• BIOMETRIC UPDATE - BehavioSec updates behavioral biometrics platform for hosted, cloud deployments ... Learn More >>

  • MOBILE ID WORLD - Newly Granted BehavioSec Patents Detail Mobile-based Behavioral Biometrics, Social Engineering Detection ... Read It >>

  • PLANET BIOMETRICS - BehavioSec updates behavioural platform ... New! >>

Learn More »

Fintech-Aggregatoren und Open Banking: Dienstleistungen ermöglichen oder unglückliche Hintertüren für Betrug öffnen?

  • Olov Renberg
  • Blog
  • Share

Open Banking liegt im Trend. Die Europäische Zahlungsdienstleisterrichtlinie 2 (PSD2) hat die Finanzinstitute dazu verpflichtet, die Kontoinformationen ihrer Kunden, einschließlich historischer und aktueller Daten, für Drittanbieter (Third Party Provider, TPP) zu öffnen. Daraus ergeben sich zahlreiche Vorteile, wie die Möglichkeit für neue Finanzunternehmen, innovative Finanzdienstleistungen und Banklösungen für die breite Masse anzubieten. Diese Fintech-Dienste, auch Aggregatoren genannt, bieten Verbrauchern neue und interessante Services und helfen ihnen bei der Verwaltung ihrer Finanzen. Inzwischen verlassen sich bereits Millionen Verbraucher auf TPPs, um auf Bankkonten zuzugreifen, Zahlungen zu veranlassen und Ersparnisse anzulegen. Lange Zeit hatten sich Finanzinstitute mit PDS2 befasst und sich durchaus auch gegen die Öffnung gewehrt. Inzwischen sehen viele die Öffnung zwar als Chance, aber nun gilt es zum Wohle der Kunden auch mit den TPPs zusammenzuarbeiten.

Das Problem: Die Aggregatoren bieten Kriminellen Zugang zu einem brandneuen Angriffsvektor. Dies ist eine besondere Herausforderung für Start-ups, die sich noch keine umfangreichen Fraud-Präventionsteams leisten können. Sie stehen aber unter dem gleichen Druck wie die etablierten Anbieter und werden von den gleichen Cyberkriminellen ins Visier genommen. Viel wurde in diesem Jahr über Supply-Chain-Angriffe gesprochen und die TPPs ermöglichen genau das, nur, dass sie keine Türen zu den Finanzinstituten öffnen, aber zu den Verbraucherdaten. Beispiele wie das Fintech Chime in den USA und die im verlinkten Artikel geschilderten Fälle verdeutlichen das Problem, das auch in Deutschland mehr und mehr ein Thema wird.

Ein Problem mit Open-Banking-Aggregatoren

Die Herausforderung für die IT-Sicherheit und die Fraud-Prävention besteht darin, wie die meisten Aggregatoren auf die Konten der Kunden zugreifen. Den Kunden wird oft vorgegaukelt, dass sie sich nur über die Aggregator-Anwendung bei ihren normalen Bankkonten anmelden, da viele Aggregator-Verbindungen wie der Standard-Authentifizierungsdienst ihrer Bank aussehen.

Dies ist jedoch nicht der Fall, denn selbst wenn der Anmeldebildschirm anzeigt, das gewünschte Finanzinstitut zu sein, handelt es sich oft um einen völlig separaten Dienst. Sobald ein Aggregator die Anmeldedaten eines Kunden hat, können Fintech-Apps und Aggregatoren diese auf ihren Servern speichern.

Dies bedeutet, dass die Sicherheit der Bankdaten des Kunden nun von der Sicherheitsinfrastruktur des Aggregators abhängt – und im schlimmsten Fall genau dadurch gefährdet ist.

Neben dem potenziellen Abfluss von Bankdaten können die Aggregatoren auch als Mittel zum Testen kompromittierter Zugangsdaten in großem Maßstab dienen, da die Abwehrmaßnahmen der Finanzinstitute beim Ausfüllen von Zugangsdaten von den Aggregatoren umgangen werden.

Sobald Cyberkriminelle Zugang zu kompromittierten Konten haben, können sie Finanzaggregatoren nutzen, um ihre Spuren zu verwischen. Dies liegt daran, dass der Datenverkehr aufgrund von PSD2 und anderen Open-Banking-Anforderungen in der Regel von den Finanzinstituten auf eine sichere Liste gesetzt wird (ähnlich Whitelisting). Kriminelle nutzen Aggregatoren als trojanisches Pferd, um die sonst so starken Abwehrmechanismen der Banken zu umgehen und wiederholt auf kompromittierte Konten zuzugreifen, ohne einen Alarm auszulösen.

Sicherheitslücke Screen Scraping: Daten sammeln macht Fintechs interessant für Kriminelle

Erschwerend kommt hinzu, dass die große Mehrheit der Fintech-Aggregatoren trotz der Bemühungen des Gesetzgebers um die Regulierung von Open-Banking-APIs immer noch auf Screen Scraping setzt, um auf die Konten ihrer Kunden zuzugreifen. Wenn sie spezielle APIs verwenden, können die Aggregatoren nur begrenzte Informationen über Kunden und deren Kontobewegungen erfahren. Dies hat das Scraping zum Eckpfeiler des Datenzugriffs gemacht. Die Technik ermöglicht den Fintechs viele Informationen über die Kunden zu sammeln. Selbst in Fällen, in denen Finanzinstitute die meisten Funktionen über APIs zur Verfügung stellen, nutzen Fintech-Aggregatoren weiterhin Screen Scraping, da sie dadurch mehr über die Kunden erfahren und ihre Dienstleistungen für die Verbraucher stetig verbessern können.

