[datensicherheit.de, 23.05.2023] Eigentlich gilt die Multi-Faktor-Authentifizierung (MFA) zur Zeit als eine der sichersten Methoden zum Schutz vor Bankkonten-Betrug: Neben herkömmlichen Anmeldedaten wie Benutzername und PIN bzw. Passwort ist dann ein zusätzlicher Faktor erforderlich, um die Anmeldung erfolgreich abzuschließen – dies kann ein Token oder ein Code sein. „Darüber hinaus werden passwortlose Authentifizierungsverfahren mit biometrischer Unterstützung immer beliebter“, betont Wiebe Fokma, „Director EMEA Global Advisory“ bei BioCatch, in seiner aktuellen Stellungnahme. Der Einsatz verhaltensbiometrischer Technologien ergänzt laut Fokma sichere MFA-Verfahren und bietet einen zusätzlichen Schutz vor Echtzeitbetrug: „Gerade Betrugsformen wie ,Law Enforcement Scams’ erfordern zusätzliche Methoden, um einen zusätzlichen Schutz von Banken und deren Kunden zu gewährleisten.“

Foto: BioCatch

Wiebe Fokma: Herkömmliche Lösungen zur Betrugserkennung reichen nicht mehr aus!

Bei passwortbasierter Multi-Faktor-Authentifizierung kommen Social-Engineering-Attacken zum Einsatz

Cyber-Kriminelle verfügten indes über Methoden, um auch das beste MFA-Verfahren zu umgehen, warnt Fokma und erläutert: „Bei ,einfachen’ passwortbasierten MFA-Verfahren nutzen sie gängige Social-Engineering-Attacken wie Phishing, Smishing oder Vishing.“

Bei den als besonders sicher geltenden Authentisierungsverfahren, etwa auf Basis von Public-Key-Kryptographie und Biometrie, verlegten sich die Betrüger auf Social-Engineering-Angriffe in Echtzeit – zum Beispiel „Law Enforcement Scams“.

Auch Law Enforcement Scam zur Aushebelung der Multi-Faktor-Authentifizierung

Beim „Law Enforcement Scam“ geben sich Hacker demnach als vermeintliche Mitarbeiter von Banken oder seriösen Behörden aus und drängen ihre Opfer in Echtzeit – beispielsweise per Telefon – dazu, sich in ihr Konto einzuloggen und eine Überweisung auszulösen. Auch „WhatsApp“ werde für diese Masche immer beliebter:

„Hier gibt sich der Betrüger als Familienmitglied aus, das sein Smartphone verloren hat und deshalb eine Nachricht von einer unbekannten Nummer versendet. Der vermeintliche Familienangehörige muss dringend eine Rechnung begleichen und fordert das Opfer auf, einen den entsprechenden Betrag auf ein bestimmtes Konto zu überweisen“, erläutert Fokma.

Zusätzliche Sicherheit für Multi-Faktor-Authentifizierung durch Verhaltensbiometrie

Das Problem laut Fokma: „Herkömmliche Lösungen zur Betrugserkennung reichen hier nicht mehr aus. Da sich der Bankkunde selbst in sein Konto einloggt und die Transaktion auslöst, kann der Betrüger sogar die MFA umgehen. Es gibt aber Möglichkeiten, solche Betrugsfälle zu erkennen und zu stoppen.“

Ein wirksames Mittel sei hierzu die Beobachtung des Nutzerverhaltens, „insbesondere wenn dieses vom bisherigen Muster abweicht“. Ein für den Bankkunden bislang untypisches Verhalten könne ein Zeichen dafür sein, „dass ein Betrugsversuch in Echtzeit vorliegt“. Mit Hilfe von Verhaltensbiometrie ließen sich daher auch kriminelle Aktivitäten aufdecken, bei denen der Betrüger einen „legitimen“ Dritten für seine Zwecke einspannt.

