die bank 05 // 2019

DIGITALISIERUNG Auch das

DIGITALISIERUNG Auch das hauseigene Anti-Betrugsteam, das sowohl Technologien führender Anbieter als auch selbstentwickelte Tools einsetzt, konnte nicht genug gegen verdächtige Transaktionen ausrichten. Die finanziellen Verluste, die aus Betrugsfällen resultierten, beliefen sich täglich auf bis zu 100.000 US-$ – kein Einzelfall, wie der Bericht „Die Kosten von Credential Stuffing“ des Ponemon Instituts verdeutlicht: Die Unternehmen können sogar noch wesentlich höhere Beträge verlieren. Hinzu kommen beispielsweise noch Call- Center-Kosten für die Kontaktaufnahme mit betroffenen Kunden, für Kontensperrungen sowie weitere Verteidigungsmaßnahmen. Mit dem Vertrauen schwinden die Kunden In dem betroffenen Institut wurde schließlich entschieden, die finanziellen Verluste selbst abzufangen und diese nicht an die Kunden weiterzugeben. Damit entstand zwar ein erhebliches Defizit, aber das Vertrauen der Kunden konnte erhalten werden, und der befürchtete Reputationsschaden blieb aus. Die Gefahr eines Imageschadens wiegt im Finanzwesen immer hoch, wenn ein Unternehmen nicht mehr als vertrauenswürdig gilt, weil Kreditkarteninformationen oder andere sensible Daten in die Hände von Hackern gelangt sind. Abuse-Angriff und Account Takeover Auf den Kunden selbst hat ein Credential- Stuffing-Angriff zunächst keine direkten Auswirkungen. Erst wenn die erbeuteten und erfolgreich getesteten Anmeldedaten zum Login genutzt und weitere Daten gestohlen werden, drohen dem User Schäden. In diesem Fall spricht man von einem Credential-Abuse-Angriff. Dramatische Folgen kann allerdings ein sogenannter Account Takeover haben, wenn ein Hacker den Account eines Nutzers vollständig übernimmt. Ein derartiger Identitätsdiebstahl kann dann für den Anwender drastische Schäden bedeuten. Für die Angriffe nutzen Hacker fast immer Bots. Sie verwenden Server, Open Proxies oder IoT-Systeme, um mit einer möglichst großen Menge an IP-Adressen die Attacke auf die jeweilige Log-in-Seite zu starten. Je mehr IP-Adressen dem Botnet zur Verfügung stehen, desto effizienter verläuft der Angriff. Und der Ablauf ist denkbar einfach: Ein Bot mit einer IP-Adresse versucht, sich auf einer Website mit den Log-in-Daten anzumelden. Gelingt dies nicht, startet er zunächst keinen neuen Versuch, und ein anderer Bot kommt zum Einsatz. Da viele tausend IP-Adressen zur Verfügung stehen, hat das Botnet genügend Zeit, möglichst langsam und unauffällig sämtliche Kombinationen zu überprüfen. Auf diese Weise wird auch das Rate Limiting umgangen. Diese Sicherheitseinstellung dient dazu, IP-Adressen zu sperren, die wiederholt falsche Daten beim Log-in senden. Natürlich gibt es auch immer wieder Angriffe, die schnell aufgedeckt werden. Das passiert zum Beispiel, wenn ein Bot-Betreiber mit der Wirkungsweise seiner Tools nicht vertraut ist und der Angriff zu viel Traffic auf der attackierten Website erzeugt, oder wenn ein Botnet besonders auffällig agiert und die Aufmerksamkeit auf sich zieht, um vom eigentlichen Angriff abzulenken. Oft agieren Botnets jedoch geschickt und dezent im Hintergrund, sodass ihre Aktivität lange Zeit nicht bemerkt wird. Meist werden die IP-Adressen nur ein- bis zweimal täglich auf der Website bestimmter Banken oder Versicherungen eingesetzt und rotieren dabei zwischen vielen verschiedenen Anmeldeseiten. So nutzt das Botnet seine Ressourcen optimal und reduziert das Risiko, entdeckt zu 58 05 // 2019

DIGITALISIERUNG schiedene Maßnahmen ergreifen, um die Daten und Konten ihrer Kunden abzusichern. So entschied sich der zuvor erwähnte global agierende Finanzdienstleister, einen Bot-Manager zu installieren. Dieses System beobachtet den Traffic auf einer Website sowie die Login-Versuche. Verhaltensbasierte Analysen geben Aufschluss darüber, ob die Eingabe der Log-in- Daten von einem Menschen oder von einem Bot vorgenommen wurde. Bei den beiden unterscheidet sich beispielsweise das Bewegungswerden. Das Botnet kann auf diese Weise über einen langen Zeitraum aktiv und unentdeckt bleiben und hat bessere Chancen, gefährdete Konten aufzuspüren und große Datenmengen zu generieren. IT-Schutzschild: Bot-Management- System Finanzunternehmen sollten sich der Bedrohungslage durch Credential-Stuffing bewusst sein. Schutzlos ausgeliefert sind sie der Betrugsmethode jedoch nicht. Sie können ver- muster beim Eintippen der Anmeldedaten stark: Visualisiert man die Mausbewegungen und Tastaturanschläge einer Person, erhält man ein organisches, unstrukturiertes Muster. Bei automatisierten Bots hingegen entsteht ein rasterartiges, gleichförmiges Muster, wodurch sie schnell identifiziert und anschließend blockiert werden können. Kunden bemerken den Bot-Manager nicht einmal, da er vollständig im Hintergrund agiert. FAZIT Für Finanzinstitute lohnt es sich in vielfacher Hinsicht, in einen effektiven Schutz gegen Credential-Stuffing-Angriffe zu investieren. Im erwähnten Beispiel konnte der Finanzdienstleister durch die verhaltensbasierte Bot-Erkennung die Zahl der angegriffenen Kundenkonten von 8.000 auf nur noch ein bis drei Accounts reduzieren. Die freiwerdenden Kapazitäten nutzte das Unternehmen dafür, die Betrugsfälle frühzeitig und effektiv anzugehen. Die finanziellen Verluste im Zusammenhang mit Betrug sanken dabei von 100.000 US-$ pro Tag auf weniger als 2.000 US-$, wobei die Kosten für geringere Aufwände im Call Center noch nicht enthalten sind. Autor Gerhard Giese ist Manager des Enterprise Security Teams bei Akamai und verfügt über mehr als 20 Jahre Erfahrung im IT-Sicherheitssektor. Er berät speziell zu Lösungen zur Web- und Rechenzentrums-Sicherheit. 1 Vgl. „State of the Internet“-Sicherheitsbericht von Akamai. 05 // 2019 59