Kontoübernahmebetrug erklärt: Was ist das und wie können Unternehmen diesen vermeiden?

Radar
Radar

Bekämpfen Sie Betrug mit der geballten Power des Stripe-Netzwerks.

Mehr erfahren 
  1. Einführung
  2. Was ist Kontoübernahmebetrug (ATO)?
  3. Arten von Kontoübernahmebetrug
  4. Wie Kontoübernahmebetrug Unternehmen schadet
  5. Möglichkeiten zur Erkennung und Vorbeugung von Kontoübernahmebetrug

Betrug ist eine große Herausforderung für Unternehmer/innen. Sie können ein sehr begehrtes Produkt anbieten, treue Kundinnen/Kunden gewinnen und einen hervorragenden Kundenservice bieten. Aber nichts davon schützt Ihr Unternehmen vor betrügerischen Akteurinnen/Akteuren, die versuchen, Zugriff auf die Konten Ihrer Nutzer/innen zu erlangen. Kontoübernahmebetrug zählt zu den häufigsten Formen des Identitätsdiebstahls und machte 53 % des gesamten Kontobetrugs im Jahr 2019 aus. Diese Art von Betrug stellt für Unternehmen eine große Belastung dar. Kontoübernahmebetrug kostete US-Unternehmen im Jahr 2020 25,6 Milliarden Dollar, was einem Anstieg von 500 % gegenüber 2017 entspricht, so Juniper Research. Derartige Kontosicherheitsverletzungen können den Ruf eines Unternehmens und das Vertrauen, das es bei bestehenden Kundinnen/Kunden aufgebaut hat, schädigen.

Da jedes Jahr mehr Geld durch Kontoübernahmebetrug verloren geht, brauchen Online-Unternehmen einen Plan, um betrügerische Akteurinnen/Akteure zu erkennen und zu blockieren, bevor sie zuschlagen. Das müssen Sie wissen, um Kontoübernahmebetrug zu erkennen und zu verhindern.

Worum geht es in diesem Artikel?

  • Was ist Kontoübernahmebetrug (ATO)?
  • Arten von Kontoübernahmebetrug
  • Wie Kontoübernahmebetrug Unternehmen schadet
  • Möglichkeiten zur Erkennung und Vorbeugung von Kontoübernahmebetrug

Was ist Kontoübernahmebetrug (ATO)?

Kontoübernahmebetrug, auch als Kontokompromittierung bezeichnet, liegt dann vor, wenn betrügerische Akteurinnen/Akteure die Kontrolle über Konten rechtmäßiger Kundinnen/Kunden übernehmen, um Kontodaten abzurufen oder Geld abzuheben. Dies kann alle Arten von Online-Konten betreffen, von Bankkonten bis hin zu Konten bei Lebensmittellieferdiensten. Je nach Art des gehackten Kontos kann die/der Betrüger/in die extrahierten Informationen verwenden, um sich als die Kundin/der Kunde auszugeben und ein neues Bankkonto zu eröffnen, eine neue Kreditkarte zu bestellen, Prämienpunkte einzulösen oder Bestellungen bei Online-Shops oder Essenslieferdiensten aufzugeben. Außerdem können Betrüger/innen mit den erhaltenen Informationen auf andere Konten zugreifen oder die Kontodaten an böswillige Parteien verkaufen.

Arten von Kontoübernahmebetrug

Eine Studie der Aite Group aus dem Jahr 2020 ergab, dass 38 % der befragten Verbraucher/innen in letzter Zeit Opfer von Kontoübernahmebetrug geworden waren. Diese Art von Betrug kann viele Gesichter haben.

  • Phishing
    Phishing-Betrügereien erfolgen i. d. R. per E-Mail oder Textnachricht. Die Kundin/der Kunde erhält eine Nachricht, in der sie/er um Spenden oder persönliche Daten gebeten oder aufgefordert wird, auf einen Link oder einen Anhang zu klicken, der automatisch Malware auf ihrem oder seinem Gerät installiert.

  • Malware
    Bösartige Software, allgemein als Malware bezeichnet, ist jede unerwünschte Software, die darauf abzielt, ein Gerät zu beschädigen oder sich unbefugten Zugriff darauf zu verschaffen. Ein Trojaner ist eine Art von Malware, die die Kontrolle über das Gerät einer Nutzerin/eines Nutzers übernimmt und es Hackerinnen/Hackern ermöglicht, Informationen abzufangen, z. B. Bankkonto- oder Kreditkartenangaben. Mobile Banking-Trojaner sind speziell auf den Diebstahl von Bankkonten ausgelegt. Sie zeigen oft eine gefälschte Seite an, die eine echte mobile Banking-Anwendung imitiert, und erbeuten so die Konto- und Autorisierungsangaben der Nutzerin oder des Nutzers.

