Was ist Account Creation Fraud?

Account Creation Fraud – auch New Account Fraud (NAF) oder Fake Accounts Fraud genannt – ist der Vorgang, bei dem Betrüger in böswilliger Absicht Konten bei Online-Diensten einrichten.

Es gibt viele verschiedene Formen, wie und warum Betrüger dies tun (und wir werden diese weiter unten im Detail behandeln), jedoch ist der Grundgedanke immer derselbe:

• Ein Betrüger erstellt in böswilliger Absicht Konten bei einem Online-Dienst, indem er gefälschte oder gestohlene Identitätsdaten verwendet.

 

• Ein Betrüger verwendet gefälschte Konten, um (direkt oder indirekt) betrügerische Aktivitäten durchzuführen, um damit Geld zu machen.

Die Taktik des Account Creation Fraud variiert von Online-Dienst zu Online-Dienst, je nachdem, welche Daten für die Kontoeröffnung erforderlich sind, welche Verfahren zur Überprüfung der Daten zum Einsatz kommen und auf welche Weise die Konten für unrechtmäßige Aktivitäten genutzt werden können. Beispiele für diese unterschiedlichen Dienste sind:

• Online-Spieleplattformen: Manchmal reicht eine gültige E-Mail-Adresse aus, um ein Konto einzurichten. Einmal erstellt, kann ein gefälschtes Konto z. B. dazu verwendet werden, andere Spieler zu spammen oder spielinterne Vermögenswerte zu erlangen, die dann übertragen werden können.

   

• Online-Einzelhandel und E-Commerce: Eine E-Mail-Adresse und allgemeine Daten wie Geschlecht und Name reichen in der Regel aus, um ein Konto zu erstellen. Ein gefälschtes Konto kann z. B. für das Testen von Kreditkarten (d. h. zur einfachen Überprüfung der Gültigkeit von Konto- und Kreditkartendaten) oder als Teil von Empfehlungskonten zum Sammeln von Überweisungsboni verwendet werden.

   

• Finanzdienstleistungen: Für die Einrichtung eines Kontos sind in der Regel sehr detaillierte Kontodaten wie Adresse, Telefonnummer und Sozialversicherungsnummer erforderlich. Ein gefälschtes Konto kann z. B. für den Zugang zu einem Kredit verwendet werden.

Ein böswilliger Akteur durchläuft den Kontoregistrierungsvorgang mit gefälschten oder gestohlenen Kontodaten, wie nachfolgend detailliert beschrieben:

• Gestohlene Kontodaten oder Identitätsdiebstahl: Der Betrüger verwendet Daten von echten Personen, wie einen echten und passenden Namen und eine E-Mail-Adresse. In diesen Fällen ist nicht nur der Dienstanbieter, sondern auch der wahre Identitätsinhaber ein Opfer. 

   

• Gefälschte Kontodaten oder synthetische Identitäten: Der Betrüger verwendet gefälschte Identitätsdaten oder teilweise echte Identitätsdaten (z. B. einen echten Namen und eine echte ID mit einer gefälschten E-Mail und Telefonnummer).

Je nach Ablauf des Registrierungsvorgangs für den jeweiligen Dienst muss der Betrüger möglicherweise Verifizierungsprozesse durchlaufen, wie z. B. die Überprüfung der E-Mail-Adresse oder der Telefonnummer. Die Betrüger verwenden Angaben, die sie verifizieren können, was die Nutzung von Online-Diensten erfordern kann, die virtuelle bzw. falsche E-Mail-Adressen und Telefonnummern anbieten. Bei einem raffinierteren Angriff kann sich der Betrüger zunächst Zugang zur E-Mail oder zum Telefon des Opfers verschaffen oder Social Engineering einsetzen, um das Opfer dazu zu bringen, seine Kontodaten zu verifizieren.

Sobald es dem Betrüger gelungen ist, das Konto zu erstellen, kann er es für illegale Zwecke nutzen oder es in Darknet-Foren verkaufen, damit andere es nutzen können. Je nach spezifischem Dienst und Ziel der Betrüger (z. B. Spamming, Testen von Kreditkarten, Erlangung von Guthaben und Promos) loggen sich diese in das Konto ein und nutzen es zur Verfolgung ihrer Ziele. 

