SIM-Swap-Angriffe
Warum Verhaltensbiometrie die letzte Verteidigungslinie ist
Unter SIM-Swapping versteht man einen Prozess, bei dem die Telefonnummer von einem Nutzer auf eine SIM-Karte übertragen wird, die einem Cyberkriminellen gehört. Wenn die Angreifer die Nummer des anvisierten Opfers haben, setzen sie alle Passwörter zurück und haben dadurch Zugriff auf dessen Konten.
Darüber hinaus können alle Textnachrichten, Sprachanrufe und Zwei-Faktor-Authentifizierungscodes auf das Gerät, in dem die SIM-Karte eingebettet wurde, geleitet werden. Besonders interessant wird es für die Angreifer, wenn sie darüber hinaus Zugriff auf die Kryptowährungen der Opfer erhalten. In den USA hat sich diese Art von Angriffen im Sommer gehäuft und zu Klagen gegen lokale und internationale Telekommunikationsanbieter geführt. Ein Beispiel ist der Vorfall bei der Krypto-Messe Consensus in New York, als ein Cyberkrimineller 40 Besucher um Bitcoin und andere Coins im Wert von mehr als fünf Millionen US-Dollar gebracht hat.
Verantwortlich für die Schäden sind meistens Insider, also Mitarbeiter der Telekommunikationsfirmen, die mit den Angreifern kooperieren. In einem anderen Fall wirft ein Millionär und Investor einem großen US-amerikanischen Telekommunikationskonzern vor, dass einer der Mitarbeiter ganz bewusst mit einem Angreifer gemeinsame Sache machte, um ihm Kryptowährungen im Millionenumfang zu stehlen. SIM-Swapping häuft sich allerdings auch in Europa, die dafür zuständige EAST (European Association for Secure Transactions) listet in einem im August veröffentlichten Bericht Vorfälle in verschiedenen europäischen Ländern auf (allerdings ohne das Ziel Kryptowährungen). Welche Möglichkeiten haben nun die betroffenen Telekommunikationsunternehmen, um diese Art von Angriffen zu verhindern?
Verhaltensbiometrie ist die letzte Verteidigungslinie gegen SIM-Swapping
Die transparente und kontinuierliche Authentifizierung von Benutzern mit einzigartigem Online-Verhalten ermöglicht es Unternehmen, der Gefahr von Account-Übernahmen wie SIM-Swapping zu begegnen, ohne die Benutzererfahrung zu beeinträchtigen. Das Aufkommen der verhaltensbasierten Biometrie dreht den Spieß um, indem es Betrüger und Malware zwingt, das zu kopieren, was sie nicht nachahmen können: die angeborenen Gewohnheiten und Lebensmuster jedes Einzelnen.
Traditionelle Authentifizierungstechnologien und Token verifizieren letztlich Geräte und keinen Endnutzer. Einmalige biometrische Scans eines Fingerabdrucks bieten zusätzlichen Schutz, sind aber grundsätzlich nicht in der Lage, böswillige Aktionen zu erkennen und zu stoppen, die ein kompromittierter Computer nach einem legitimen Login durchführen. Nur durch die Identifizierung und den kontinuierlichen Vergleich der einzigartigen Verhaltensattribute der Benutzer können Unternehmen proaktiv gegen ungeprüfte Betrugsrisiken vorgehen.
Schub durch PSD2
Unternehmen müssen zudem die Anforderungen der PSD2 umsetzen. Die PSD2 schreibt den Zahlungsdienstleistern vor, dass sie eine starke Kundenauthentifizierung (SCA) sicherstellen müssen, die mindestens zwei Faktoren aus jeweils verschiedenen Kategorien umfasst – „Wissen“ (zum Beispiel Passwort), „Besitz“ (etwa Smartphone) und „Inhärenz“ (beispielsweise einzigartige Eigenschaften des Verhaltens einer Person, wie Muster in der Art und Weise, wie Benutzer ihre mobilen Geräte halten und mit Websites und Browsern kommunizieren). Verhaltensbasierte Biometrie ist eine moderne Technologie für die PSD2-Konformität, da sie Inhärenz mit traditionellen Anmeldedaten kombiniert und so einen deutlich verbesserten Schutz vor Account-Hijacking und Betrug bietet. Die Eignung der Verhaltensbiometrie wurde bereits von der Europäischen Bankenaufsichtsbehörde (EBA) die Technologie als Lösung bestätigt. Sie bietet den betroffenen Banken, aber auch Fintech-Unternehmen, Verbrauchern und anderen Zahlungsinteressenten eine kostengünstige Alternative zu den bisherigen Standardverfahren, weil sie Anmeldeversuche blockiert, bei denen das Verhalten von dem des bekannten Nutzers abweicht, automatisiert. Im Gegensatz zu physischen Tokens, die einen Benutzer nur einmalig beim Einloggen authentifizieren, wird das Verhalten über die gesamte Onlinesession hinweg analysiert, um auch spätere, verdächtige Aktivitäten nach dem Login zu erkennen. Dies ist entscheidend für die Bekämpfung von Swapping-Attacken, Remote Access Trojanern (RATs), Bots, Man-in-the-Browser (MitB) und vielen anderen Arten von Past-Gateway-Angriffen.
Lukratives Geschäftsmodell
SIM-Swapping ist in verschiedenen Ländern bereits ein lukratives Geschäftsmodell und es sieht so aus, als wenn sich auch in Europa die Vorfälle häufen. Deshalb ist es umso wichtiger, dass sich Unternehmen mit intensivem Kundenkontakt wie Banken, Versicherungen, Telekommunikationsunternehmen und E-Commerce-Anbieter von den bisherigen Standard-Verfahren verabschieden und stattdessen auf moderne Authentifizierungslösungen setzen, die auf biometrische Merkmale setzen und damit den Unternehmen und Kunden gleichermaßen einen stärkeren Schutz vor Betrug und dem Verlust von persönlichen Informationen bieten.
Sebastian Mayer ist Country Manager Central & Eastern Europe bei Behaviosec
Lesen Sie mehr zum Thema
