IDnow Security Report 2019: Immer mehr Betrugsversuche per Social Engineering

Identitätsbetrug in der digitalen Welt kostet Unternehmen jedes Jahr Milliarden. Doch der Kampf gegen Cyber-Kriminelle ist ein Hase-und-Igel-Spiel, denn Betrüger greifen dabei zu immer kreativeren Methoden, die nur mit den entsprechenden Technologien und Prozessen abgewehrt werden können. Die Liste der häufigsten Betrugsversuche führt mit 73 Prozent Social Engineering an, gefolgt von der Nutzung gefälschter (16 Prozent) beziehungsweise gestohlener Ausweise (11 Prozent). Das ergab eine Analyse von IDnow, Anbieter von Identity-Verification-as-a-Service-Lösungen mit über 250 Kunden wie BNP Paribas, Commerzbank und UBS. Im Identity Fraud Report 2019 beschreibt IDnow aktuelle Betrugsszenarien aus der ersten Jahreshälfte 2019 und erklärt, wie sich Unternehmen mit digitalen Geschäftsmodellen davor schützen können.

Social Engineering im Kontext von Bankkonten ist kein neues Phänomen. Betrüger nutzen Social Engineering schon länger, um arglose Endnutzer zum Eröffnen eines Online-Kontos zu bewegen und dieses für kriminellen Aktivitäten zu missbrauchen. Doch 2019 nahmen die Social Engineering-Versuche im Vergleich zu anderen Betrugstechniken insgesamt zu. In den meisten Fällen verwenden Betrüger gefälschte Stellenanzeigen, App-Testangebote oder scheinbar günstige Kredite als Aufhänger, um ihre Opfer mit einem vermeintlich lukrativen Deal zu locken, für den sie ein Konto bei einer Online-Bank eröffnen müssen. Für die Kontaktaufnahme kommen Ebay Kleinanzeigen (83 Prozent), Jobsuchmaschinen wie Indeed (neun Prozent) und Jobmensa (zwei Prozent) sowie Netzwerke wie Xing (zwei Prozent) zum Einsatz.

Die Betrüger bringen ihre Opfer unter einem Vorwand, beispielsweise einem bezahlten Produkt-Test, dazu, im eigenen Namen ein Konto zu eröffnen. Sobald das Konto eingerichtet ist, übernehmen die Betrüger unter einem Vorwand die Kontrolle darüber und nutzen es für kriminelle Machenschaften. Frühestens dann wird dem Opfer klar, dass es getäuscht wurde. Einige Betrüger arbeiten heute mit ausgefeilter Tarnung. Dazu gehören neben Fake-Anzeigen auch vollständig entwickelte Websites, die eine seriöse Unternehmung vorgaukeln – falls das spätere Opfer mal kurz googelt. Daher wird es 2019 immer wichtiger, hier mit fortschrittlicher Technik und speziell geschulten Identitätsexperten entsprechend entgegenzuwirken.

Geschultes Personal fühlt psychologisch auf den Zahn

Um diese Art des Identitätsbetrugs zu verhindern, haben sich zwei Abwehrstrategien als besonders effektiv erwiesen: Zum einen die Gerätebindung, die sicherstellt, dass das Konto nur mit dem Gerät verwendet werden kann, mit dem es eröffnet wurde. Sobald von einem anderen Gerät zugegriffen wird, muss sich der Nutzer erneut verifizieren. Und zum anderen besonders gut geschultes Personal, das während des Video-Ident-Verfahrens mit psychologischen Fragen auslotet, ob es sich bei dem Neukunden um ein potenzielles Social-Engineering-Opfer handeln könnte und Ungereimtheiten aufdeckt. Gerade diese letztere Strategie setzt allerdings viel Menschenkenntnis und Fingerspitzengefühl voraus und ist alles andere als fehlerfrei – erweist sich umgekehrt aber als geeignete Ergänzung zu rein digitalen algorithmus-gesteuerten Verfahren.

Beim Identitätsbetrug mit gefälschten Dokumenten hat sich dieses Jahr die Qualität von Ausweis-Kopien merklich verbessert. Im Vergleich zu Reisepässen (24 Prozent) kommen gefälschte Personalausweise (76 Prozent) dreimal häufiger zum Einsatz. Besonders aktiv sind die Betrüger mit dieser Methode nach den Erkenntnissen von IDnow mit Ausweisdokumenten aus Österreich (39 Prozent), Tschechien (24 Prozent) und Deutschland (20 Prozent). Unternehmen können sich davor schützen, indem sie auf Ident-Lösungen setzen, die Sicherheitsmerkmale wie Hologramme und variable Tinten schnell und sicher erkennen und maschinelle Lernalgorithmen für die ständige Verbesserung bei der dynamischen visuellen Erkennung einsetzen. In unklaren Fällen sollte zudem eine doppelte Überprüfung vorgenommen werden.

Immer weniger Fälle von Betrug mit gestohlenen Ausweisen

Beim Ähnlichkeitsbetrug, dem sogenannten Similarity Fraud, verwenden Kriminelle einen echten, gestohlenen Ausweis, von einer Person mit ähnlichen Gesichtszügen oder ähnlichem Aussehen. Der Gesamtanteil dieser Methode sinkt, da die heutigen speziell geschulten Experten und die biometrischen Systeme diese Betrugsform wesentlich besser entlarven können, als dies in der Vergangenheit möglich war. Dabei werden alle Merkmale im Gesicht des Benutzers während des Identifizierungsvorgangs gescannt und diese mit dem Bild auf dem Ausweisdokument abgeglichen. Stimmen beide Bilder in allen wichtigen Bereichen überein, geht es zum zweiten Schritt über: dem Lebendigkeitstest. Dabei muss der Nutzer sein Gesicht nach bestimmten Vorgaben vor der Kamera bewegen, wodurch sichergestellt wird, dass es sich nicht um eine statische Aufnahme oder Foto des Nutzers, sondern um eine lebende Person handelt.

Um den neuesten Betrugsmethoden immer einen Schritt voraus zu sein, müssen wir schneller, besser vernetzt und kreativer sein als die Betrüger selbst. Dazu arbeiten wir mit einem großen Anti-Betrugs-Team, das im Darknet recherchiert, selbst Fake-Anzeigen testet und im Austausch mit Opfern steht, um die genaue Vorgehensweise der Betrüger zu studieren. Des Weiteren lässt das Team Webseiten der Betrüger offline nehmen und arbeitet mit der Polizei und den LKAs zusammen, um die Betrüger dingfest zu machen.“

Armin Bauer, Mitbegründer und CTO bei IDnow

Beim Cyber-Betrug in sensiblen Branchen wie Banken und Versicherungen zählt jeder einzelne Fall, weshalb das Unternehmen auf technischer Ebene auf ein Hybridmodell setzt, das KI und menschliche Intelligenz optimal kombiniert, um die Daten der Kunden bestmöglich zu schützen und deren Sicherheit zu gewährleisten. Diese Investition zahlt sich aus: Man bekomme, heißt es, regelmäßig von den Kunden die Rückmeldung, dass das Video-Ident-Verfahren im Vergleich zu anderen Identifizierungs-Methoden die niedrigsten Betrugs-Raten aufweise.

Den kompletten Report „How to Fight Identity Fraud in 2019“ mit allen Informationen zu den Betrugsszenarien und geeigneten Abwehrstrategien erhalten Sie gegen Angabe der persönlichen Kontaktdaten.tw