Multi-Faktor-Authentifizierung wird ergänzt um Erfassung ungewöhnlicher Verhaltensweisen

„Zu ungewöhnlichen Verhaltensweisen kann es kommen, weil der zu überweisende Geldbetrag und die Kontodaten von einer dritten Person diktiert werden.“ Dadurch sei das Opfer verunsichert, was sich in seinem zögerlichen Verhalten während der Kontositzung äußere. Beim „Mobile Banking“ via Smartphone werde der Anruf zudem auf dem Gerät registriert, und die Bewegung des Mobilgeräts erfolge vom Ohr des Bankkunden (Empfang der Anweisung) zum Gesicht (Eingabe beziehungsweise Bestätigung der Eingabe) und zurück. „Analysen von BioCatch zeigen, dass die Opfer bei rund 40 Prozent der weltweit bestätigten Betrugsversuche während der aktiven Kontositzung ein Telefongespräch führten“, berichtet Fokma.

„Erfolgt die Überweisung am PC, können ziellose Maus-Bewegungen ein zusätzliches Indiz für einen Betrugsfall sein. Denn das Opfer befindet sich im Gespräch mit dem Kriminellen und muss gleichzeitig die Live-Sitzung aufrechterhalten.“ Ein weiteres Zeichen für Echtzeitbetrug seien verzögerte Tastatureingaben, „da der getäuschte Bankkunde auf die Anweisungen des Anrufers wartet, während er die Überweisung tätigt“, führt Fokma abschließend aus.

Weitere Informationen zum Thema:

datensicherheit.de, 18.11.2021
Authentisieren, Authentifizieren und Autorisieren: PSW GROUP erklärt Unterschiede / Insbesondere die Begriffe authentisieren und authentifizieren werden gerne synonym verwendet

[datensicherheit.de, 17.02.2023] Auf dem Gebiet der Künstlichen Intelligenz (KI) hat sich in den letzten Monaten offensichtlich viel getan – so sorgt derzeit vor allem der seit November 2022 verfügbare sogenannte Chatbot „ChatGPT“ von OpenAI für Aufsehen. Dieses textbasierte Dialogsystem, basierend auf Maschinellem Lernen, soll Fragen in natürlicher Sprache beantworten. „ChatGPT“ verspricht demnach in vielen Bereichen Vorteile – etwa für automatisierte Kunden-Unterstützung, um Fragen von Endnutzern schnell und effizient zu beantworten, schnelle Informationen sowie die vereinfachte Weiterentwicklung von Prototypen zu Konversationsanwendungen.

Foto: BioCatch

Wiebe Fokma warnt: Cyber-Kriminelle könnten KI für Phishing- und Social-Engineering-Kampagnen ausnutzen!

KI-Entwickler sind sich bewusst, dass ihre Modelle nicht nur Vorteile bieten…

Im Januar 2023 hat Microsoft nun auch mit „Vall-E“ seine neue KI vorgestellt: Dieses Sprach-Synthesemodell soll menschliche Stimmen imitieren können. „Dafür reicht eine Aufnahme der Originalstimme von nur drei Sekunden“, berichtet Wiebe Fokma, „Director Global Advisory“ bei BioCatch, in seiner aktuellen Stellungnahme. Die KI simuliere die menschliche Stimme sehr genau und könne sogar emotionale Betonungen des Sprechers nachahmen.

Die Entwickler beider Systeme seien sich allerdings bewusst, „dass ihre KI-Modelle nicht nur Vorteile bieten“. Mit der zunehmenden Beliebtheit solcher Programme steige auch das Betrugspotenzial: So könnten insbesondere Chatbots dazu missbraucht werden, Malware-Angriffe zu starten, Phishing-Versuche weiter zu perfektionieren oder Identitäten zu stehlen. „Die Möglichkeiten sind vielfältig“, warnt Fokma.

KI als Booster für Attacken per Phishing und Social Engineering

Er führt aus: „Welche Betrugsszenarien durch den Einsatz von KI-Modellen zukünftig möglich sind, hat BioCatch analysiert.“ „ChatGPT“ z.B. nutze die Verarbeitung natürlicher Sprache (Natural Language Processing, NLP). „Das könnten Cyber-Kriminelle für Phishing- und Social-Engineering-Kampagnen ausnutzen.“ Es ließen sich beispielsweise E-Mail-Konversationen authentisch nachstellen, ohne dass Grammatik- oder Rechtschreibfehler erkennbar seien. Dabei sorge ein natürlicher Sprachfluss für Vertrauen bei den potenziellen Opfern: „Der vermeintliche Bankmitarbeiter, der den Kunden per E-Mail auffordert, seine Kontodaten zur Verifizierung anzugeben, wirkt durch die natürliche Sprache authentisch.“ Auf diese Weise könnten Betrüger problemlos Daten abgreifen oder komplette Konten übernehmen.