Dies ist ein großes Problem für Finanzinstitute, da legales Screen Scraping nur schwer von illegaler Automatisierung, wie bösartigen Bots oder Credential Stuffing, unterschieden werden kann. Fraud-Präventionsteams von Finanzinstituten greifen häufig auf das Safe-Listing bekannter Aggregator-IPs zurück, da die Aggregatoren einfach zu viel Datenverkehr verursachen, als dass sie eine richtige Auswertung des Datenverkehrs durchführen können.

Bei BehavioSec haben wir Fälle erlebt, in denen Fintech-Aggregatoren bis zu 25 Prozent des gesamten Datenverkehrs von Finanzinstituten ausmachen – etwas, für das die Fraud-Präventionsteams JAHRE brauchen würden, um es manuell zu analysieren, wenn es nicht von ihren Bot-Erkennungstools auf die Safe-List gesetzt würde. Das macht das Betrugsproblem jedoch nur noch schlimmer. Ein BehavioSec-Kunde erklärte kürzlich, dass mehr als 15 Prozent seiner aktuellen Betrugsverluste auf einen einzigen Aggregator zurückzuführen sind. Das Beispiel verdeutlicht, dass die Betrugsfälle durch Aggregatoren schnell zunehmen.

Sichere Aktivierung von Finanz-Aggregatoren mit verhaltensbiometrischen Merkmalen

Der erste Schritt zur Risikominimierung ist die Identifizierung der Quelle. Deshalb ist es von entscheidender Bedeutung, Transaktionen von Aggregatoren genau zu erkennen und sie automatisch als solche zu kategorisieren. BehavioSec kann dies durch seine langjährige Erfahrung in der Verhaltensbiometrie und bahnbrechende Innovationen wie den Predictive Modeler leisten. Er clustert sich wiederholende Verhaltensmuster und erstellt Modelle von Sessions mit ähnlichem Verhalten, das typisch für Aggregatoren ist. BehavioSec kennzeichnet dann die Aggregator-Sessions in Echtzeit, so dass Fraud-Teams auswählen können, welche Fintechs sie zulassen und welche sie blockieren.

Die Verhaltensbiometrie und die prädiktive Modellierung machen dies leicht möglich, wie das folgende Bild zeigt. Die Technologie wurde entwickelt, um Sicherheitssystemen die Erkennung von Aggregatoren zu erleichtern, macht es aber auch einem ungeübten Auge leicht, den Unterschied zwischen echten Nutzern und Aggregatoren zu erkennen. In diesem Fall führt der Aggregator keine Mausbewegungen aus, sondern nur Mausklicks, und sein Verhalten ist bei allen Sessions in dieser Bankanwendung nahezu identisch.

Diese Fähigkeit, Aggregatoren zu identifizieren und zu kategorisieren, selbst über Millionen von Benutzer-Sessions hinweg, gibt Betrugsanalytikern endlich eine Chance im Kampf gegen den Betrug, den die Aggregatoren verursachen. Die Systeme zur Fraud-Prävention sind nicht mehr darauf beschränkt, die IP-Serien bekannter Aggregatoren manuell zu aktualisieren, was besonders schwierig ist, da Fintechs häufig dieselben Hosting-Dienste nutzen, sondern können jetzt sofort erkennen, wenn ein Aggregator seine IP-Adresse, seine Geräte-Informationen, sein Herkunftsland oder seinen Hosting-Dienst geändert hat.

Normale Mausnutzung (oben) im Vergleich zu einem bekannten Fintech-Aggregator mit Screen Scraping (unten)

Hier sind einige Beispiele dafür, was unsere Kunden mit unserer Verhaltensintelligenz tun:

  • Alle Arten von Aggregator-Verkehr blockieren und Erzwingen der Verwendung von sanktionierten Open-Banking-APIs.
  • Bestimmte Aggregatoren blockieren, die sie als schwach in Bezug auf die Sicherheit eingestuft haben.
  • Sie verlangen zusätzliche Maßnahmen vom Kunden, wenn er Aggregatoren verwendet, wie Einmal-Passcodes.

Über die Klassifizierungsfunktion hinaus kann die Verhaltensbiometrie das Finanzinstitut und seine Kunden vor Kontoübernahmen schützen, unabhängig davon, wie die Kriminellen in den Besitz der Anmeldedaten gelangt sind. Fintech-Datensicherheitsverletzungen, Social Engineering, Aggregator-basiertes Credential Stuffing – schauen Sie mal hier rein.

Es ist auch möglich, spezielle Compliance-Richtlinien zu erstellen, die unsere verhaltensbiometrische Intelligenz mit dem Transaktionssicherheitssystem kombinieren, so dass Finanzinstitute Betrüger blockieren können, ohne Reibungsverluste zu verursachen oder den Aggregator gänzlich zu blockieren – und das alles bei gleichzeitiger Einhaltung von PSD2 und SCA.