Warum Bots das nächste große Ding beim „Account Takeover Fraud“ sind
Der Begriff “Account Takeover Fraud” (zu Deutsch: betrügerische Kontenübernahme) mag im Zusammenhang mit der Cybersicherheit vertraut klingen, doch die Präventionsmaßnahmen im Bereich des elektronischen Handels sind immer noch recht undurchsichtig.
Einzelhändler sind seit jeher mit systematischen Zahlungsbetrugsfällen im Zusammenhang mit Kreditkartenrückbuchungen konfrontiert. Dies geschieht, wenn ein Kunde einen Online-Kauf mit einer Kreditkarte tätigt und dann eine Rückerstattung von der ausstellenden Bank verlangt, obwohl er die bestellten Waren oder Dienstleistungen erhalten hat.
Diese Art von Betrug, besser bekannt als “Friendly Fraud”, macht es für Einzelhändler schwierig, zwischen vertrauenswürdigen Kunden und Betrügern zu unterscheiden. Aufgrund der geringen Sicherheitsinfrastrukturen auf E-Commerce-Plattformen wird dieses Risiko der Kontenübernahme immer größer.
Gleichzeitig sind vertrauenswürdige Kunden frustriert über langwierige Verifizierungsprozesse und das Risiko gestohlener Zugangsdaten aufgrund betrügerischer Kontoübernahmen. Obwohl Kunden beim Online-Einkauf einen gewissen Komfort erwarten, werden sie ständig aufgefordert, ihre Identität und ihre Absichten zu belegen.
Was bedeutet Account Takeover Fraud im E-Commerce?
Klassische Kontenübernahme
Kontenübernahme ist eine Form des Identitätsdiebstahls und Betrugs. Dies geschieht, wenn jemand die Kontrolle über ein Konto erlangt, indem er die Anmeldedaten des Kunden verwendet und in dessen Namen unberechtigte Transaktionen durchführt. Dazu gehören Bankkonten, E-Mail-Konten, Kreditkartenkonten und im Grunde jedes Konto auf einer Online-Website.
Kunden können zum Beispiel durch Phishing, Malware und Spyware ins Visier genommen werden. Andere Methoden sind der Kauf gestohlener Passwörter, personenbezogener Informationen oder Sicherheitscodes von Cyberkriminellen. Untersuchungen des Dark Web haben ergeben, dass sich mehr als 15 Milliarden Zugangsdaten auf den Marktplätzen für Cyberkriminelle befinden (ein Anstieg um 300 % seit 2018).
Sobald der Cyberkriminelle die Kontrolle über das Konto erlangt hat, kann er auf der E-Commerce-Website einkaufen, Geld abheben, die Zugangsdaten des Kontos ändern und auf ähnliche Weise Zugang zu anderen Konten des betreffenden Kunden erhalten.
Die Kosten werden direkt von den Kunden getragen, doch auch die Einzelhändler tragen Umsatzeinbußen und Reputationsschäden davon, weil die Kunden sich für die Mitbewerber mit zuverlässigeren Online-Plattformen entscheiden.
Moderne Bots
Heutzutage setzen Hacker Bots ein, die mithilfe von maschinellem Lernen so programmiert werden können, dass sie Tausende oder Millionen von Kontoübernahmeversuchen pro Minute durchführen. Laut Gartner (2021) sind Credential Stuffing-Angriffe (die die Übernahme von Konten ermöglichen) eine der vier am meisten verbreiteten Arten von bösartigen Bot-Angriffen im E-Commerce.
Der einfache Zugang zu gestohlenen Zugangsdaten (über das Dark Web) sowie die mangelnde Bereitschaft der Benutzer, ihre Passwörter zu schützen, haben für Hacker eine “Geschäftsmöglichkeit” geschaffen. Infolgedessen gibt es eine starke Zunahme gefährlicher Bots und Kontenübernahmen. Unabhängig von der Größe oder Branche der E-Commerce-Plattform sind alle Websites solchen Angriffen ausgesetzt, wenn sie nicht entsprechend geschützt sind.
Schritt für Schritt: Wie eine moderne Kontenübernahme abläuft
Dies sind die Schritte, die normalerweise bei einer Kontenübernahme erfolgen:
- Hacker kaufen Tausende oder Millionen von Kontozugangsdaten aus dem Dark Web.
- Mithilfe von maschinellem Lernen programmieren sie die Bots so, dass sie Endpoints von Websites unter Verwendung der Benutzerkonten angreifen, Tausende oder Millionen pro Minute. Beispiele für solche Endpoints sind Login, Warenkorb und Bezahlfunktion.
- Die Bots testen alle Kombinationen der Zugangsdaten (bekannt als “Credential Stuffing”).
