17 Mrz 2014

Online-Betrug und der Kampf gegen die Betrüger.

Das Internet, mobile Geräte und ähnliche praktische Helfer haben so viel Nützliches in unser Leben gebracht, dass es manchmal schwer ist, sich vorzustellen, wie irgendjemand früher ohne diese Dinge auskommen konnte. Sie wissen schon: Flugtickets online kaufen und online einchecken, Online-Shopping und Online-Banking, Datenaustausch über mehrere Geräte hinweg, Beschäftigung für die Kinder auf dem Rücksitz mit einem Film auf dem Tablet (in meiner Jugend sind wir einfach nur dagesessen oder haben „Ich sehe was, das Du nicht siehst“ gespielt). Aber ich schweife ab, und das schon am Anfang des Artikels…

Leider brachte das Internet zusammen mit all den guten und hilfreichen Dingen, die das Leben einfacher machen, auch andere Dinge – schlechte Dinge, die schädlich und gefährlich sind. Schadprogramme, Spam, schwer zu verfolgende Cyberkriminelle, Cyberwaffen, usw., usw. Und es gibt auch noch den Internet-Betrug, über den ich in diesem Beitrag schreiben möchte, oder – mehr auf den Punkt gebracht – darüber, wie man ihn bekämpfen kann.

Doch lassen Sie uns mit den Grundlagen beginnen: Wer leidet am Internet-Betrug?

Konsumenten? Ja schon, aber verglichen mit Firmen nicht so stark: Die Hauptlast der Kosten, die durch Online-Betrug entstehen, werden von den Banken, Händlern und im Grunde von jedem, der ein Online-Geschäft betreibt, getragen.

Die Hauptlast der Kosten, die durch Onlinebetrug entstehen wird von allen getragen, die Online-Geschäfte betreiben.

Hier ein paar Zahlen, die das Ausmaß des Internet-Betrugs zeigen:

  • Im Jahr 2012 betrug der direkte Verlust durch Online-Betrug alleine in den USA 3,5 Milliarden Dollar
  • Dieser Verlust wurde durch etwa 24 Millionen betrügerische Online-Bestellungen verursacht
  • Fast 70 Millionen Bestellungen wurden aufgrund des Verdachts auf Betrug storniert

Das alles ist ziemlich alarmierend.

Online financial fraud

Ergreifen die Online-Händler in der Zwischenzeit Maßnahmen gegen Betrug?

Oh ja, das tun sie. Reichlich!

Sie alle haben ein großes Budget zur Abdeckung von „Risiken“, sie haben spezielle Teams, die Transaktionen manuell prüfen, und sie setzen verschiedenen Schutztechnologien ein. Doch Risiko-Budgets sind nicht endlos verfügbar und solche Teams sind nicht günstig zu haben – und auch sie können Fehler machen, während natürlich auch automatisierte Systeme bei weitem nicht ideal sind. Sogar tolle Erfindungen im Bereich der Zwei-Faktoren-Authentifizierung garantieren keine hundertprozentige Sicherheit. So haben Cyber-Gauner zum Beispiel das in Deutschland beliebte ChipTAN-Verfahren in nur zwei Monaten geknackt; während es das Abfangen von SMS-Nachrichten mit Codes für Transaktionen schon seit einigen Jahren gibt. Die Offensive sitzt gegenüber der Defensive ganz klar am längeren Hebel: Neue Technologien werden nicht so oft veröffentlicht und werden schnell umgangen.

Wir brauchen eine frische Herangehensweise an den Schutz und schnellere Reaktionszeiten auf neue Herausforderungen für die Sicherheit.

Kann die Antivirus-Branche hierbei helfen, die Dinge zu verbessern? Klar kann sie das!

Beim Online-Betrug sitzt die Offensive gegenüber der Defensive am längern Hebel. Wir brauchen eine frische Herangehensweise und schneller Reaktionszeiten.

