeckt werden, bleiben die Angreifer aktiv. Wenn sie es auf Geld abgesehen haben, werden sie eher Bankkonten, Kreditkarten, E-Commerce-Websites und jede Art von Geschäftsaktivitäten ins Visier nehmen, bei denen die Login-Daten von Mitarbeitern zu einer Auszahlung genutzt werden können. Ein Cyberkrimineller, der ein Bank- oder Kreditkartenkonto übernimmt, kann Geld auf seine eigenen Konten überweisen, kann Einkäufe auf E-Commerce-Websites tätigen und dazu auch Geschenkkarten verwenden. Da diese Waren dann wieder verkauft werden können, sind sie schwer nachzuverfolgen.

Abgesehen von dem finanziellen Gewinn gibt es auch noch andere Motive für Kontoübernahmen: Das Sammeln von Angaben über die Familie, Freunde und Kollegen für weitere Angriffe; das Sammeln von Gesundheits- und anderen sensiblen Daten zum Zweck der Erpressung und/oder Rufschädigung mithilfe von kompromittierten Konten in den sozialen Medien. Die Übernahme von Social-Media-Konten kann schnell aufgedeckt werden, wenn der Benutzer einen hohen Bekanntheitsgrad hat und die betrügerischen Posts offensichtlich sind. Im Jahr 2016 wurde beispielsweise das Twitter-Account von Katy Perry mit 89 Millionen Followern übernommen und dazu benutzt, andere Sänger zu verunglimpfen. Dabei wurden Perrys Follower aufgefordert, einem anderen Account zu folgen.

Cyberkriminelle entwickeln Kreativität bei ihren Aktionen. So kann ein Betrüger beispielsweise das Airbnb-Konto eines Opfers übernehmen oder ein anderes Buchungskonto. Für Airbnb und das Kreditkartenunternehmen wirkt die Buchung glaubwürdig. Der Betrug bleibt unentdeckt, bis das Opfer seine Kreditkartenrechnung einsieht, allerdings keinen Zugriff mehr auf sein Airbnb-Konto hat. Der Betrüger kann auch weiter Reisen buchen, während das Opfer sein Konto zurückfordert und versucht, die Abbuchungen zu unterbinden.

Damit Daten vor Cyberkriminellen geschützt bleiben, müssen Einzelpersonen, Unternehmen und Strafverfolgungsbehörden gemeinsam an einem Strang ziehen. Solange der ATO-Betrug nicht kontrolliert wird, werden die Kosten exponentiell steigen. In Unternehmen, die das Deaktivieren kompromittierter Konten vernachlässigen, wird es nicht bei den direkten Verlusten für jedes einzelne Konto bleiben. Die Kunden geben häufig den Unternehmen die Schuld für den Erfolg der Betrüger, und bei Prominenten gerät die Übernahme ihrer Konten in die Schlagzeilen. Die Auswirkungen von ATO-Betrug sind über Jahre hinweg spürbar – von den entgangenen Kundeneinnahmen bis hin zum beschädigten Ruf der Marke.

Datenschutz

Es gibt ein paar Dinge, die Sie als Einzelperson unternehmen können, um das Risiko eines ATO-Betrugs zu verringern. Halten Sie sich auf dem Laufenden über Bedrohungen, und schützen Sie Ihre Login-Daten vor Phishing-Angriffen, Telefonbetrug und anderen Cyberangriffen. Verwenden Sie ausschließlich einzigartige und komplexe Passwörter, und geben Sie diese nicht an Dritte weiter. Vergewissern Sie sich, dass Ihr WLAN und Ihre IoT-Geräte abgesichert sind, und nutzen Sie nach Möglichkeit keine öffentlichen WLANs für den Zugriff auf Ihre geschäftlichen und privaten Konten.

Sicherheitsprotokolle

Unternehmen müssen proaktive Schritte unternehmen, um die Kontoübernahmen einzudämmen und sich gleichzeitig davor hüten, mit endlosen Verifizierungsschritten ihre rechtmäßigen Nutzer zu verärgern oder zu überfordern. Ein Gesamtkonzept, das Lösungen für das Identitäts- und Access-Management (IAM) mit Werkzeugen zur Betrugserkennung kombiniert, kann Cyberkriminelle aufhalten, bevor sie auf Benutzerkonten zugreifen können.

Sowohl die Zwei-Faktor-Authentifizierung (2FA) als auch die Multi-Faktor-Authentifizierung (MFA) statten Unternehmen mit einer zusätzlichen Sicherheitsebene aus, die verhindert, dass Cyberkriminelle kompromittierte Login-Daten für den Zugriff auf ihre Konten verwenden. Privatpersonen sollten ihren Konten diese Optionen ebenfalls hinzufügen, sofern sie zur Verfügung stehen. MFA und 2FA verlangen von den Nutzern die Verifizierung ihrer Identität durch zusätzliche Authentifizierungsfaktoren, die Betrüger nicht anbieten können. Damit bleibt ihnen der Zugriff auf Konten verwehrt.

Die Verifizierung der Identität (bzw. der Identitätsnachweis) ist ein weiteres Sicherheitsinstrument, mit dem garantiert werden kann, dass die digitale Identität eines Nutzers mit seiner realen Identität verknüpft ist. Unternehmen können bei risikoreichen oder hochwertigen Transaktionen eine Identitätsverifizierung durchführen, um das Betrugsrisiko weiter zu verringern.

In Unternehmen besteht eine noch größere Gefahr, dass Betrüger legitime Benutzerkonten übernehmen, da es sich bei den Übeltätern auch um Insider und verifizierte Benutzer handeln kann. Ein Identitäts-und Access-Management (IAM) in Kombination mit Tools zur Betrugserkennung ermöglicht den Unternehmen die automatisierte Betrugsprävention während der Sitzungen in Echtzeit, so dass böswillige Akteure an ihren betrügerischen Aktivitäten gehindert werden.

Tools zur Betrugserkennung

Moderne Tools zu Erkennung von Online-Betrug nutzen künstliche Intelligenz (KI), um Hunderte von individuellen Benutzerdaten zu durchleuchten, die im Zuge von Interaktionen zwischen Mensch und Gerät, von Geräteattributen und Kontoaktivitäten erzeugt werden, um zwischen legitimen Benutzern und Betrügern zu unterscheiden. Das Analysieren von Verhaltens- und Kontextdaten ermöglicht die Erkennung des Verhaltens von automatisierten Bots und Betrügern, da es von den Mustern legitimer Benutzeraktivitäten abweicht. Tools zur Betrugserkennung können beim Start einer Sitzung aktiviert werden, damit sie vor jeglichen Transaktionen ungewöhnliche Aktivitäten während der Sitzung erkennen und Betrug verhindern können.

Weitere Informationen über Online-Betrug finden Sie unter Alles, was Sie über Online-Betrug wissen sollten.