- Im Erfolgsfall greifen die Hacker mit den funktionierenden Anmeldedaten auf Konten zu.
- Persönliche Daten werden durch Zahlungsvorgänge, den Kauf von Geschenkkarten, Treuepunkten und die Nutzung aller anderen Möglichkeiten des Kontos gesammelt und ausgewertet.
Selbst wenn die Bots zunächst entdeckt werden, ändern 30 % von ihnen raffinierterweise ihre IP-Adressen automatisch, um unentdeckt zu bleiben. Neben der Änderung ihrer IPs können sie sich auch tarnen, indem sie echte Browser simulieren, menschliches Verhalten nachahmen oder sich in Benutzersitzungen verstecken. Dies zeigt, wie wichtig Cybersecurity-Tools auf E-Commerce-Websites sind, um speziell gegen die immer ausgefeilteren Bots vorzugehen.
[H2] Wie E-Commerce-Händler Verluste durch Bots erleiden
Laut einer Studie von Riskified (2021) ist mehr als ein Viertel der E-Commerce-Händler nicht auf Account-Takeover-Angriffe vorbereitet. Infolgedessen wenden sich 2 von 3 Online-Kunden von E-Commerce-Händlern ab und suchen nach alternativen Optionen, wenn sie Opfer einer Kontenübernahme wurden.
Mit der Zunahme des E-Commerce nach der Pandemie stieg auch die Zahl der Betrugsfälle. In den USA wurden 43 % aller Betrugsversuche durch Kontenübernahme verübt, was diese Betrugsform zu einer der drei häufigsten im Online-Handel im Jahr 2020 macht. Aus Berichten geht außerdem hervor, dass die Zahl der Kontenübernahmen seit dem Beginn der Pandemie um 378 % gestiegen ist.
Laut einer Studie von Juniper (2020) entstanden allein im Jahr 2020 Verluste in Höhe von 17 Milliarden US-Dollar im Bereich E-Commerce aufgrund von Betrug. Prognosen zufolge wird diese Zahl in drei Jahren 25 Milliarden Dollar übersteigen, was für Online-E-Commerce-Plattformen ein großes Problem darstellt.
Zusammengefasst bedeutet dies, dass Account Takeover Fraud durch Bots das Einkaufserlebnis der Kunden auf E-Commerce-Plattformen beeinträchtigt, da Einzelhändler es versäumen, sich sowohl um die Sicherheit als auch um die Benutzerfreundlichkeit für ihre Kunden zu kümmern. Das wiederum führt sowohl zu Kunden- als auch zu Umsatzverlusten.
Reale Beispiele für Bot-Angriffe
In einem Fall eines Account-Takeover-Angriffs lösten die Hacker innerhalb von zwei Tagen 5,7 Millionen Anfragen aus, um eine Credential Stuffing-Attacke durchzuführen. Die Bots rotierten durch 250.000 verschiedene IP-Adressen, 8.000 autonome Systeme und 215 Länder. Dies macht deutlich, dass die herkömmlichen Methoden der Kontosicherheit nicht mehr zeitgemäß sind und dass Online-Händler ihre Sicherheit verbessern müssen, um Bot-Angriffe abzuwehren, wenn sie wettbewerbsfähig bleiben wollen.
In einem anderen Fall, bei dem es um Betrug im E-Commerce ging, erreichte ein Kontenübernahme-Angriff einen Spitzenwert von etwa 1.500 Angriffsversuchen pro Sekunde. Den Bot-Verkehr sehen Sie unten in Rot, während Grün die legitimen Versuche anzeigt.
[Grafik von Perimeterx, die einen Account-Takeover-Angriff zeigt] (https://www.perimeterx.com/downloads/whitepapers/PerimeterX-Whitepaper-Five-Major-Threats-to-Holiday-E-commerce.pdf)
Über 90 % der Versuche sind eindeutig als böswillig einzustufen. Dank der Tausenden von IP-Adressen, die von den Bots verwendet wurden, erreichten sie eine Erfolgsquote von 8 %, was zu gestohlenen Kundendaten und Umsatzeinbußen für den Einzelhändler führte.
3 Dinge, die Einzelhändler im E-Commerce tun können, um die Bots zu bekämpfen
Implementierung von Technologien zur Erkennung von Bots, um die Beeinträchtigung der Kunden zu verringern
E-Commerce-Händler versuchen, auf Bot-Angriffe mit verschiedenen Methoden zu reagieren, die sich als unzureichend erwiesen haben. Zum Beispiel verwenden viele Händler CAPTCHA-Anforderungen für Kunden oder andere Methoden, bei denen die Kunden “ihre Glaubwürdigkeit beweisen” und bei jedem Schritt gewisse Hürden überwinden müssen.