  • Credential Stuffing
    Wenn Listen mit gehackten oder gestohlenen Nutzeranmeldeinformationen verwendet werden, um sich Zugriff auf ein Konto zu verschaffen, spricht man von Credential Stuffing. Diese Methode wird im Englischen auch als Breach Replay Attacks bezeichnet. Da viele Leute für mehrere Konten dieselben Kombinationen aus Nutzername und Passwort verwenden, können Hacker/innen mithilfe der Zugangsdaten für ein Konto Zugang zu weiteren Konten erhalten.

  • Credential Cracking
    Wenn verschiedene Kombinationen von Nutzername und Passwort eingegeben werden, bis ein Konto erfolgreich entsperrt wird, spricht man von Credential Cracking oder Brute-Force-Angriffen. Betrüger/innen verwenden oft Listen gängiger Passwörter, die von Bots erstellt wurden, um ein gültiges Passwort zu finden. Außerdem setzen sie Bots ein, um verschiedene Kombinationen zufälliger Zeichen auszuprobieren, bis sie das Passwort einer Nutzerin/eines Nutzers herausfinden.

  • Man-in-the-Middle-Angriffe
    Ein MITM-Angriff (Man-in-the-Middle) liegt vor, wenn ein/e betrügerische/r Akteur/in einen Weg findet, sich zwischen eine/n Nutzer/in und eine Anwendung zu schalten, auf die sie oder er zuzugreifen versucht, z. B. eine E-Commerce-Website oder eine mobile Banking-App. Bei einem typischen Man-in-the-Middle-Angriff wird ein betrügerischer WLAN-Hotspot eingerichtet und es werden Anmeldedaten, Kontoangaben und Kreditkartennummern von Personen gestohlen, die versuchen, sich mit dem Hotspot zu verbinden.

  • Session Hijacking
    Wenn sich ein/e Nutzer/in bei einem Online-Dienst anmeldet und ein/e Kriminelle/r die Kontrolle über die Sitzung übernimmt, spricht man von Session Hijacking. Wenn sich ein/e Nutzer/in beispielsweise bei ihrem/seinem Konto in einem Online-Shop anmeldet, um einen neuen Einkauf zu tätigen, könnte die Angreiferin/der Angreifer alle Kreditkartenangaben stehlen, die für betrügerische Abbuchungen benötigt werden.

  • SIM-Swapping
    Beim SIM-Swapping gibt sich die/der betrügerische Akteur/in gegenüber dem Mobilfunkanbieter als das Opfer aus und bringt eine/n Callcenter-Mitarbeiter/in dazu, die Mobilfunknummer des Opfers auf eine andere SIM-Karte zu übertragen. Mithilfe der Mobilfunknummer des Opfers kann die/der Betrüger/in auf Bankdaten zugreifen oder Transaktionen durchführen, die eine Authentifizierung per Textnachricht erfordern.

Wie Kontoübernahmebetrug Unternehmen schadet

Jede Art von betrügerischer Aktivität stellt ein ernsthaftes Risiko für Online-Unternehmen dar und Kontoübernahmebetrug ist keine Ausnahme. Und so kann Kontoübernahmebetrug Ihrem Unternehmen schaden – von der Beeinträchtigung der Kundenbindung bis hin zu Geldeinbußen.

Rufschädigung
Der Ruf eines Unternehmens kann durch eine Kontosicherheitsverletzung schweren Schaden nehmen. Kundinnen/Kunden legen großen Wert auf die Sicherheit ihrer persönlichen Angaben und Daten und Meldungen über Kontoübernahmebetrug in Social Media oder in den Nachrichten könnten sie davon abhalten, ein Konto bei diesem Unternehmen zu eröffnen. Ein Imageschaden ist schnell passiert, aber die Wiederherstellung des Rufs dauert viel länger.

Probleme mit der Kundenbindung
Meldungen über einen Hackerangriff können auch Einfluss auf bestehende Kundinnen/Kunden haben. Auch wer nicht von einer Sicherheitsverletzung betroffen war, könnte verunsichert sein und ihr/sein Konto vorsorglich schließen. Bei einer weltweiten Vodafone-Umfrage gaben 89 % der befragten Unternehmen an, dass eine verbesserte Cybersicherheit die Treue und das Vertrauen der Kundinnen/Kunden steigern würde.

