Autorisierte Zahlungsanweisungen und Social Engineering: So können Sie sich wehren

Wenn Betrug in Form von Online-Täuschungen und Social Engineering auftritt, kann es für Unternehmen schwer werden, dies zu unterbinden. Tatsächlich ist es so, dass wenn seriöse Kunden Opfer von Online-Verbrechen werden, wie zum Beispiel bei Betrug mit autorisierten Push-Zahlungen (APP, Authorised Push-Payment), können die Auswirkungen der Verluste Wellen schlagen und nicht nur für den Kunden, sondern auch für das Unternehmen gravierend sein, in dem der Betrug stattgefunden hat.

Laut den Angabender Federal Trade Commission (FTC) haben US-amerikanische Verbraucher allein im Jahr 2021 mehr als 2,3 Milliarden Dollar durch Betrügereien verloren. Auf der anderen Seite des großen Teichs berichtete der britische Handelsverband UK Finance, dass die Verluste durch Online-Betrug mit autorisierten Push-Zahlungen in der ersten Hälfte des Jahres 2021 im Vereinigten Königreich um 71% gestiegen waren.

Letztendlich müssen die Finanzinstitute Mittel und Wege finden, um sich gegen diese massiven potenziellen Verluste durch APP-Betrug zu wehren, bevor sie selbst die Rechnung bezahlen müssen.

In der Gesamtheit der unterschiedlichen Arten von Betrug, die Unternehmen verhindern wollen, sind Online-Schwindel und Social Engineering mit einigen typischen Problemen verbunden. Diese basieren vor allem auf der Tatsache, dass die Kriminellen nicht direkt mit dem digitalen Eigentum des Unternehmens, sondern über den Verbraucher interagieren, der auf den Betrug hereinfällt.

Das macht es sehr schwer, diese Art von Betrug im Vorfeld aufzudecken, schon alleine, weil die getäuschten Verbraucher die Authentifizierungs- und Biometrie-Aufforderungen problemlos passieren können, nachdem sie sich bei ihren eigenen Konten anmelden. Sicherheitsvorkehrungen wie beispielsweise die Multi-Faktor-Authentifizierung (MFA) und selbst der Identitätsnachweis sind in dieser Situation nur begrenzt hilfreich. Stattdessen müssen Finanzinstitute darüber nachdenken, wie sie direkt beim Nutzer wirksam eingreifen können, um APP-Betrug zu verhindern, und an welchem Punkt der Benutzererfahrung diese Art von Eingriff erfolgen sollte.

Die Betrugsprävention interveniert häufig an zwei Schlüsselpunkten der User Journey: bei der Authentifizierung und bei der Transaktion. Wenn es sich jedoch um einen legitimen Benutzer handelt, der sich problemlos bei seinem Konto authentifizieren können sollte, kann wahrscheinlich nur noch die Transaktion als Abwehrmechanismus dienen. Gängigerweise werden für die Überweisung großer Geldbeträge zusätzliche Genehmigungen verlangt, aber selbst dies würde einen betrogenen Nutzer nicht vor einem kostspieligen Fehler bewahren.

Hier sollte darauf hingewiesen werden, dass die erste Verteidigungslinie durch die Aufklärung der Verbraucher gebildet wird. Allerdings wird die Aufklärung der Verbraucher das Problem nicht vollständig aus der Welt schaffen. Betrüger sind trickreich und intelligent, und selbst ein vorsichtiger Verbraucher kann getäuscht werden, wenn er im passenden Moment auf die richtige Weise angesprochen wird. Die Finanzinstitute müssen daher eine starke zweite Verteidigungslinie aufbauen, um auch jene Fälle abzudecken, in denen die Verbraucher nicht wirklich gemerkt haben, dass sie betrogen wurden.

Hierfür gibt es unterschiedliche Herangehensweisen, und ein umsichtiges Unternehmen kann mehrere dieser Konzepte für eine vielschichtige Abwehr implementieren. Zunächst einmal macht es Sinn, das Benutzerverhalten während der gesamten Sitzung zu untersuchen. Zwischen der Authentifizierung und dem Abschluss einer Transaktion können die Nutzer eine Reihe weiterer Aktionen durchführen, wie z.B. Anpassungen an ihrem Profil vornehmen oder personenbezogene Daten einsehen und ändern. Die meisten verhaltensbiometrischen Daten beruhen darauf, legitime Nutzer von Betrügern zu unterscheiden, die ein Konto übernommen haben, dennoch können auch legitime Nutzer durch den Einfluss eines Betrügers einige unübliche Verhaltensweisen zeigen. Wenn Instrumente für die Betrugs- und Risikoerkennung kontinuierlich und während der gesamten Benutzersitzung arbeiten, erhöht dies die Chancen, diese Anomalien zu erkennen und entsprechende Maßnahmen zu ergreifen.

Zum Eindämmen dieser Art von Betrug reicht das Aufdecken alleine jedoch nicht aus. Vielmehr müssen die Finanzinstitute die Nutzer auf irgendeine Weise dazu bewegen, ihr Handeln selbstkritisch zu überdenken. Das ist leichter gesagt als getan, kann aber durch die Anpassung der Nutzererfahrung an das wahrgenommene Risiko erreicht werden. Anstatt einer verdächtigen Transaktion eine MFA-Anfrage voranzustellen, kann es sinnvoller sein, den Nutzer anderweitig zu fordern und ihn zum kritischen Nachdenken über sein Handeln anzuregen.

Normalerweise hat der Betrüger schon einiges an Arbeit investiert, um das Vertrauen des Nutzers zu gewinnen, trotzdem ist es möglich, den Nutzer zum Zweifeln zu bringen. Wenn bei Nutzern die Gefahr besteht, dass sie eine betrügerische Zahlung genehmigen, könnte man sie auf einen anderen Weg bringen: Zu diesem Zweck könnte es ausreichen, ihnen nicht sofort den Zugriff auf die Schaltfläche ‚‚Überweisung" zu präsentieren, sondern zuvor einen Warnbildschirm einzublenden, der sie auf möglichen Betrug hinweist und ihnen verschiedene Fragen dazu stellt, woher sie den Zahlungsempfänger kennen, ob sie genau wissen, wofür sie bezahlen usw.

Manchmal genügt es schon, die Kunden zum Nachdenken anzuregen, um sie von einer Zahlung abzuhalten.

Die meisten Unternehmen arbeiten mit mehreren Maßnahmen und Technologien zur Betrugsbekämpfung. Betrugsprävention ist in der Regel ein additiver Ansatz, bei dem neue Schutzmaßnahmen auf die bestehenden aufgesetzt werden, um mit den neuen Tools und Taktiken der Betrüger Schritt zu halten. Leider braucht es Zeit, Geld und eine Vielzahl von Genehmigungen, um Technologien hinzuzufügen bzw. signifikante Modifikationen an bestehenden Instrumenten vorzunehmen.

Der Grund dafür ist, dass die Kontrollvorgänge und die Governance unter Umständen sehr starr sind, was den Finanzinstituten die Sachlage erschwert. Die Betrüger haben keine solchen Hindernisse und können sich daher schneller bewegen, so dass die Teams für Online-Betrug immer das Gefühl haben, hinterher zu hinken. Die verfügbaren Instrumente zur Bekämpfung von Betrug und Social Engineering zu kennen und sie tatsächlich anzuwenden, sind zwei sehr unterschiedliche Dinge.

Finanzinstitute können dieses spezielle Problem umgehen, indem sie ihre Betrugsrichtlinien aus den einzelnen Anwendungen heraus in einen zentralen Hub für Online-Betrug verlagern, um so das schnelle und unkomplizierte Ändern der Richtlinien ohne Programmieraufwand zu ermöglichen. Auf diese Weise können die Betrugs-Teams ihre Richtlinien so anpassen, dass sie auf potenzielle Betrugsversuche jeweils unterschiedlich reagieren und Methoden zur Abhilfe auswählen, die weniger auf Standard-Tools wie MFA oder Identitätsverifizierung, sondern mehr auf anderen Arten von Herausforderungen basieren. Der Vorteil dieses Ansatzes besteht darin, dass sich das Wirken dieser Richtlinien problemlos nachvollziehen und bei Bedarf in Echtzeit testen und anpassen lässt.

Betrug und Social Engineering sind schwer zu bekämpfen, aber mit der richtige Kombination von Tools und Taktiken kann Ihr Unternehmen sicher sein, diese Aufgabe zu bewältigen.

Ping Identity verfolgt einen integrierten Ansatz zur Betrugsprävention, der Tools zur Betrugserkennung, Entscheidungsfindung, Schadensbegrenzung und Orchestrierung auf einer Plattform vereint. Unsere Entscheidungs- und Orchestrierungs-Tools zur Betrugsbekämpfung erlauben Unternehmen die unkomplizierte Aggregation von Betrugssignalen aus unterschiedlichen Quellen, darunter auch die Erkennungstools von Ping und anderer Anbieter. So können sie Richtlinien erstellen, die eine flexible Eindämmung an jedem Punkt auf der User Journey ermöglichen. Das Ändern und Testen von Richtlinien in unserem Entscheidungs-Hub ist einfach und geht schnell. Unsere Experten für Betrugsprävention geben gerne Auskunft über ihre Erfahrungen bei der Vorbeugung von Verlusten durch APP-Betrug und Social Engineering.

Sie möchten mehr darüber erfahren, wie Ping Ihr Unternehmen bei der Betrugsbekämpfung unterstützen kann? Weitere Informationen finden Sie im Ultimativen Leitfaden zur Betrugsprävention von Ping oder direkt bei uns. Kontaktieren Sie uns noch heute.