Beim CAPTCHA zum Beispiel müssen Benutzer ein Bild mit zusammengewürfelten Buchstaben und Zahlen interpretieren oder Bilder auswählen, die ein bestimmtes Attribut enthalten. Studien von Gartner (2021) zeigen jedoch, dass diese Arten von den Methoden zielstrebiger Angreifer-Bots oder Cloud-basierter Analyse-Tools immer wieder überlistet werden können und werden.
Darüber hinaus sind solche Präventionsmethoden schlecht, da CAPTCHA-Bilder eine Abbruchrate von 50 % der Nutzer aufweisen, insbesondere auf mobilen Geräten, was bedeutet, dass 50 % der potenziellen Kunden die Online-Plattform gar nicht erst betreten.
E-Commerce-Plattformen sollten sich darauf konzentrieren, die Unterscheidung zwischen Bot und Mensch in den Hintergrund zu rücken und die Notwendigkeit von diesbezüglichen Tests zu reduzieren. So können Loyalität, Bindung und Vertrauen zwischen Kunden und dem Online-Unternehmen gesteigert werden.
Analysieren des Verhaltens vertrauenswürdiger Kunden, um das Vertrauen zu stärken
Durch den Einsatz von Technologien zur Verhaltensanalyse können Einzelhändler die Aktivitäten der Nutzer im Online-Bereich beobachten. Dazu gehören das Timing und die Platzierung der Maus, der Mausklick, das Tippverhalten, das Scrollen und das Wischverhalten auf mobilen Geräten.
Für E-Commerce-Händler mit einer Vielzahl von Kundeninteraktionen kann dies eine Methode sein, um eine Verhaltensnorm für einen bestimmten Kunden zu entwickeln. So kann jede Abweichung von der “Norm” auf betrügerisches Verhalten hinweisen.
Dies ist besonders hilfreich für E-Commerce-Händler, da ihre Plattformen (ebenso wie Handelsbanken und beliebte Spieleseiten) in der Regel häufige Nutzerinteraktionen aufweisen, bei denen solche Daten gesammelt und verglichen werden können.
Jede Interaktion kann mit der Frage “Handelt es sich um einen Menschen oder eine Maschine?” und anschließend mit der Frage “Handelt es sich um ein bekanntes oder unbekanntes Verhalten des Kunden?” abgefragt werden. Tatsächlich sind 98 % der echten Kunden seriös und vertrauenswürdig.
Die Mehrheit der menschlichen Nutzer hat positive Absichten, wenn sie mit Online-Unternehmen zu tun haben. Um zu vermeiden, dass Ihre Kunden misstrauisch werden, kann eine solche Verhaltensanalyse dazu beitragen, die Sicherheit zu erhöhen, ohne das Kundenerlebnis zu beeinträchtigen.
3. Implementieren einer adaptiven Authentifizierung: Aktivitäten mit geringem Risiko gegenüber Aktivitäten mit hohem Risiko
Adaptive Authentifizierung ist eine Möglichkeit, Zwei- oder Mehrfaktoren-Authentifizierung einzusetzen. Dabei werden bestimmte Authentifizierungsfaktoren auf der Grundlage der Tendenzen und des Risikoprofils des Kunden ausgewählt und so die Authentifizierungsmethoden an die jeweilige Situation angepasst.
Ein solcher Ansatz hat vor allem zwei Vorteile. Zum einen erleben die Benutzer beim Online-Einkauf eine nahtlose Interaktion. Andererseits kann der Online-Händler Informationen auswerten und analysieren, indem er zwischen vertrauenswürdigen Kunden und betrügerischen Bots unterscheidet. Dies geschieht, ohne den Betrügern die risikomindernden Strategien zu verraten.
Wenn ein Bot, der sich als vertrauenswürdiger Kunde ausgibt, bei der Anmeldung oder zu Beginn der Online-Aktivität ein normales menschliches Verhalten an den Tag legt, hilft ein strategisch platziertes Authentifizierungs-Gate dabei, Transaktionen oder Aktivitäten zu blockieren, wenn sie zu einem hohen Risiko werden (z. B. Zahlungen).
Bei Aktivitäten mit geringem Risiko (z. B. Surfen im Online-Shop, Hinzufügen von Artikeln zum Warenkorb und Überprüfen von Benachrichtigungen) können die Authentifizierungsmaßnahmen jedoch milder ausfallen, um das Benutzererlebnis nicht zu stören. Für jedes risikoreiche Ereignis oder für alle wertvollen Elemente gibt es eine angemessene Schutzmaßnahme, die für den Benutzer unsichtbar bleibt. Auf diese Weise wird hohe Sicherheit mit einem nahtlosen Kundenerlebnis verbunden.
Weitere Informationen