Sie alle kennen vermutlich das seltsame Phänomen, dass Flugzeugabstürzen wesentlich mehr Aufmerksamkeit in den Medien gezollt wird als Verkehrsunfällen, obwohl die Zahl der jährlichen Todesopfer bei ersteren deutlich geringer ist. Dasselbe Phänomen trifft auch auf andere Lebensbereiche und -aspekte zu und gilt beispielsweise auch für Themen wie Cybersicherheit und die Berichterstattung von Cybercrime.
Als wir 2014 das Schadprogramm Carbanak entdeckten, mit dem Kriminelle bis zu 1 Milliarde US-Dollar von über 100 Banken entwenden konnten, gab es unzählige Artikel darüber in der Presse. Dabei sollten wir jedoch nicht vergessen, dass alltäglicher Kreditkartenbetrug zu erheblich größeren finanziellen Verlusten führt. So wird im Nilson-Bericht beispielsweise geschätzt, dass Kartenbetrugsfälle alleine im Jahr 2018 Verluste in Höhe von 24 Milliarden US-Dollar verursacht haben; eine Ziffer, die dieses Jahr noch weiter steigen soll. Carding – wie Cyberkriminelle und Sicherheitsspezialisten den Kartenbetrug auch nennen – gehört noch lange nicht der Geschichte an. Ganz im Gegenteil!
Ja, all das mag überraschend klingen, da immer mehr Banken strikte Sicherheitssysteme und ausgeklügelte Betrugspräventionslösungen (Fraud Prevention) einsetzen, die auf maschinellen Lerntechnologien basieren, und so vor Gelddiebstahl und Kreditkartenbetrug schützen sollen. Und ja, theoretisch sollte diese Tatsache zumindest Neulinge vom Einsatz dieser Betrugsmasche abhalten, doch die Statistiken sprechen für sich. Auch wenn in Darknet-Foren die Frage fällt, wie man am besten eine Karriere als Cyberkrimineller startet, lautet die Antwort meist „Carding„.
Glücklicherweise ist Kreditkartenbetrug aufgrund der Sicherheitsmaßnahmen von Banken und Zahlungsplattformen mittlerweile tatsächlich schwieriger geworden als noch in der Vergangenheit. Leider funktionieren Anti-Fraud-Systeme in der Realität aber nicht ganz so fehlerfrei wie in der Theorie – darüber hinaus gibt es spezielle Dienste, Tools und Marktplätze, die Betrügern alle notwendigen Tools und Dienstleistungen zur Verfügung stellen.
Digitales Fingerprinting: Wenn sich Kriminelle Ihre Identität leihen
Sergey Lozhkin, Forscher von Kaspersky Lab, hat einen solchen Marktplatz, genannt Genesis, der zum Verkauf digitaler Masken von Nutzern dient, im Darknet entdeckt. Auf dem Security Analyst Summit 2019 präsentierte er seine grundlegenden Gedanken zu dieser Entdeckung. Eine digitale Maske besteht aus dem digitalen Fingerabdruck (Webverlauf, Betriebssystem- und Browserinformationen, installierte Plugins usw.) sowie den Verhaltensinformationen eines Nutzers.
Aber warum sollten Betrüger diese Masken verkaufen und was hat all das mit dem Thema Kartenbetrug zu tun? Digitale Masken werden von Anti-Fraud-Systemen verwendet, um Benutzer zu verifizieren und identifizieren. Wenn die einem solchen System vorgelegte digitale Maske einer zuvor für denselben Nutzer zugeordneten Maske entspricht, wird eine Transaktion als legitim eingestuft. Für viele Banken bedeutet das, dass es nicht mehr notwendig ist, einen 3D Secure-Code oder eine Push-Benachrichtigung an den Benutzer zu senden, um die Transaktion zusätzlich zu bestätigen.
Wenn es Kriminellen also gelingt, Ihre digitale Maske gemeinsam mit Ihren Online-Banking-Anmeldeinformationen zu entwenden, geht das Anti-Fraud-System davon aus, dass Sie die Person sind, die sich am anderen Ende des Geräts befindet, und schlägt somit keinen Alarm. Auf diese Weise können Kriminelle problemlos Geld von Ihrem Konto abheben, ohne dass es bemerkt wird.
