Betrug-as-a-Service: Onlinekonten hacken

LinkedInXingPocketWhatsAppFlipboard

Auch Hacker freuen sich über die zahlreichen neuen Möglichkeiten, die Künstliche Intelligenz ihnen bietet. Um einen Anstieg illegaler Accountübernahmen zu verhindern, müssen Unternehmen jetzt ihre Sicherheitssysteme überdenken.

Ein gehackter Account ist für viele ein absolutes Horrorszenario. Trotzdem musste knapp ein Drittel der User in Deutschland genau diese unschöne Erfahrung schon einmal machen, wobei mit 63 Prozent Social Media- und E-Mail-Konten besonders häufig betroffen sind. Ergeben hat das eine repräsentative Umfrage der Verbraucherzentralen, deren Ergebnisse erst kürzlich veröffentlicht wurden. In vielen Fällen geht einem solchen Angriff eine Phishing-Nachricht voraus, die Benutzer zum Beispiel dazu auffordert, online ihre Zugangsdaten zu ändern. Dieser Prozess ist inzwischen vollständig rationalisiert, sodass selbst Amateurhacker in der Lage sind, Onlinekonten zu hacken. Komplettpakete hierfür werden im Dark Web zum Kauf angeboten – „Betrug-as-a-Service“ sozusagen.

Anzeige

Es gibt einige Gründe dafür, weshalb die Anzahl gehackter Accounts stetig zunimmt. Einer davon ist, dass oft ein und dieselben Zugangsdaten für verschiedene Websites und Plattformen verwendet werden. Darüber hinaus gestalten Bots und KI das Hacken von Konten heute wesentlich einfacher. In der Befragung der Verbraucherzentralen gab mit 56 Prozent tatsächlich nur etwas mehr als die Hälfte der Internetnutzer an, unterschiedliche Passwörter für ihre Onlinekonten zu verwenden. Hacker:innen, die sich der Methode „Credential Stuffing“ bedienen, haben deshalb leichtes Spiel: Sobald sie die Zugangsdaten für ein Konto herausfinden konnten, werden diese mithilfe von Bots für unzählige potenzielle andere Logins getestet, sodass sie sich im schlimmsten Fall nicht nur Zugang zu einem Account, sondern gleich zu mehreren verschaffen können.

Illegale Kontoübernahmen können teuer werden – sehr teuer

Durch die illegale Übernahme eines Benutzer:innenkontos können Cyberkriminelle eine ganze Palette an sensiblen Informationen einsehen. Nun haben sie die Möglichkeit, Einkäufe mittels registrierter Zahlungsmethoden zu tätigen, sie können Treuepunkte einlösen oder die personenbezogenen Daten anderweitig einsetzen und zum Beispiel an Dritte weiterverkaufen. Zu Informationen, die typischerweise in Onlinekonten gespeichert sind, gehören neben dem Namen, der Mailadresse und der Anschrift manchmal auch Geburtsdaten, Telefon- und Passnummern.

Der potenzielle Schaden, sollten sensible Daten wie diese in die falschen Hände gelangen, ist enorm. Das Perfide: Da es auf die Sicherheitssysteme des Shops wirkt, als würde es sich um treue Kunden handeln, ist es nun schwer, die Betrugsmasche dahinter zu erkennen. Daher kann es in einigen Fällen sogar Monate dauern, bis die betrügerische Kontoübernahme überhaupt ans Licht kommt.

Wird ein Account gehackt, ist das nicht nur ärgerlich. Es kann für die Betreiber:innen der betreffenden Plattformen und Shops auch sehr teuer werden – vor allem dann, wenn derartige Vorfälle sich häufen. Denn zusätzlich zu den entgangenen Einnahmen kommen auch weitere Kosten für die Rückbuchungen hinzu. Im Rahmen einer Analyse, die Riskified gemeinsam mit Propeller Insights durchgeführt hat, gaben knapp 18 Prozent der Unternehmen in Deutschland an, dass 25 bis 50 Prozent ihrer Rückbuchungen auf illegale Kontoübernahmen zurückzuführen sind. Doch auch der Reputationsschaden ist enorm: 42 Prozent der Verbraucher, die im Rahmen der Analyse befragt wurden, gaben an, definitiv nicht noch einmal in einem Shop einzukaufen, in dem ihr Konto gehackt wurde. Ein weiteres Drittel würde sich dies zumindest gut überlegen.

KI hebt die Methoden von Cyberkriminellen auf ein neues Level

Obwohl Unternehmen bestrebt sind, ihre Sicherheitsmechanismen stets weiterzuentwickeln, ist davon auszugehen, dass sich die Lage im kommenden Jahr noch weiter zuspitzen wird. Grund dafür sind die Methoden der Hacker, die immer professioneller werden – und dank moderner KI-Tools eröffnen sich auch ihnen noch einmal völlig neue Möglichkeiten. In der Vergangenheit war es beispielsweise einfacher, eine E-Mail als Phishing-Versuch zu identifizieren, da sie oft eine schlechte Rechtschreibung oder völlig unrealistische Szenarien aufwiesen.

Mithilfe von Tools wie ChatGPT verfügen Betrüger:innen jedoch nun über Tools, mit denen sie Grammatik und Rechtschreibung in mehreren Sprachen optimieren und so ihre Phishing-Nachrichten deutlich überzeugender erscheinen lassen können. Dadurch wird es umso einfacher, standardisierte Sicherheitssysteme zu überlisten – und da dies dank guter Übersetzungstools jetzt auch in einer Vielzahl von Sprachen möglich ist, wächst die potenzielle Opfergruppe exponentiell.

In Kombination mit der Fülle an Informationen, die im Dark Web verfügbar sind, bereiten sich Hacker wahrscheinlich bereits darauf vor, 2024 eine ganze Sturmflut an betrügerischen Übergriffen auszulösen. Umso wichtiger ist es für Unternehmen, sich schon jetzt der Gefahr bewusst zu werden, um die nötigen Sicherheitsmaßnahmen in die Wege leiten zu können. Wie sich zeigt, reichen Standardsysteme längst nicht mehr aus, um Betrügern, die sich in die Konten vertrauenswürdiger Bestandskunden geschleust haben, zu überführen. Doch was muss nun getan werden, um solche Übergriffe auch in Zukunft zu verhindern?

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Es ist Zeit, den Status Quo zu überdenken

Zum einen müssen die Betreiber von E-Mail-Postfächern, Onlineshops und sozialen Plattformen verstehen, wie anfällig sie für illegale Kontoübernahmen sind. Sobald das tatsächliche Risiko feststeht, müssen sie überlegen, wie hoch oder niedrig sie unter Berücksichtigung ihrer Schwachstellen die Betrugsschwelle ansetzen wollen. Dazu gehört auch die Frage: Wie werden Kunden auf zusätzliche Sicherheitsmaßnahmen reagieren? Der nächste Schritt besteht dann darin, zu entscheiden, wann und wie Konten gesperrt und Kunden über verdächtige Anmeldeversuche informiert werden sollen.

Diese Entscheidung ist keine einfache – doch es gibt gute Nachrichten. Denn auch Unternehmen können Tools nutzen, die ihnen dabei helfen, Hacker mit ihren eigenen Waffen zu schlagen. Am besten greifen sie dabei auf eine Lösung zurück, die das Schwarmwissen eines starken und erfahrenen Netzwerks mit den Vorzügen der modernen Machine-Learning-Technologie verknüpft. So bleiben sie hinsichtlich neuer Betrugsmethoden ständig auf dem Laufenden und können vertrauenswürdigen Kunden auch weiterhin ein bequemes Einkaufserlebnis ermöglichen, während sich betrügerische Aktivitäten besser identifizieren und abwehren lassen.


Eyal

Elazar

Riskified -

Head of Product Marketing

Anzeige

Artikel zu diesem Thema

Darknet
24. November 2023
Black Friday im Dark Web: Auch Hacker suchen nach den besten Deals
1. Dezember 2020
Effizienter Schutz vor Credential Stuffing

Weitere Artikel

Rekordhoch bei Denial-of-Service-Schwachstellen
Wie Hacker Large Language Models für ihre Zwecke nutzen
Herausforderung Account Takeover
Neue Backdoor: Malvertising-Kampagne mit MadMxShell
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.