Für Banken seien solche Betrugsformen schwer zu erkennen, weil es sich bei den geschilderten Fällen um „echte“ Kunden handele, welche dann die Überweisung auslösen. Aber nicht nur die vielfältigen Betrugsszenarien würden durch den Einsatz von KI für Banken und Finanzinstitute zunehmend zum Problem. Um sich vor solchen Risiken zu schützen, müssten Unternehmen über solide Sicherheitsmaßnahmen verfügen. Fokma erläutert: „Dazu gehören vor allem regelmäßige Security-Updates sowie eine Multi-Faktor-Authentifizierung.“ Darüber hinaus sollten sie zusätzliche Maßnahmen ergreifen, um ihre Chatbots vor böswilligen Akteuren zu schützen.

Weitere Herausforderung: Mithilfe KI-gestützter Chatbots können Geldwäscher Gespräche generieren

Auch die Bekämpfung der Geldwäsche stelle eine Herausforderung dar und sei oft mit hohen Kosten verbunden. „Hier bleibt die erste Überweisung meist unentdeckt. Entweder wird sie vom Überwachungssystem übersehen, oder der ,Kunde’ beziehungsweise der AML-Analyst (Anti-Money Laundering) bestätigt die Transaktion als unverdächtig.“ Denn mithilfe von KI-gestützten Chatbots wie „ChatGPT“ könnten Geldwäscher Gespräche generieren, die scheinbar legitime Geschäftsaktivitäten zum Gegenstand hätten. „In Wirklichkeit dienen sie jedoch dazu, Geldtransfers zu verschleiern“, so Fokma. Dadurch werde es für Finanzinstitute immer schwieriger, die gängigen Muster von Geldwäscheaktivitäten zu erkennen.

Ein weiteres Problem sei die Rekrutierung ahnungsloser Personen zur Geldwäsche. „Viele der Konten werden von arglosen Personen eröffnet, die glauben, einen ertragreichen Nebenjob gefunden zu haben. Dabei wissen die Betroffenen oft nicht, dass sie als Geldwäscher agieren und ihr Konto für kriminelle Aktivitäten nutzen, oder es dafür zur Verfügung stellen.“ Denn die Betrüger gäben sich als legitime Unternehmen aus und versprächen schnelles Geld. Fokma betont: „Und mit ,ChatGPT’ lässt sich die vermeintliche Stellenanzeige und der nachfolgende Rekrutierungsprozess noch überzeugender gestalten.“

Verhaltensbiometrie soll Abhilfe gegen KI-gestützten Betrug bieten

Verhaltensbiometrie könne eine wichtige Rolle beim Aufdecken von Betrugsversuchen und Geldwäsche spielen. Fokma erklärt: „Durch die Analyse des Benutzerverhaltens, etwa der Tippgeschwindigkeit, den Tastenanschlägen und Mausbewegungen kann das normale Verhalten eines Benutzers festgelegt werden.“

Anhand davon könne die Software erkennen, ob es sich tatsächlich um den angemeldeten Benutzer handelt, oder um einen Betrüger. Auch viele andere Betrugsversuche ließen sich so erkennen. Auf diese Weise könnten auch Konten ausfindig gemacht werden, die zu einem späteren Zeitpunkt für Geldwäsche genutzt werden sollen.

Weitere Informationen zum Thema:

datensicherheit.de, 09.02.2023
Am Valentinstag mit KI auf Partnersuche: International würde jeder dritte Mann Liebesbriefe mit ChatGPT erstellen / In Deutschland im Durchschnitt potenziell jeder fünfte Mann ein KI-Nutzer für das Verfassen von Liebesbriefen

datensicherheit.de, 08.02.2023
Zum SAFER INTERNET DAY 2023: LfDI Rheinland-Pfalz nimmt Stellung zu KI und ChatGPT / ChatGPT nur ein Beispiel, wie KI-Systeme sich mehr und mehr in digitalen Anwendungen unseres Alltags finden

datensicherheit.de, 13.02.2023
Liebesbetrug am Valentinstag: Auch ein Festtag für Cyber-Kriminelle / Gerade am Valentinstag viele alleinstehende Menschen im Internet auf der Suche nach Kontakt