Cyberkriminelle betreiben für Social Engineering-Angriffe einen immer größeren Aufwand, um ihre Opfer zu verunsichern und sie zur Vernachlässigung von Sicherheitsstandards zu überreden, was hohe Schäden verursachen kann. Beim Microsoft Fraud geben sie sich beispielsweise als Supportmitarbeiter des Unternehmens aus. Üblicherweise kontaktieren sie ihre Zielperson telefonisch und bieten zu Beginn kostenfrei einige Tricks und Tipps, die bei der Optimierung des Geräts helfen, um Vertrauen aufzubauen. Später bieten sie dann für kleines Geld Zusatzfunktionen an, für die sie ihr Opfer dazu bringen, eine Software für den Fernzugriff zu installieren. Sobald sich ihr Gesprächspartner dann in seinen Bankaccount einloggt, manipulieren sie die Eingaben, um mit möglichst viel Geld zu verschwinden.
Gängige Sicherheitsmechanismen versagen beim Microsoft Fraud
Das Problem in einem solchen Angriffsszenario ist, dass gängige Sicherheitsmechanismen umgangen werden. Üblich sind Login-Daten, die aus Benutzername oder Kundennummer sowie einem Passwort bestehen, und eine TAN-Nummer, um Überweisungen und andere Transaktionen zu legitimieren. Die Angreifer manipulieren allerdings über die Remotesoftware, die sie dem Opfer kostenlos zur Verfügung stellen, die eingegebenen Werte.
Der Kunde loggt sich wie gewohnt in seinen Bankaccount ein und es wird eine legitime Sitzung aufgebaut, bei der er sich an seine gewohnten Abläufe hält. Auf Anweisung des angeblichen Supportmitarbeiters wird ein Überweisungsformular ausgefüllt, um eine scheinbar angemessene, kleine Summe für die Serviceleistung zu bezahlen. Zum Abschluss gibt der Kunde die korrekte TAN-Nummer ein, erst dann wird der Kriminelle aktiv: Über das manipulierte Fernzugriff-Programm kann er die Überweisungssumme verändern, ehe der Auftrag an die Bank weitergeleitet wird. Da für den Kunden alles normal verläuft und er den falschen Betrag nicht sieht, wird der Betrug in der Regel erst später auf dem Kontoauszug auffallen, wenn das Geld bereits verschwunden ist.
Verhaltensbasierte Biometrie als Schutz vor Betrügern
Das Problem der gängigen Sicherheitsmechanismen ist, dass sie den Nutzer lediglich zu einem bestimmten Zeitpunkt authentifizieren, nämlich nach Eingabe seiner Benutzerdaten. Sobald eine legitime Sitzung einmal aufgebaut wurde, können die Angreifer diese Sitzung dann ohne aufzufallen manipulieren. Dieses Problem löst eine kontinuierliche Authentifizierung, die während der gesamten Sitzung die Identität des Nutzers prüft und nachweist.
Eine sehr effektive Lösung ist die verhaltensbasierte Biometrie, die auf dem Tippverhalten basiert. Wie ein Nutzer tippt, ist eine individuelle Eigenschaft, die sich selbst unter besten Bedingungen nicht glaubwürdig nachahmen lässt. Dazu werden beispielsweise an Laptops und Desktop-PCs Merkmale wie die individuelle Tippgeschwindigkeit, Pausen zwischen den Eingaben und die Bewegung der Maus oder bei Mobilgeräten die Bewegung des Geräts während der Eingabe, Lage in der Hand und Trefferzonen der Tasten und viele andere Eigenschaften gemessen, um ein unverwechselbares Tippprofil des Nutzers zu erstellen. Dieses wird dann mit dem Tippverhalten während der laufenden Session verglichen, um den Kunden während der gesamten Sitzung zu authentifizieren.
Der Microsoft Fraud fällt mit einer solchen Sicherheitsmaßnahme aus zwei Gründen sofort auf: Erstens kann die Software erkennen, wenn ein Remotezugriff eingerichtet wurde und eine entsprechende Warnung ausgeben. Zweitens, und das ist der entscheidende Vorteil, erkennt die Sicherheitssoftware sowohl den Betrüger, wenn er eine Eingabe tätigen will, als auch einen Bot, der die Eingabe automatisch manipuliert.
Ein Betrüger wird immer ein anderes Tippverhalten als der legitime Nutzer haben und einen Bot erkennt die Software leicht daran, dass die geänderten Daten nicht manuell eingegeben, sondern lediglich eingefügt werden. Selbst fortgeschrittene Bots, die versucht, einen Nutzer zu imitieren, indem sie künstliche Pausen zwischen der Eingabe der Zeichen einbauen und sogar eine Mausbewegung simuliert, können zuverlässig von dem Eingabeverhalten eines Menschen unterschieden werden.
Transparenz und Komfort für den Nutzer
Der Vorteil der Verhaltensbiometrie ist neben der hohen Sicherheit die Benutzererfahrung. Für übliche TAN-Verfahren werden zusätzliche Geräte benötigt, ebenso für Sicherheitscodes per SMS und ähnliche Lösungen. Das Nutzerverhalten, die biometrische Identität als zweiter Faktor, ist für den Kunden hingegen transparent, das heißt, es gibt keinen zusätzlichen Aufwand für den Kunden, sodass ihn die zusätzliche Sicherheitskontrolle während seiner Finanztransaktionen nicht einschränkt.
Damit das unverwechselbare Profil des Kunden selbst geschützt wird, misst die biometrische Sicherheitssoftware das Verhalten des Nutzers nur in der Banking-App der Bank oder per Java Script während der Sitzung im Webbrowser. Aus diesen Messgrößen wird anschließend ein Hash berechnet, der von dem Gerät zur Datenbank des Finanzinstitutes geschickt und dort mit dem Hash aus seinem bisherigen Verhalten verglichen wird. In Millisekunden erfolgt die Bestätigung, ob der Nutzer sich authentifizieren konnte. Der Vorgang ist so schnell, dass die Nutzererfahrung nicht gestört wird.
Fazit
Banken investieren viel in die Sicherheit ihrer Kundenkonten, denn einerseits haften sie finanziell für die entstandenen Schäden beim Endkunden, andererseits werden im Schadensfall knappe Ressourcen für die Aufarbeitung des Vorfalls und die Identifizierung der Sicherheitslücke gebunden und zuletzt bedeutet jeder Vorfall einen Vertrauensverlust beim Kunden. Bisher setzen die meisten Banken in Deutschland dennoch auf Authentifizierungslösungen, die die Identität eines Kunden nur zu einem fixen Zeitpunkt bestätigen. Das macht sie anfällig für aktuelle Bedrohungsszenarien wie z. B. Microsoft Fraud, während in Skandinavien die verhaltensbasierte Biometrie als Sicherheitslösung bereits weit verbreitet und bei einem großen Teil der Banken sowie Versicherungen im Einsatz ist. Die Vorteile einer kontinuierlichen Identifizierung über das Tippverhalten des Kunden haben sich dort durchgesetzt.
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.