Das ist auch der Grund, weshalb einige Kriminelle derartige Nutzerdaten bei Genesis zum Verkauf anbieten. Betrüger kaufen diese Informationen, die, abhängig von den zur Verfügung gestellten Daten und Anmeldeinformationen, zwischen 5 und 200 US-Dollar kosten können, und verwenden diese dann, um als Inhaber der digitalen Maske zu passieren.
Dafür verwenden sie ein kostenloses Browser-Plug-in namens Genesis Security mit dem die Betrüger die virtuelle Identität eines legitimen Nutzers nachbilden und Anti-Fraud-Systeme täuschen können. Im Grunde genommen modifiziert Genesis Security die vom System wahrgenommenen Parameter so, dass diese mit den Parametern des Geräts des Opfers übereinstimmen und dessen Verhalten exakt nachahmen.
Sammeln von Fingerabdrücken
Aber wie kommen die Cyberkriminellen, die hinter Genesis stecken, überhaupt an die Daten, die sie verkaufen? Die Antwort ist einfach, wenn auch etwas vage: durch verschiedene Malware-Arten.
Nicht jede Malware versucht, Ihre Daten für eine nachfolgende Lösegeldzahlung zu verschlüsseln oder Ihr Geld zu stehlen, sobald sie es auf Ihr Gerät geschafft hat. Einige Malware-Arten verhalten sich unauffällig und still, sammeln so viele Daten wie möglich und erstellen darauf basierend dann die digitalen Masken, die später bei Genesis verkauft werden.
Weitere Möglichkeiten Anti-Fraud-Systeme zu umgehen
Die eine Möglichkeit, Betrugspräventionssystemen aus dem Weg zu gehen, ist also, vertraut zu handeln/wirken. Die andere Option ist, mit einem völlig neuen Erscheinungsbild daherzukommen. Auch zu diesem Zweck lassen sich im Netz selbstverständlich alle notwendingen Dienste und Tools finden.
Völlig neu bedeutet in diesem Zusammenhang, dass es so gut wie keine übereinstimmenden Parameter zwischen der verwendeten und einer anderen digitalen Maske, die dem Dienst bereits bekannt ist, geben darf. Denn entsprechen einige Parameter wie Computerhardware, Bildschirmauflösung usw. denen der zuvor verwendeten digitalen Maske, kann sich der Betrüger nicht bei einem Dienst mit Anti-Fraud-System anmelden, selbst wenn er einen neuen Browser auf seinem PC installieren würde.
Doch mit einem Service namens Sphere können die Kriminellen eine vollkommen neue digitale Identität erschaffen und all diese Parameter anpassen, sodass ein Anti-Fraud-System sie als völlig neuen Nutzer sieht und somit keinen Grund hat, ihnen kein Vertrauen zu schenken.
Sagen Sie nein zu Doppelgängern
Das Problem ist, dass diese Techniken, egal wie fortschrittlich das Betrugspräventionssystem auch sein mag, weiterhin funktionieren werden, da die Systemalgorithmen, die bestimmen, ob eine Person auf das Geld zugreifen darf oder nicht, auf den gleichen Daten basieren, die auch die Kriminellen sammeln.
Kann man sich also überhaupt vor dieser Art des Kartenbetrugs schützen?
Um einen angemessenen Schutz bieten zu können, ist für Banken die Einführung der Zwei-Faktor-Authentifizierung nicht nur erforderlich, sondern obligatorisch; neben der 2FA kann die Erfassung biometrischer Daten durch das Scannen von Fingerabdrücken (real, nicht digital) sowie die Iris- oder Gesichtserkennung eine zweite Sicherheitsebene bilden. Darüber hinaus müssen sich Banken sämtlichen Betrugsarten der heutigen Zeit bewusst sein. Andernfalls können Maßnahmen zur Betrugsbekämpfung nicht erfolgreich umgesetzt werden.
Aus Benutzerperspektive besteht die einzige Möglichkeit, sich vor dieser Art des Kartenbetrugs zu schützen, darin, sicherzustellen, dass niemand auf Ihre digitale Maske zugreifen kann. Dazu müssen Sie eine robuste Sicherheitslösung installieren, mit der jegliche Art von Malware entfernt wird, die versucht, sich an Ihren Daten zu schaffen zu machen.