Anzeige
STRATEGIE24. Oktober 2019

UEBA: Swift-Betrug mit Analytik vermeiden – per maschinellem Lernen und Verhaltensanalyse

UEBA: Swift-Betrug mit Analytik vermeiden - empfiehlt Egon Kando, Exabeam
Egon Kando, ExabeamExabeam

Das von Swift genutzte Format für Zahlungsanweisungen gilt als sehr robust und sicher. Trotzdem schaffen es Kriminelle regelmäßig, Schlupflöcher im System auszunutzen, um Finanzbetrug zu begehen. Um dies zu vermeiden, nutzen Banken vermehrt User Entity Behaviour Analytics (UEBA).

von Egon Kando, Exabeam

Mehr als 11.000 Finanzinstitute aus über 200 Ländern tauschen über die Plattform SwiftNet täglich über 32 Millionen Finanznachrichten aus. Swift wurde eigentlich gegründet, um Treasury- und Korrespondenzgeschäfte zu erleichtern. Da das Nachrichtenformat jedoch sehr robust ist und sich darüber hinaus gut skalieren lässt, wurde die Nutzung nach und nach für eine breite Palette von Unternehmen möglich gemacht. Heute wird SwiftNet neben den Notenbanken von normalen Banken, Brokern, Großunternehmen, Wertpapierhändlern, Clearingstellen, Devisen- und Geldmaklern und zahlreichen weiteren Marktteilnehmern genutzt. Swift selbst verwaltet weder Guthaben noch Konten, sondern ermöglicht der globalen Gemeinschaft lediglich die sichere Kommunikation untereinander.

Auch wenn SwiftNet und sein Format weithin als robust und sicher gelten, finden Kriminelle regelmäßig Schlupflöcher, um über Swift-Transaktionen Finanzbetrug zu begehen. Dabei ist wie so oft der Faktor Mensch das schwächste Glied in der Sicherheitskette.”

Beispiele für Swift-Betrug

Seit circa 2005 nutzt Swift die neue SwiftNet-Plattform, die auf technologischer Ebene tatsächlich sehr sicher ist. Um Transaktionen über die Plattform auch aus organisatorischer Sicht auf der Seite der nutzenden Finanzinstitute so sicher wie möglich zu machen, sind an der Absendung von Nachrichten über SwiftNet immer drei verschiedene Personen beteiligt. In dem dreistufigen „Maker, Checker, Verifier“-Prozess gibt der Ersteller (Maker) die Swift-Nachricht im System ein, der Revisor (Checker) prüft sie und ein Bestätiger (Verifier) sendet sie über SwiftNet, nachdem er von ihrer Echtheit überzeugt ist.

Um Finanzbetrug über Swift zu begehen, müssten sich also mindestens theoretisch drei Personen innerhalb einer Organisation verschwören.”

Doch überall, wo Menschen für die Einhaltung von Prozessen verantwortlich sind, passieren Fehler. So wurden in den letzten Jahren zahlreiche Fälle von Betrug über Swift publik, bei denen die Prozesse auf der Seite der Sachbearbeiter von Swift-Nachrichten nicht eingehalten wurden und es zu kriminellen Transaktionen über die Plattform kam.

Autor Egon Kando, Exabeam
Egon Kando arbeitet bei Exabeam. Der diplomierte Ingenieur ist seit über 18 Jahren im IT-Security Markt tätig und begann seine Karriere einst bei BinTec in Nürnberg. Im Verlauf seiner Karriere war der erfahrene IT-Spezialist in verschiedenen Rollen bei Internet Security Systems, später IBM ISS, SonicWALL und Imperva beschäftigt.
In einem Fall wurde von einem Bankmitarbeiter eine Kreditvergabe vorgetäuscht und die zugehörige Transaktion von allen drei Stellen bestätigt. Nachdem der Betrug aufgeflogen war, stellte sich heraus, dass sich jedoch nicht drei Personen verschworen hatten, um den Prozess zu missbrauchen, sondern dass ein Mitarbeiter lediglich alle drei Prozessteile bearbeitet und bestätigt hatte. Der Mitarbeiter hatte also Schwachstellen in der Sicherheit der Organisation ausgenutzt, um als Maker, Checker und Verifier gleichzeitig fungieren zu können.

In einem zweiten Fall nutzte ein Sachbearbeiter einer Bank ebenfalls eine organisatorische Sicherheitslücke aus, um Darlehenserlöse auf sein persönliches Konto umzuleiten.

