Thought Leadership
Aktuell stehen wieder die zwei Ereignisse an, die Cyberkriminelle in aller Welt lieben. Online-Händler locken unzählige Nutzer mit Schnäppchen-Angeboten.
Viele, die nun vor dem Weihnachtsgeschäft aufgrund der Lieferproblematik noch Bestellungen aufgeben wollen, werden sicherlich aktiv werden. Neben den vielen Betrugsmöglichkeiten, die Kriminellen zur Verfügung stehen, ist besonders Credential Stuffing ein gern genutztes Werkzeug.
In den letzten Jahren wurden zahlreiche Credentials, also Benutzername oder E-Mailadresse und Passwort, von E-Mail-Providern oder auch von sozialen Plattformen gestohlen. Diese Daten werden im Darknet gehandelt, und zwar für kleine Beträge in US-Dollar oder sogar kostenlos je nach Anbieter und hinterlegtem Geschäftsmodell. Beim Credential Stuffing nutzen die Betrüger diese persönlichen Daten, um sich unter falschem Namen auf einschlägig bekannten Shop- und Plattform-Accounts einzuloggen. Im besten Fall gelingt es ihnen und sie lösen dann mit den dort hinterlegten Kreditkarten- und Bankinformationen Bestellungen aus. Sie gehen davon aus, dass die Verbraucher die gleichen Passwörter und Namen oder E-Mails für mehrere Accounts nutzen. Wird ein Account übernommen, wird der eigentliche Nutzer ausgesperrt, indem die Angreifer das neu angeforderte Passwort von einem Bot einfach abfangen lassen.
Für Geschädigte ist es unglaublich schwer die verlorenen Accounts zurückzugewinnen. Das einfache zurücksetzen des Passworts hilft wie bereits erwähnt nicht. IT-Teams der jeweiligen Handelsunternehmen sollten deshalb darauf achten, ob häufige Account-Änderungen bei der E-Mail- und postalischen Adressen vorgenommen wurden. Im Zweifelsfall ist hier nicht der Account-Inhaber, sondern ein Bot am Werk gewesen. Noch einfacher ist es jedoch nach den Regularien der PSD2 eine Mehrfaktor-Authentifizierung einzuführen. Verhaltensbiometrische Daten können eine wichtige Komponente für die Sicherheitsstrategie von Online-Händlern sein. Verhaltensbiometrische Verfahren bieten eine zusätzliche Schutzschicht gegen Credential Stuffing. Sie beruhen nicht auf statischen oder kopierbaren Daten, sondern authentifizieren die Zugriffsversuche aufgrund des Tippverhaltens, wie eine Maus bewegt oder über einen Bildschirm gewischt wird. Genau wie bei Fingerabdrücken ist auch jedes Nutzerprofil individuell und kann nicht imitiert werden. Mithilfe dieser Informationen entsteht eine eindeutige, physische Signatur des ursprünglichen Nutzerprofils, die Hacker und ihre Bots nicht wie bei einem Benutzernamen und Passwort nachahmen können.
Darüber hinaus verbessert Verhaltensbiometrie die Nutzererfahrung erheblich, da sie lästige Schritte wie den Versuch, sich Passwörter und PIN-Codes zu merken und sie dann unzählige Male einzugeben, überflüssig macht.
www.behaviosec.com/
