Neue Herausforderung für Finanzinstitute: betrügerische Anrufe nehmen drastisch zu

Wenn im Zusammenhang mit Banken von „Betrug“ die Rede ist, denkt man zumeist an jemanden, der ein Online-Bankkonto plündert. Seit einigen Jahren haben es die Täter jedoch vermehrt auf den Telefonkanal abgesehen, der bis dato weit weniger gut verteidigt wird. Finanzinstitute müssen deshalb alle ihnen zur Verfügung stehenden Möglichkeiten nutzen, um den Betrügern einen Schritt voraus zu sein. Nick Gaubitch plädiert für Pindrops Phoneprinting-Technologie.

von Nick Gaubitch, Head of Research, EMEA, Pindrop

Die Zahl betrügerischer Anrufe durch internationale kriminelle Banden nimmt auch in Deutschland stetig zu. Und so haben die Gartner-Analysten wohl zu Recht (Gartner Report März 2017) konstatiert:

Verantwortliche für Sicherheits- und Risikomanagement sollten jetzt in Technologien und Strategien zur Betrugsbekämpfung investieren, um ihr Unternehmen vor den zunehmend raffinierten Angriffen zu schützen.“

Ergreifen Banken keine Abwehrmaßnahmen hinsichtlich der wachsenden Bedrohung, müssen sie mit Konsequenzen rechnen – im schlimmsten Falle mit Kundenverlusten, denn ist das Vertrauen der Kunden erstmal enttäuscht, ist man schnell bereit, zur Konkurrenz zu wechseln. So würden beispielsweise 59 % der Konsumenten die Bank wechseln, falls eine andere ihnen mehr Sicherheit bieten würde. Auf diese Weise kann Finanzinstituten viel Umsatz verloren gehen und es geht jetzt darum, sich schnell anzupassen, wenn man nicht Gefahr laufen will, durch ihre Konkurrenz abgedrängt zu werden.

Social Engineering: Wenn Betrüger zu Schauspielern werden

Es ist kein Geheimnis, dass das Thema Cyber-Sicherheit in den Unternehmen in den letzten Jahren enorm an Bedeutung gewonnen hat. Die Online-Angriffe häufen sich und werden immer ausgefeilter. Spektakuläre Schlagzeilen haben Unternehmen auf der ganzen Welt gezwungen, zu reagieren und ihre Online-Abwehr zu verbessern. Die Folge? Die Betrüger widmen ihre Aufmerksamkeit zunehmend anderen Kanälen.

Besonders ins Visier geraten ist dabei der Telefonkanal. Er steht weniger im Zentrum der Medienberichterstattung als der Cyber-Bereich und hat sich als leicht verwundbares Ziel erwiesen. Callcenter-Mitarbeiter möchten ihren Kunden ausgezeichneten Service bieten und ihnen den Zugriff auf die gewünschten Lösungen ermöglichen. Betrüger, die sich in der Regel gut auf Manipulation verstehen, sehen darin eine Schwäche, die sich ausnutzen lässt:

Da Callcenter-Mitarbeiter die Zufriedenheit der Kunden stärker im Blick haben als das Entlarven von Betrügern, haben die Täter gute Chancen, sie zu beeinflussen und auf diese Weise überholte Sicherheitsverfahren zu umgehen.”

Ein Beispiel für solche Vorgehensweisen liefert Pindrop in seinem jüngsten „State of Fraud“ Report. Ein real existierender Betrüger – hier mit dem Spitznamen „Distorted Please“ (DP) bezeichnet – setzt eine Software zur Stimmverfremdung ein, um seine Stimme höher oder tiefer klingen zu lassen. Diese Software verwirrt nicht nur den Callcenter-Mitarbeiter, sondern erlaubt es DP auch, sich wahlweise als Kunde oder Kundin auszugeben, um so seine Erfolgsquote zu verdoppeln. Trotz der hörbar schlechten Qualität der Stimmverfremdung konnte DP zahlreiche Konten angreifen und erfolgreich Guthaben übertragen. Das ist ein sehr gutes Beispiel dafür, wie sich Betrüger einfache Technologien zunutze machen können, um veraltete Sicherheitspraktiken zu überwinden.

Überholte KBA, clevere Betrüger

Um solchen Methoden entgegenzuwirken, geben Callcenter ihren Mitarbeitern eine Reihe persönlicher Fragen an die Hand (bekannt unter der Bezeichnung wissensbasierte Authentifizierung oder KBA), die ihnen helfen sollen herauszufinden, ob es sich bei einem Anrufer um einen Betrüger handelt. Das große Problem bei diesem Ansatz ist jedoch, dass er nur begrenzt wirksam ist und von Betrügern leicht umgangen werden kann.

Da sich in Quellen wie dem Dark Web oder den sozialen Medien personenbezogene Angaben in Hülle und Fülle finden, müssen Privatpersonen wie auch Unternehmen laufend damit rechnen, dass sich Betrüger mit zahlreichen wertvollen Informationen an die Kundenbetreuer heranmachen. Im Durchschnitt ruft ein Täter fünf Mal in einem Callcenter an, bevor er eine betrügerische Aktion durchführt. Das macht deutlich, wie schlecht die derzeitigen Sicherheitssysteme in der Lage sind, illegitime Anrufer zu erkennen.

Mehrschichtige Abwehr erhöht die Sicherheit

Wenn Betrüger die traditionellen Abwehrmaßnahmen mit solch cleveren Taktiken aushebeln können, liegt es auf der Hand, dass eine einzige Sicherheitsschicht für den Telefonkanal nicht ausreicht, um Banken vor Betrugsattacken zu schützen. Was also tun? Finanzinstitute müssen Technologien wie Phoneprinting implementieren, die eine mehrgleisige Abwehrmethode bieten.

Phoneprinting kann spezifische Merkmale jedes Telefonanrufs identifizieren – dies reicht von dem Ort oder Gerät, von dem der Anruf ausgeht, bis hin zu der Frage, ob das Unternehmen mit dem betreffenden Telefon schon einmal kontaktiert wurde. Zusammengenommen können diese Informationen helfen, betrügerische Aktivitäten zu erkennen, bevor sie zum Problem werden.

Finanzinstitute müssen diese proaktiven Maßnahmen so schnell wie möglich ergreifen, denn ohne eine zuverlässige Betrugserkennung werden sie im Wettbewerb zurückfallen und Kundenloyalität einbüßen. In einer Zeit, in der der Kampf gegen Betrüger unablässig weitergeht und die DSGVO vor der Tür steht, müssen Unternehmen alles in ihrer Macht Stehende tun, um ihre Abwehr zu verstärken – andernfalls drohen ihnen hohe Bußgelder und sinkende Kundenzahlen.aj