Geldeinbußen
Mit Kontoübernahmebetrug sind empfindliche Geldeinbußen verbunden. Wenn ein/e Hacker/in über das Konto einer Kundin/eines Kunden einen betrügerischen Kauf tätigt, erhält die/der Kontoinhaber/in i. d. R. eine Rückerstattung vom Kreditkartenaussteller, nachdem sie/er die Forderung angefochten hat. Dem Unternehmen, das die gekauften Waren verkauft hat, entgehen diese Einnahmen allerdings, es verliert die Produkte, die an die/den betrügerische/n Akteur/in geliefert wurden, und schuldet dem Zahlungsabwickler normalerweise eine Rückbuchungsgebühr. Noch teurer kann es werden, wenn der Betrug weitergeht. Ein von einer hohen Betrugsrate betroffenes Unternehmen könnte in ein Rückbuchungsüberwachungsprogramm eines Netzwerks aufgenommen werden, höhere Zahlungsabwicklungsgebühren auferlegt bekommen oder gar komplett von einem Zahlungsabwickler ausgeschlossen werden.

Zusätzlich zu den Rückbuchungsgebühren können auch Geldstrafen verhängt werden, wenn Kundendaten nicht gemäß Datenschutz-Grundverordnung (DSGVO) und anderen Datenschutzgesetzen geschützt werden. Die Geldstrafen bei Verstoß gegen die DSGVO sind dem jeweiligen Fall angemessen, doch Unternehmen, bei denen weniger schwerwiegende Verstöße festgestellt wurden, müssen unter Umständen mit einem Bußgeld von mehreren Millionen Euro rechnen.

Möglichkeiten zur Erkennung und Vorbeugung von Kontoübernahmebetrug

Wenn Sie Ihr Unternehmen effektiv vor Kontoübernahmebetrug schützen möchten, müssen Sie proaktiv handeln, statt nur zu reagieren. Sie müssen also Maßnahmen ergreifen, um Betrüger/innen zu identifizieren und abzuweisen, ehe sie einen Verstoß begehen können. Da jede Art von Kontoübernahmebetrug ihre eigene Handschrift hat, müssen Unternehmen bei der Erkennung und Vorbeugung stets auf der Hut sein.

Gehen Sie wie folgt vor, um Ihr Unternehmen zu schützen:

Kontoänderungen überwachen
Manche Betrugsarten sind nicht zu übersehen, etwa wenn Daten verschiedener Kunden gleichzeitig geändert werden oder plötzlich mehrere Konten mit denselben Kundendaten aktualisiert werden. Ausgeklügelte Angriffe sind jedoch subtiler und lassen sich nur unterbinden, wenn Verhaltensmuster erkannt werden. Diese können sich beispielsweise darin äußern, dass eine Person die Daten einer Kundin/eines Kunden aktualisiert, sich schnell von einem neuen Gerät aus anmeldet und dann Produkte an eine bisher nicht angegebene Lieferadresse schicken lässt. Machine-Learning-Tools wie Stripe Radar nutzen Daten, um Unternehmen dabei zu helfen, Betrüger/innen von echten Kundinnen und Kunden zu unterscheiden. Zudem können sie sich an neue Betrugsmuster anpassen.

Um Kontoübernahmen zu erkennen, bevor Betrüger/innen möglicherweise größeren Schaden anrichten, können Sie einige einfache Änderungen vornehmen. So können Sie beispielsweise Nutzer/innen auffordern, vor dem Ändern von Kontodaten ihre Identität zu verifizieren (mittels Zwei-Faktor-Authentifizierung), und Nutzer/innen umgehend über Kontoänderungen benachrichtigen.

Auf Unregelmäßigkeiten bei Geräten hinweisen
Ein weiterer wichtiger Aspekt der Betrugserkennung besteht darin, nach verdächtigen Geräten Ausschau zu halten, die mit Nutzerkonten verknüpft sind. Ein Hinweis auf einen potenziellen Verstoß kann etwa vorliegen, wenn mehrere Konten mit demselben Gerät verknüpft sind oder Konten ungewöhnlich vielen Geräten mit „unbekannten“ Modellen zugewiesen sind. Die Grundlage hierfür ist Geräte-Spoofing – eine Betrugsmasche, bei der ein anderes Gerät vorgetäuscht wird, um die wahre Identität zu verbergen oder ein System auszutricksen. Weitere Anzeichen für ungewöhnliche Aktivitäten sind Anmelde-IP-Adressen aus mehreren Ländern. Unternehmen, die das Potenzial von Machine-Learning-Tools nutzen, können solche Unregelmäßigkeiten frühzeitig erkennen und somit letztlich Zeit und Geld sparen.

Machine-Learning-Tools sind für jedes Stripe-Konto verfügbar. So können Unternehmen wachsen und sich gleichzeitig vor Betrug schützen. Hier erfahren Sie mehr darüber, wie Stripe Radar die Daten aus Zahlungen im Umfang von mehreren hundert Milliarden USD pro Jahr nutzt, um Kontoübernahmebetrug genau zu erkennen und zu verhindern.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.