Kunden schützen: Was Unternehmen über Account Takeover wissen sollten

von: Gerhard Zehethofer – Vice President IoT ForgeRock

Was genau ist Account Takeover, welche Vorgehensweise verfolgen Cyberkriminelle dabei und wie können Unternehmen ihre Kunden davor schützen?

Was ist ATO?

ATO ist eine schwerwiegende Folge von Identitätsdiebstahl. Sie tritt auf, wenn ein böswilliger Akteur Zugang zu den Anmeldedaten eines Benutzers erhält, um entweder Geld oder Informationen zu stehlen. Dabei brechen die Täter durch gezielte Phishing-, Malware- oder Man-in-the-Middle-Angriffe in die Bank- oder E-Commerce-Konten der Kunden ein. Damit der Kontoinhaber oder das Unternehmen keine illegalen Aktivitäten bemerkt, werden im ersten Schritt Kontoinformationen, Passwörter und Benachrichtigungseinstellungen geändert.

Ist das Konto schließlich übernommen und die Spuren verwischt, stehlen die Betrüger Geld, indem sie Transaktionen zu ihren eigenen Gunsten durchführen, z. B. in Form von Zahlungen an gefälschte Unternehmen. Auch neue Kreditkarten, Bankkonten oder andere Finanzdienstleistungen werden von den Betrügern unter falschem Namen beantragt. Diese Angriffe sind wirksam, da die Täter eine hohe Anzahl von nicht autorisierten Transaktionen durchführen können, bevor sie überhaupt entdeckt werden.

Sechs typische Angriffsarten

Es gibt verschiedene Möglichkeiten, wie Angreifer an Kontonummern und Anmeldedaten für Finanzdienstleistungen oder Online-Konten gelangen. Bevorzugter Markplatz für diese Informationen ist das Dark Web. Dort werden gestohlene Zugangsdaten nach Datenlecks veröffentlicht und können unkompliziert und billig erworben und verkauft werden. Es gibt aber noch sechs weitere gängige ATO-Angriffsmethoden, die Unternehmen und Kunden kennen sollten:

1. Credential Stuffing: Bei diesen Angriffen versuchen Bots mithilfe automatisierter Skripte auf ein Benutzerkonto zuzugreifen. Da viele Personen identische Anmeldeinformationen auf verschiedenen Plattformen verwenden, ist diese Methode besonders wirksam.
2. Brute-Force-Angriff: Hierbei werden mehrere Anmeldeversuche unter Verwendung eines jeweils anderen Kennworts unternommen. Diese Angriffe sind oft erfolgreich, weil viele Passwörter leicht zu erraten sind.
3. Malware: Benutzer werden beispielsweise per Mail dazu gebracht, Anwendungen von bösartigen Quellen herunterzuladen und installieren so unwissentlich Schadsoftware auf ihrem Gerät. Shlayer zum Beispiel ist ein herunterladbarer MacOS-Trojaner, der sich als Chrome-Browser-Update tarnt.
4. Phishing: Bei Phishing-Angriffen tarnen sich die Betrüger als vertrauenswürdige Marke oder Person und treten mit ihren Opfern meist per E-Mail, aber auch via SMS oder Social-Media-Nachricht, in Kontakt. Sie bringen Benutzer dazu, z. B. auf Links zu klicken, die sie auf gefälschte, bösartige Websites weiterleiten. Diese unterscheiden sich oftmals kaum von der imitierten Webseite und sind daher nur schwer zu erkennen.
5. SIM-Card-Stuffing: Bei dieser Art von Social Engineering, kontaktiert der Kriminelle den Mobilfunkanbieter eines Benutzers, gibt sich als Kunde aus und überzeugt einen Call-Center-Agenten davon, die Handynummer auf eine illegale SIM-Karte zu übertragen. Gelingt dies, können die Apps des Opfers, einschließlich der Banking-Apps mitsamt der Textnachrichten für die Multi-Faktor-Authentifizierung, auf dem Telefon des Betrügers aktiviert werden. Täter bekommen damit die Möglichkeit, betrügerische Transaktionen durchzuführen.
6. Man-in-the-Middle-Angriff: Bei dieser Art von Angriff positioniert sich der Betrüger zwischen einer Organisation (z. B. Finanzinstitut) und Nutzer, um die Kommunikation unbemerkt abzufangen. Ein Angreifer kann beispielsweise den Kommunikationskanal zwischen dem Device des Benutzers und dem Server einer Bank übernehmen, indem er ein bösartiges Wi-Fi-Netzwerk als öffentlichen Hotspot in einem Café einrichtet. Personen nutzen diese öffentlichen Hotspots, ohne zu wissen, dass sie ihre Zahlungsdaten über ein kompromittiertes Netzwerk übertragen.

ATO erkennen und abwehren

ATO ist schwer zu erkennen, da sich die Betrüger hinter dem normalen Anmeldeverlauf und -verhalten eines Benutzers verstecken. Es gibt aber trotzdem Anzeichen, auf die Unternehmen achten sollten:

• Mehrere Benutzer beantragen plötzlich, und in einer kurzen Zeitspanne eine Kennwortänderung.
• Es gibt eine ungewöhnliche Häufung erfolgloser Anmeldeversuche.
• Benutzer, die in Europa auf ein Kundenkonto zugreifen, und zehn Minuten später aus einer völlig anderen Location erneut versuchen, auf das Konto zuzugreifen.

All diese Anzeichen können aber nur durch die kontinuierliche Überwachung von Benutzerkonten erkannt werden. Dafür benötigen Unternehmen nicht nur einen vollständigen Einblick in die Benutzeraktivitäten, sondern auch Echtzeit-Funktionen, die diese Verhaltensmuster erkennen können.

Zudem kann eine zusätzliche Authentifizierung des Benutzers (sogenannte „adaptive Authentifizierung“) die Übernahme eines Kontos erschweren oder verhindern. Eine zusätzliche Authentifizierung wird beispielweise erforderlich, wenn sich bestimmte Parameter ändern, z. B. das Gerät oder die Geo-Location des Benutzers. Einfach gesagt, sollten Unternehmen in diesen Fällen eine höhere Authentifizierungsstufe verlangen, bevor der Zugriff auf das Konto erlaubt oder eine Transaktion zugelassen wird.

Mehr Informationen, wie sich Unternehmen vor ATO schützen können, finden Sie hier: www.forgerock.com.