Das Finanzinstitut hatte es wegen Personalmangels versäumt, ein Vier-Augen-Prinzip für die Zahlungsanweisungen über Swift zwischen dem Checker und dem Verifier einzuführen.”

Infolgedessen wurden eine Reihe von Swift-Nachrichten zwischen dem Finanzinstitut und ihren Korrespondenzbanken über Änderungen der Zahlungsanweisungen nicht von Vorgesetzten überprüft und der Sachbearbeiter konnte eine Zeit lang Geld unbemerkt illegal auf sein eigenes Konto überweisen.

Mit UEBA und Analytik Betrug über Swift erkennen

Tatsächlich ist es für Finanzinstitute grundsätzlich schwierig zu erkennen, ob sich ein Ersteller einer Swift-Nachricht mit einer anderen Person verschwört, die etwa als Prüfer der Nachricht fungiert. Oder ob ein Sachbearbeiter wie oben gleich alle drei Rollen in Personalunion spielt. Selbstredend darf eine Person nicht gleichzeitig eine zweite Rolle im Prozess bekleiden. Um solche betrügerischen Aktivitäten zu erkennen, setzen Finanzinstitute vermehrt auf moderne Sicherheitstechnologie wie etwa UEBA, die die Analyse des Verhaltens von Mitarbeitern beinhaltet und verdächtiges Verhalten aufdeckt.

Ob eine Transaktion verdächtig ist, kann von einer solchen Lösung zum Beispiel erkannt werden, wenn zwei oder alle drei Teile der Prozesskette von demselben Benutzer, oder auch von einem gleichen Terminal durchgeführt wurden. Ersteller und Prüfer führen Transaktionen in der Regel von ihren üblichen Terminals und während der normalen Geschäftszeiten aus.

Durch die Überwachung ungewöhnlicher Anmeldeaktivitäten durch sowohl den Ersteller und den Prüfer können betrügerische Aktivitäten erkannt werden.

Transaktionen sind beispielsweise auch dann verdächtig, wenn ein bestimmter Prüfer zum häufigsten Autorisierer für einen zugehörigen Nachrichtenersteller wird.”

Um solches Verhalten zu entlarven, nutzen moderne UEBA-Sicherheitslösungen Maschinelles Lernen und Verhaltensanalyse. Aus einer Vielzahl von Protokolldaten setzen die Lösungen ein normales Basisverhalten für alle Benutzer und Geräte im Netzwerk fest. Dieses Basisverhalten kann sich aus einer langen Liste an Protokolldaten zusammensetzen, etwa von Windows Active Directory (AD), Proxy Server, Firewalls, E-Mail, Druckern, Sicherheitswarnungen, Datenbanken und anderen Anwendungen. Aus den IFT Alliance Gateway-Protokollen allein können sieben verschiedene Arten von Ereignissen erfasst werden. Drei davon beziehen sich auf Swift-Nachrichten, während vier sich auf Anmeldeaktivitäten beziehen.

Sobald eine UEBA-Sicherheitslösungen die Protokolle des Alliance Gateway erhalten hat, kann sie diese Swift-bezogene Aktivitäten einer Zeitleiste eines Benutzers zuordnen und analysieren. Durch diese erlernten Verhaltensmodelle und vorher erstellte Regeln, die das Risiko festlegen, können diese Programme so auch ungewöhnliche oder anomale Swift-Aktivitäten erkennen. Beispielsweise, wenn eine Swift-Autorisierung zwischen einem Nachrichtenersteller stattfindet, der auch ein Top-Benutzer eines bestimmten Autorisierers ist. Oder wenn eine Nachricht zu einer ungewöhnlichen Zeit oder von einem sonst nicht genutzten Terminal eingegeben wird.

UEBA schafft vollständige Transparenz bei Swift-Prozessen

Mit modernen UEBA-Sicherheitslösungen lässt sich auch die organisatorische Seite gegen potenziellen Swift-Betrug absichern. Die Breite und Tiefe, die solche Lösungen abdecken, ist dank der detaillierten Analyse zahlreicher Protokolldaten, inklusive der aus dem IFT Alliance Gateway, enorm. So schaffen die Lösungen vollständige Transparenz und komplettieren die von Finanzinstituten installierten Prozesse zur Überwachung ihrer Swift-Transaktionen.Egon Kando, Exabeam

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/96411

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert