Abwehr gegen Online-Betrug: So schützen sich Banken vor den neuesten Tricks
Wenn es um Online-Fraud geht, dann werden meist Betrügereien im Online-Handel aufmerksamkeitswirksam durch den Blätterwald getrieben. Doch auch Banken und Finanzdienstleister sind beliebte Opfer von Cyberkriminellen, die immer dort aktiv werden, wo sich Geld verdienen lässt. Dunja Koelwel hat im Interview Dirk Mayer, Head of Anti-Fraud Consultant bei Riskident, einem Spezialisten für Online-Betrug, zu den derzeit beliebtesten Betrugsmaschen befragt.
von Dirk Mayer, Riskident
Eine betrügerische Transaktion ist eine unautorisierte oder illegale Aktivität, die die Nutzung von Zahlungsinstrumenten oder Finanzsystemen umfasst, um sich typischerweise Zugriff auf Geld, Waren und Güter oder Dienstleistungen ohne die ordnungsgemäße Einwilligung oder Autorisierung durch den/die Kontoinhaber/in zu verschaffen“, soweit eine Fraud-Definition. Zu dieser Art von Transaktion gehören häufig Identitätsdiebstahl, gestohlene Zahlungsinformationen oder Täuschung.Mit welcher Art von Betrugsversuchen haben Sie am meisten zu tun?
Das kommt sehr auf unsere Kunden an. Die Betrugsmuster sind nach Branchen sehr unterschiedlich. Im E-Commerce sind die Klassiker Bestellungen mit gefälschter und übernommener Identität. Sehr häufig ist auch Account Takeover, also die Übernahme von Bestandskundenkonten. Den in den letzten Jahren starken Retourenbetrug haben unsere Kunden mittlerweile gut im Griff. Langsam zunehmend ist das Problem von Fakeshops, bei denen die Marke eines bekannten Händlers missbraucht wird. Alle Marktplätze kennen auch das Problem betrügerischer Händler, wobei der Schaden dann in der Regel nicht bei Endkunden, sondern beim Marktplatz entsteht.
Im Finanzdienstleistungssektor ist das Spektrum breit, allerdings gibt es ein Problemfeld: Social Engineering in verschiedenen Ausprägungen. Letztendlich geht es den Betrügern darum, dass ein Endkunde einzelne Transaktionen freigibt, eine Kreditkarte in einer Apple- oder Google-Wallet hinterlegt, einen Kreditantrag stellt oder ein Konto eröffnet. Das läuft über Investmentbetrug oder Romance Fraud. Beliebt sind der Microsoft-Mitarbeiter bei Computerproblemen und Jobangebote als App-Tester. Teilweise gibt es hier Vorbereitungszeiten von Monaten bis zu Jahren.
Als “Grundrauschen” sehen wir gefälschte Unterlagen und Versuche mit gefälschten Identitäten Konten zu eröffnen.”
Hier haben Betrüger bei einer Bank mit üblichen Sicherheitsstandards nur noch geringe Chancen – auch das ist ein Grund, warum sich die professionellen Täter eher den Endkunden zuwenden. Außerhalb der Wallet-Problematik ist der Missbrauch von Zahlungskarten mittlerweile auf einem extrem niedrigen Niveau.
“…und hat sich Online Fraud in den letzten Monaten verändert?”
Kaum. Die Trends sind eher langfristig. Kurzfristig tauchen immer wieder einzelne Serien auf. Gerade wieder beliebt ist der Brockhaus-Schwindel: Besitzer mehrerer Bände einer Brockhaus-Enzyklopädie wird vorgegaukelt, dass ihre Sammlung extrem wertvoll ist und nur ein Band fehlt – dann gäbe es einen garantierten Käufer. Dieser einzelne Band kostet dann bis zu 20.000 Euro – aber bei einem Gesamtwert der Sammlung von bis zu 80.000 sind viele Menschen bereit, das Geld zu investieren, oft auf Kredit. Natürlich gibt es keine Käufer für die Sammlung.
Betrugsversuche mit vernetzten Quellen sind oftmals schwer zu erkennen. Was raten Sie Banken und Finanzdienstleistern?”
Sofern die Frage auf Datensammlungen mit sehr vielen Informationen zu einer Person zielt: Das Problem ist in Deutschland eher gering, hier sind die angloamerikanischen Kollegen viel stärker betroffen. Ausnahmen bestätigen auch hier die Regel, benötigen aber selten umfangreiche Datensets. Gestohlene Ausweise werden missbraucht oder Kreditkarten in einem Land eingesetzt, dass nicht am 3DS-Verfahren teilnimmt.
Die meisten Fälle zielen auf eine Identitätsübernahme, wesentlich sind gute Prozesse zur Identitätsprüfung.”
Den Rest haben die Banken mit Regelwerken, Kundenprofilen und Mustererkennung gut im Griff.
KI wird allerorten als der „Heilsgral” der Betrugsprävention genannt. Sehen Sie das auch so? Wo sind die Schwachstellen?
Künstliche Intelligenz ist aus vielen Bereichen der Prävention nicht mehr wegzudenken, insbesondere im Monitoring von Zahlungstransaktionen.
Das Thema wird seit einigen Jahren von Fachleuten nicht mehr Golden Bullet oder heiliger Gral gesehen, auch wenn sich die Meinung immer noch in einigen Kreisen hält.”
Es ist ein Werkzeug wie viele andere auch, bei einigen Prozessen hilfreicher als in anderen. Es sind vor allem drei Schwachstellen,die die Nutzung einschränken: Daten, Zeit und Dynamik.
