Thought Leadership
Kriminelle missbrauchen die Identitäten von Bürgern, um systematisch verifizierte Bankkonten für Geldwäsche zu erstellen und für bis zu 700 US-Dollar im Darknet zu verkaufen. Durch den Einsatz von SIM-Modem-Farms und perfidem Social Engineering bei der KYC-Prüfung hebelt die Masche herkömmliche Sicherheitsmechanismen aus.
Die Welt der Finanztechnologie (Fintech) steht vor einer neuen, industriellen Bedrohung durch hochspezialisierte Betrugsringe. Ein aktueller Bericht des Sicherheitsunternehmens Group-IB legt offen, wie systematisch Kriminelle in Frankreich sogenannte „Mule-Accounts“ (Finanzagenten-Konten) auf B2B-Plattformen erstellen. Diese Konten dienen als unverzichtbares Werkzeug für die Geldwäsche und den Transfer illegaler Gelder. Die Professionalität der Angreifer zeigt sich dabei vor allem in der Skalierbarkeit: Laut der Forscher ist mittlerweile fast jede siebte Kontoeröffnung bei französischen Fintechs ein bestätigter Mule-Account. Die verifizierten Konten werden anschließend auf Darknet-Marktplätzen zu Preisen zwischen 300 und 700 US-Dollar gehandelt, wobei die Nachfrage durch die steigende Regulierung des Finanzmarktes kontinuierlich wächst.
Phishing-Kampagnen als seriöse Dienstleistungen getarnt
Der Prozess beginnt weit vor der eigentlichen Kontoeröffnung mit der systematischen Beschaffung von Identitätsdaten. Die Betrüger schalten hierzu Phishing-Kampagnen, die oft als seriöse Dienstleistungen getarnt sind. Ein dokumentiertes Beispiel ist eine gefälschte Immobilienberatung, bei der interessierte Bürger ihre persönlichen Daten und Ausweisdokumente im Austausch für eine vermeintliche Finanzberatung hochladen. Das Opfer ahnt zu diesem Zeitpunkt nicht, dass seine Identität für die Eröffnung eines Bankkontos missbraucht wird. Sobald die persönlichen Informationen vorliegen, beginnt die technische Registrierungsphase. Hierbei setzen die Hacker auf eine komplexe Infrastruktur aus SIM-Modem-Farms. Diese ermöglichen es ihnen, über mobile IP-Adressen französischer Mobilfunkanbieter auf die Plattformen zuzugreifen, während sie physisch oft in ganz anderen Weltregionen wie Osteuropa oder dem Nahen Osten sitzen.
Ein kritischer Punkt jeder Kontoeröffnung ist die gesetzlich vorgeschriebene „Know Your Customer“-Prüfung (KYC). Da viele moderne Fintechs eine Identifikation per Selfie oder Video-Ident-Verfahren verlangen, haben die Betrüger eine Methode entwickelt, um auch diese Hürde zu nehmen. Sie nutzen Social Engineering, um das ursprüngliche Phishing-Opfer dazu zu bringen, die Verifizierung selbst durchzuführen. Dem Opfer wird suggeriert, dass der Video-Anruf oder das Selfie Teil des Beratungsprozesses für die Immobilienfinanzierung sei. Da eine echte Person mit echten Dokumenten vor der Kamera erscheint, meldet das System der Bank keinen Betrugsverdacht. Der KYC-Prozess wirkt in der isolierten Betrachtung vollkommen legitim, was die Entdeckung für automatisierte Systeme extrem erschwert.
Geldwäscher loggen sich über billige Android-Smartphones ein
Nachdem die Verifizierung erfolgreich abgeschlossen wurde, erfolgt die operative Übergabe des Kontos. Ein charakteristisches Signal für diesen Schritt ist der sogenannte „Device Downgrade“. Während die Registrierung und Verifizierung oft über hochwertige Desktop-Systeme oder die Geräte der Opfer erfolgen, loggen sich die eigentlichen Geldwäscher kurz darauf über billige Android-Smartphones ein. Diese Geräte werden als Wegwerf-Werkzeuge genutzt, um die Geldbewegungen zu steuern. Die Forscher von Group-IB betonen, dass diese Konten oft Monate als „Schläfer“ inaktiv bleiben, um nicht unmittelbar nach der Eröffnung aufzufallen.
Die Entdeckung dieser kriminellen Netzwerke erfordert laut Experten einen radikalen Strategiewechsel in der Betrugsprävention. Herkömmliche Kontrollen, die nur einzelne Zeitpunkte der Kontoeröffnung prüfen, greifen bei dieser industrialisierten Vorgehensweise ins Leere. Notwendig ist eine ganzheitliche Analyse des gesamten Lebenszyklus eines Kontos. Nur wenn Signale wie die Nutzung von SIM-Farm-IPs auf Desktop-Geräten, Anomalien beim Browser-Fingerprinting und der abrupte Gerätewechsel nach der Verifizierung miteinander verknüpft werden, lässt sich das kriminelle Muster erkennen. Anbieter von Sicherheitslösungen setzen daher auf die Korrelation von Daten über Sitzungsgrenzen hinweg, um die „Mule-Fabriken“ effektiv zu bekämpfen.
Für die betroffenen Bürger ist der Identitätsmissbrauch oft mit schwerwiegenden rechtlichen Konsequenzen verbunden, da die Konten auf ihren Namen laufen und für schwere Straftaten genutzt werden. Der Bericht mahnt daher zu extremer Vorsicht bei der Preisgabe persönlicher Daten auf unbekannten Plattformen. Die französische Fintech-Branche dient hierbei als Warnsignal für den gesamten europäischen Markt, auf dem ähnliche Industrialisierungstendenzen der Cyberkriminalität zu beobachten sind.
