Die Zahl der Betrugsversuche in Deutschland ist im Jahr 2021 rasant angestiegen. Laut einer aktuellen Studie von bitkom gaben 39 Prozent der Befragten an, dass ihre persönlichen Daten ungefragt weitergegeben wurden und 15 Prozent der Teilnehmer erlebten Betrug beim Onlinebanking. Die Methoden der Cyberkriminellen werden dabei immer raffinierter und zielgerichteter.
Die allgemeine Bedrohungslage wird sich in diesem Jahr allerdings nicht bessern und es ist bereits abzusehen, dass Hacker neue Vorgehensweisen entwickeln, um ihren Opfern zu schaden. Worauf sich Banken und Finanzdienstleister 2022 einstellen sollten und wie sie die Gefahren managen können, erläutern die Verhaltensbiometrie-Experten von BioCatch:
1. Die Vielfalt von Betrug wird zunehmen
Betrügereien aller Art werden in Europa ansteigen. Dabei werden die Angreifer vermehrt auf hybride Betrugsformen zurückgreifen, um die Sicherheitsmechanismen von Banken und Finanzdienstleistern zu umgehen. So können Cyberkriminelle beispielsweise mit Voice Scamming beginnen, um dann auf den Endgeräten der potenziellen Opfer sogenannte RAT (Remote Access Tools) zu installieren. Hacker erhalten durch die Implementierung der Tools vollen Zugriff auf den PC oder das Smartphone ihres Opfers und können so beispielsweise einmalige Passcodes und Anmeldedaten abfangen. Laut einer Untersuchung von BioCatch wurde im zweiten Quartal 2021 in einem von 24 Betrugsfällen ein Remote Access Tool entdeckt. Das entspricht einem Anstieg von 150 Prozent gegenüber dem Quartal im Vorjahr. Aber auch Kontoübernahmen – sogenannte Account Take Over (ATO) – mit anschließendem Scamming werden immer beliebter. Durch das hybride Vorgehen ist es für Cyberkriminelle leichter, an den einzelnen Sicherheitsmaßnahmen vorbeizukommen und diese auszuhebeln. Neben hochorganisierten Cyberkriminellen wird es auch zunehmend für „Hobby-Kriminelle“ einfacher, Cyber-Betrug zu begehen. Kriminelle bieten im Darknet Betrugskampagnen und die zugehörige Malware als Dienstleistung an. Das Prinzip dahinter ist dasselbe wie Software-as-a-Service (SaaS).
2. Deepfake Voice als Social-Engineering-Attacke in Echtzeit
Auch Künstliche Intelligenz wird vermehrt eine Rolle bei Betrugsversuchen spielen. So wurde 2019 bereits berichtet, dass Betrüger mit Deepfake Voice 220.000 Euro erbeutet haben. Es gab allerdings immer wieder Kritik daran, dass stimmliche Fälschungen noch nicht so überzeugend sind wie Fotos oder Videos. Aber auch wenn die Technologie noch nicht so ausgeklügelt ist, werden Betrugsversuche mit Deepfake Voice zukünftig eine größere Rolle für Banken und Finanzinstitute spielen.
3. Cyberattacken auf mobile Endgeräte werden ansteigen
Im vergangenen Jahr gab es vermehrt Angriffe durch FluBot auf mobile Endgeräte. Der Banking-Trojaner wurde vor allem für Android-Geräte konzipiert. Die Hauptaufgabe der Malware ist es, Bankinformationen des Opfers zu stehlen. Zudem ist der Schadcode in der Lage, Kryptowährungen zu ergaunern und sensible Daten zu exfiltrieren. Viele Banken haben ihre Sicherheitssoftware für diese Art von Malware noch nicht angepasst oder nicht implementiert. Da durch Corona aber verstärkt mobile Endgeräte für Bankgeschäfte genutzt werden und davon auszugehen ist, dass Kriminelle verstärkt Malware über Smartphones einschleusen, sind angepasste Sicherheitsmaßnahmen für Banken und Finanzdienstleister wichtig.
4. Der Druck der Aufsichtsbehörden auf Banken und Finanzinstitute wird zunehmen
Der digitale Zahlungsverkehr nimmt weltweit zu und hat während der Pandemie noch einmal einen Schub bekommen. Die Behörden warnen verstärkt vor Finanzbetrug. Um sowohl Kunden als auch Banken und Finanzinstitute zu schützen, gelten innerhalb der Europäischen Union (EU) unterschiedliche Vorschriften zur IKT-Sicherheit (Informations- und Kommunikationstechnik). Eine davon ist die zweite Zahlungsdiensterichtlinie „PSD2“, die unter anderem für eine starke Authentifizierung steht. Die Europäische Kommission prüfte Ende 2021 umfassend die Anwendungen dieser Richtlinie. Ein Punkt war dabei die Überprüfung der starken Kundenauthentifizierung bezüglich des Zahlungsbetrugs innerhalb der EU und ob zusätzliche Regularien notwendig sind. Auch technische Spezifikationen für automatisierte Identitätsnachweise werden stärker unter die Lupe genommen, was sich auf Verfahren wie Know-Your-Customer (KYC) und Anti-Money-Laundering (AML) auswirken kann.
Zudem werden die Aufsichtsbehörden verstärkt Geldwäscher ins Visier nehmen. Gerade Konten von sogenannten Money Mules werden in den Fokus rücken. Money Mules oder auch Geldesel sind Personen, die auf Anweisung eines Kriminellen das von Opfern gestohlene Geld entgegennehmen und auf ein anderes Konto verschieben. Die Nachverfolgung des Geldflusses ist oft nur schwer nachzuvollziehen, da die Betrüger länderübergreifend agieren.
5. Trend zur passwortlosen Authentifizierung
Der Trend zur passwortlosen Authentifizierung ist hauptsächlich auf mobilen Devices gängig – beispielsweise Smartphones. Hier werden vor allem biometrische Verfahren eingesetzt, damit sich der Benutzer einloggt. Zu den Vorteilen gehören neben einer verbesserten User Experience, einer schnelleren Anmeldung auch ein höherer Schutz vor Betrugsversuchen. Der Standard ist immer noch die Anmeldung durch Benutzername und Passwort. Einige Banken ziehen diese Art der Authentifizierung in Betracht, wobei dies mit dem kundeneigenen Gerät (Besitz) und Inhärenz (Biometrie) nicht nur auf mobile Endgeräte beschränkt sein wird.
Auch das kommende Jahr hält für Banken und Finanzinstitute viele Herausforderungen bereit. Die Nutzung der digitalen Kanäle wird weiter ansteigen und die Unternehmen sind zunehmend gefordert, mit Technologien eine reibungslose Customer Journey zu schaffen. Dabei gilt es auch, Kunden vor ansteigenden Betrugsversuchen zu schützen.