In vielen Fällen setzen Betrüger Bots ein, um in kurzer Zeit mit minimalem menschlichen Arbeitsaufwand eine Vielzahl von Konten zu registrieren. Das bedeutet, dass der Betrüger – in diesem Fall ein Bot-Operator – eine Liste von Kontodaten erstellt, die vom Bot verwendet werden sollen, und diese Liste als Eingabe für den Bot bereitstellt. Der Bot registriert dann die Konten entsprechend.

Es gibt verschiedene Ansätze zum Erkennen von Account Creation Fraud.

1. Bewertung der Kontodaten: Drittanbieter können die Gültigkeit der angegebenen Daten überprüfen. So gibt es beispielsweise Dienste, die die Angaben mit öffentlichen Aufzeichnungen abgleichen, die Reputation von E-Mail-Adressen/Telefonnummern überprüfen oder die Verifizierung von E-Mail-Adressen/Telefonnummern mithilfe von Out-of-Band-Verifizierungsanfragen erzwingen (z. B. ein an eine E-Mail-Adresse/Telefonnummer gesendetes OTP).

    

2. Bewertung der Transaktion: Das Risiko/die Legitimität des Versuchs, ein Konto zu erstellen, kann auf der Grundlage der angegebenen Kontodaten in Kombination mit Geräte- und Netzattributen (z. B. IP, Standort, Sprachen) bewertet werden.

    

3. Bewertung des Verhaltens: Das Risiko/die Rechtmäßigkeit eines Kontoerstellungsversuchs kann auf der Grundlage der Verhaltensmerkmale des Benutzers, der den Kontoerstellungsprozess durchläuft, bewertet werden. Zu den Verhaltensanomalien zählen wiederholte Kontoerstellungen vom selben Gerät aus oder Verhaltensmuster, die darauf hindeuten, dass der Benutzer nicht mit den Kontodaten vertraut ist (z. B. wird von einem Benutzer erwartet, dass er seinen eigenen Namen, seine ID und seine E-Mail-Adresse zügig und fehlerlos eingeben kann). Auch das Verhalten des Nutzers nach der Einrichtung des Kontos spiegelt seine Absicht wider. Wenn er beispielsweise sofort Empfehlungscodes erstellt und diese zur Erstellung weiterer Konten verwendet, deutet dies auf die Absicht des Referral-Missbrauchs hin. 

    

4. Bot-Erkennung: Wie bereits erwähnt, werden häufig Bots für Betrügereien bei der Kontoerstellung eingesetzt. Durch die Bot-Erkennung bei der Kontoerstellung lassen sich solche Bots erkennen.

Account Creation Fraud kann verhindert werden, indem der Kontoerstellungsvorgang je nach Risikostufe, die sich aus den oben beschriebenen Erkennungsmethoden ergibt, blockiert oder mit zusätzlichen Anforderungen versehen wird.

Zu den zusätzlichen Anforderungen können weitere Schritte zur Verifizierung des Kontos zählen, wie z. B. die Verifizierung der E-Mail-Adresse/Telefonnummer und die Nutzung von Diensten zur Identitätsüberprüfung (z. B. PingOne Verify).

Die Anwendung von Betrugserkennung und Risikobewertung als Teil der User Journeys und Transaktionen über den Prozess der Kontoerstellung hinaus kann auch die Nutzung illegaler Konten durch Betrüger verhindern (für den Fall, dass es ihnen gelingt, ein Konto zu erstellen, ohne erwischt zu werden). So kann beispielsweise eine Risikobewertung durchgeführt werden, wenn ein Konto als Empfehlungskonto verwendet oder ihm eine Zahlungsmethode hinzugefügt wird. Betrugserkennungs- und Risikomodelle identifizieren die Nutzung des Kontos als unrechtmäßig, und zwar auf der Grundlage der bei der Kontoerstellung gesammelten Daten in Verbindung mit den nach der Kontoerstellung gesammelten Daten zu Nutzerverhalten und Transaktionen.

Es gibt keinen universellen Ansatz, der alle Fälle von Account Creation Fraud für alle Dienste abdeckt. Eine Kombination aus mehreren Ansätzen ist der beste Weg. Ping bietet die Überprüfung der Kontodaten über PingOne Verify. PingOne Fraud und PingOne Risk decken die Bereiche Transaktionsbewertung, Verhaltensbewertung und Bot-Erkennung ab. DaVinci kann zur Orchestrierung von Erkennung und Durchsetzung verwendet werden, einschließlich der Verbindungen zu Drittanbietern.