- Zum Training einer KI werden große Mengen an qualitativ guten Daten benötigt. Dazu gehört z.B. die Erfassung von Betrugsfällen auf der Ebene des Tatvorgangs. Diese Daten liegen häufig nicht vor. Auch zusätzliche Informationsquellen mit einem hohen Mehrwert – zum Beispiel Device Fingerprinting – werden noch nicht flächendeckend eingesetzt. In einigen Betrugsarten lässt sich auch schwer entscheiden, ob Kunden nur Opfer oder Mittäter sind – für die Daten erst einmal ein Qualitätsproblem.
- Die Zeit ist eine Herausforderung bei allen Betrugsarten mit hohem Schadenspotential und solchen, die nicht regelmäßig auftreten. Stellen sie sich einen Angriff vor, bei denen Betrüger eine Schwachstelle gefunden haben und erfolgreich Kreditbetrug begehen. Die Bank merkt dies bestenfalls beim Ausbleiben der ersten Raten – also nach ein bis zwei Monaten. Dann braucht der Algorithmus eine ausreichende Anzahl an Fällen, um zu lernen: Sie haben also schon einige hundert Ausfälle und zwei Monate, in denen sie noch Schadenspotenzial aufbauen. Nehmen wir pro Kredit nur 8.000 Euro an. 400 Stück im Inkasso und noch einmal 600 in den neuen Herauslagen – die Betrüger haben ja gemerkt, dass sie mit dem Vorgehen Geld bekommen: Das wären acht Millionen, bevor die Maschine erste Warnzeichen gibt. Völlig indiskutabel. Letztendlich gilt dies für alle Prozesslücken.
- Das größte Problem ist die Dynamik. Stabile Betrugsmuster bei Online Fraud wie Skimming sind kein Problem für eine KI, auch im Transaktionsmonitoring gibt es große Mengen an qualitativ guten Daten und die Betrugsmuster sind oft sehr ähnlich – so lange sie erfolgreich sind. Stellen Sie sich vor, Sie sind ein Betrüger. Ein Vorgehen funktioniert, dann plötzlich nicht mehr. Sie probieren es noch einmal – und bekommen nichts. Was tun sie? Sie wechseln das Opfer oder ihr Vorgehen, und das so lange, bis es wieder klappt. Diese Dynamik ist ein grundsätzliches Problem, da alle heute existierenden KIs auf statistischer Basis arbeiten.
Ein ganz anderes Thema ist der Einsatz von KI auf Seiten der Betrüger: Hier ist das Gefahrenpotenzial extrem groß und reicht von Botsteuerung über Anruf- und Chat-Automatisierung bis zur Fälschung von Webseiten und Videos. Und wieder ist hier vor allem der Endkunde in Gefahr.
Dirk Mayer ist Fraud-Experte bei Riskident (Website) und berät seit 15 Jahren Finanzdienstleister beim Aufbau ihrer Betrugsprävention. Er hat nach seiner Filialzeit die Kreditabteilung einer der ersten Internetbanken aufgebaut. Studiert hat er später Governance, Risk und Compliance. Er ist Initiator einer Fraud-Pool-Lösung für Banken.
Woher wollen sie wissen, dass die neue große Liebe aus den USA wirklich existiert, wenn Chats generiert, Videos und Stimme gefälscht werden können?
Der aktuelle Best Practice in der Betrugsprävention ist sehr klar:
- Nutzung vieler Datenquellen, u.a. Device Fingerprinting und biometrische Verfahren
- Spezialisierte Systeme jeweils für Antrags- und Transaktionsbetrug
- Systeme verfügen über vernetzte Datenbestände zur Wiedererkennung von betrügerisch genutzten Ressourcen (Namen, Telefonnummern, Devices usw.)
- Es werden Regelwerke, Anomaliedetektion und KI-trainierte Algorithmen eingesetzt
- Spezialisten überprüfen potenzielle Betrugsfälle und suchen nach Fällen und Mustern, die von Algorithmen nicht erkannt werden
Kritische Themen, die zur Zeit nicht gut abgedeckt werden und ein großes Potenzial haben:
- Der Austausch über Online Fraud und dabei genutzte Daten wie Kontonummern und Geräte. Gesetzliche Regelungen dazu werden in einigen Jahren kommen, die Services und Datenquellen sollten jedoch umgehend genutzt werden. Dass der Austausch nur schleppend anläuft, hängt nicht am Datenschutz, sondern an dem Willen der Beteiligten.
- Die massive und einheitliche Aufklärung der Bevölkerung. Einzelaktionen bringen hier wenig, zielführend sind gemeinsame Initiativen, bei denen Themen klar adressiert werden. Mit der Initiative “Sicher handeln” gibt es ein erstes deutsches Modell – aber die Beteiligung der Finanzdienstleister ist noch schwach. Das Modell TakeFive aus UK zeigt große Wirkung und ist das Vorbild für die deutsche Initiative.
- Die Zusammenarbeit mit staatlichen Stellen ist immer noch schwach und muss dringend verbessert werden. Hier ist die Politik gefragt.
Wie ordnen Sie das Thema Quantencomputing und Betrugsprävention für sich ein?
Wer sich mit Quantencomputing beschäftigt, lächelt bei dieser Frage. Die heute funktionierenden Quantencomputer sind nur für extrem spezialisierte Anwendungen nutzbar und die liegen zur Zeit nicht in der Betrugsprävention. Ob überhaupt einmal allgemein oder speziell für die Prävention nutzbare Quantencomputer gebaut werden können, ist fachlich unklar. Klar ist, das, wenn wir soweit sind, andere Probleme kritischer sind. Insbesondere wären dann die aktuellen Verschlüsselungsverfahren in Gefahr. Meines Wissens sind wir von dem Thema sehr weit weg.Dirk Mayer, Riskident/dk
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/212115
Schreiben Sie einen Kommentar