• BIOMETRIC UPDATE - BehavioSec updates behavioral biometrics platform for hosted, cloud deployments ... Learn More >>

  • MOBILE ID WORLD - Newly Granted BehavioSec Patents Detail Mobile-based Behavioral Biometrics, Social Engineering Detection ... Read It >>

  • PLANET BIOMETRICS - BehavioSec updates behavioural platform ... New! >>

Learn More »

Wie Verhaltensbiometrie Social Engineering-Angriffe stoppt

  • Chris Ralis
  • Blog
  • Share

Dies ist der zweite Beitrag einer ganzen Serie zum Thema Fraud. Er schließt inhaltlich an den Beitrag zu Credential Stuffing an.

Social Engineering als Betrugsmasche ist allgegenwärtig: Drei Viertel der Finanzfachleute gaben in einer Umfrage von AFP an, dass ihr Unternehmen im Jahr 2020 Ziel von Betrug, häufig auch „Fraud“ genannt, wurde. 90 Prozent sagten aus, dass diese Vorfälle entweder häufiger geworden sind oder im Vergleich zur Anzahl der Betrügereien im Jahr 2019 zumindest gleich geblieben sind. Der Data Breach Investigations Report 2021 von Verizon zeigt, dass Social Engineering das häufigste Angriffsmuster darstellt und dass 85 Prozent der Kompromittierungen ein „menschliches Element“ beinhalten. Ob BEC (Business E-Mail Compromise), Chef-Betrug (CEO-Fraud), E-Mail-Phishing, Voice-Phishing, SMS-Phishing, Helpdesk-Betrug oder Coaching-Betrug – Social Engineering bietet Kriminellen eine kosteneffiziente Methode zur Umgehung der meisten traditionellen Sicherheitsmaßnahmen.

Social Engineering ermöglicht es Cyberkriminellen Berechtigungsprüfungen, Token, Step-up-Authentifizierungen und andere Schutzmethoden zu umgehen. Sie bringen das Opfer dazu, sich mit den richtigen LogIn-Details in den betreffenden Account einzuloggen und so die Sicherheitsprüfungen für die Betrüger erfolgreich abzuschließen. Dadurch können die Kriminellen anschließend den Account für ihre Zwecke nutzen. In Großbritannien sind besonders die Auswirkungen von Telefonbetrug (Phone Scams) so verheerend geworden, dass die britischen Telekommunikationsunternehmen kürzlich beschlossen haben, alle Online-Anrufe aus dem Ausland zu blockieren, wenn sie wie eine britische Nummer aussehen. Die britischen Regulierungsbehörden erwägen sogar, beim Kauf mehrerer SIM-Karten eine Art der Identifizierung zu verlangen. Soweit ist die Bundesrepublik noch nicht, doch auch hier beschäftigen sich die zuständigen Behörden wie das BSI mit der Thematik Social Engineering.

Für die Opfer ist Social Engineering eine besonders bösartige Form eines Cyberangriffs und es betrifft wirklich jeden Nutzer, egal ob jung oder alt, mit oder ohne IT-Kenntnissen. Viele Nutzer leben in dem Glauben, dass sie niemals auf eine solche Täuschung hereinfallen würden, letztlich ist aber genau diese Einschätzung das Problem. Falls es ihnen dann doch passiert, wollen sie aus Scham oftmals nicht darüber reden und zeigen den Betrug auch nicht an.

Für CISOs und Sicherheitsexperten ist es äußerst schwierig, diesen Angriffsvektor zu stoppen, da ihre traditionellen Sicherheitsmechanismen wie Geräte-Fingerprinting, Geolokalisierung, Anmeldedaten und Step-up-Authentifizierungen umgangen werden. Die meisten Betrugsmaschen geben keinerlei Hinweise auf Social Engineering-Betrügereien, bis das Geld längst weg ist oder der Kriminelle wiederum in die Falle der Anti-Geldwäsche-Strafverfolgungsbehörden getappt ist.

Die Aufsichtsbehörden in vielen Ländern sind inzwischen dazu übergegangen nicht mehr die Opfer für die negativen Folgen eines solchen Betrugsfalls, sondern die Finanzinstitute selbst in Haftung zu nehmen. In Deutschland sieht beispielsweise der Paragraph § 675u des Bürgerlichen Gesetzbuchs (BGB) vor, dass bei einer nicht autorisierten Transaktion die Bank haftet und nachweisen muss, dass die Überweisung vom Kunden eingeleitet wurde.

Aus diesem Grund sollten CISOs und ihre Security und Fraud Teams verhaltensbiometrische Verfahren als wichtige Komponente ihrer Sicherheitsstrategie und ihres Lösungsportfolios in Betracht ziehen. Verhaltensbiometrie bietet eine zusätzliche Verteidigungsschicht, die Social Engineering zuverlässig vereitelt. Sie kann subtile Anzeichen von Manipulationen erkennen, bevor es zu spät ist. Anstatt sich nur auf Informationen zu verlassen, die ein Krimineller stehlen oder manipulieren kann, erstellt die Verhaltensbiometrie Benutzerprofile, die darauf basieren, wie Mitarbeiter oder Kunden physisch mit ihren Geräten interagieren. So entsteht ein eindeutiges, individuelles Nutzerprofil, das Kriminelle nicht nachahmen können.

Falls ein Betrüger über Voice-Phishing, CEO-Betrug oder aber eine andere Form des Social Engineerings Druck auf ein Opfer ausübt oder es täuscht, greift diese intelligente Technologie ein. Sie erkennt verschiedene Merkmale an denen sich feststellen lässt, dass der Nutzer nicht „normal“ also wie gewöhnlich interagiert, sondern ein auffälliges Verhalten zeigt. Der Auslöser für einen Alarm kann sein, wenn beispielsweise eine verzögerte Handlung stattfindet oder Pausen eingelegt werden, die für den Nutzer untypisch sind. Dies könnte ein Hinweis darauf sein, dass der Nutzer den Anweisungen eines Dritten folgt. Eine andere merkwürdige Handlung ist, wenn der Nutzer zwischen den Geräten hin und herwechselt, weil er von einem Kriminellen eine Anweisung zu einer Überweisung erhält. Verhaltensbiometrie erkennt diese Abweichungen von der normalen Interaktion mit Geräten und sendet Warnmeldungen an die Sicherheitsteams.

Abbildung 1 Vergleich der Interaktion auf einem Mobilfunkgerät zwischen einem beeinflussten Opfer und einem echten Kunden

Verhaltensbiometrie bestätigt nicht nur, dass ein Nutzer wirklich auch der legitime Nutzer ist, sie zeigt auch auf, ob er sich ungewöhnlich verhält, beispielsweise, wenn es so aussieht, dass er von außen in seiner Handlungsweise beeinflusst wird.

Wenn Sie wissen möchten, wie wir Ihr Unternehmen dabei unterstützen können, einen optimalen und benutzerfreundlichen Schutz vor Social-Engineering-Bedrohungen zu erreichen, dann nehmen Sie bitte Kontakt mit uns auf.