Wir spielen das Katz-und-Maus-Spiel mit den Cyberkriminellen nun schon seit Jahrzehnten und wissen ganz genau, wie wir Sicherheitsprobleme identifizieren und lösen können. Doch um unsere Erfahrung in der echten Welt anwenden und den Internet-Betrug bekämpfen zu können, benötigen wir die Kooperation von Banken, Online-Händlern und jedem anderen, der im Internet Geschäfte macht – nur mit deren Beitrag können wir etwas erreichen. Die Herausforderung ist einschüchternd und der durchschnittliche Kunde kann damit kaum umgehen. Auf der anderen Seite steht den Betreibern von Online-Diensten alles zur Verfügung, das sie brauchen – Wissen, Technologien und der direkte Kontakt mit ihren Kunden (und deren Computern und anderen Geräten). Zudem sehen die Kunden die Online-Händler meist als fähig und sogar als verpflichtet, die entsprechende Sicherheit zu bieten. Das einzige, das hier fehlt, sind die richtigen Werkzeuge.

Vielleicht stellen Sie sich nun die logische Frage, ob es nicht die Aufgabe der Antiviren-Software ist, die Online-Transaktionen des Anwenders zu schützen.

Nun, zunächst muss man sagen, dass nicht jeder eine Antiviren-Software installiert hat. Vor allem nicht auf mobilen Geräten. Und selbst, wenn eine installiert ist, ist bei weitem nicht jede Antiviren-Software fähig, mit der erfindungsreichen Gier der Cyberkriminellen Schritt zu halten: Die oben genannten Verlustzahlen zeigen ganz klar, dass das Niveau mobiler Schutzmaßnahmen kein Hindernis für die bösen Jungs darstellt. Und schließlich gibt es Schutztechnologien, die nicht in traditionellen Computer-Antivirus-Produkten enthalten sind, die vor allem gegen Internet-Betrug eingesetzt werden können (auf eine spezielle, unterschiedliche Art).

Deshalb haben wir kürzlich Kaspersky Fraud Prevention (KFP) eingeführt, eine dedizierte Lösung für Banken, Online-Händler und Internet-Geschäfte, um finanzielle Verluste durch Internet-Betrug zu reduzieren.

KFP schützt vor dem Diebstahl von Zugangsdaten für Online-Banking, dem Abfangen von Transaktionen, dem Umgehen von Multi-Faktoren-Authentifizierungen und vielen anderen Arten anspruchsvoller Internet-Gemeinheiten.

 Kaspersky security network

Kaspersky Fraud Prevention enthält drei Module:

  • Einen kleinen Agenten für Computer (Windows und Mac) oder mobile Plattformen (Android und iOS), der unauffällig, schnell und mit anderen Antiviren-Lösungen kompatibel ist. Der Agent behält den Überblick und bestraft alle Versuche des Online-Betrugs. Sie finden hier weitere Details dazu.

Kaspersky fraud prevention

  • Einen Anti-Fraud-Server, der verdächtige Aktivitäten bei Online-Banking-Transaktionen oder Online-Zahlungen aufdeckt, basierend auf verschiedenen Parametern (Nutzerverhalten, Geräte-ID und die Bewertung des Geräts in unserem Cloud-basierten KSN, kompromittierte Sitzungen, Anwesenheit von Schadprogrammen, usw.). Der Server integriert sich in existierende Anti-Betrugs-Systeme und bietet diesen wertvolle analytische Daten. Die Details dazu finden Sie hier.
  • Eine Management-Konsole für die Überwachung der Agenten und Server, das Verfolgen von Angriffen, erstellen von Berichten und noch viel mehr. Weitere Details dazu hier.

Kaspersky fraud prevention 2

KFP arbeitet mit Technologien, die auch in unseren Endpoint-Produkten zu finden sind und mit Zertifikaten und Preisen ausgezeichnet wurden, die zeigen, dass sie mit den meisten Angriffen auf Online-Transaktionen umgehen können und dabei besser sind,  als die Lösungen von Mitbewerbern.

Hier noch ein weiteres Beispiel (mit ein bisschen eingestreuter Werbung):

Etwa 10 Prozent der Online-Bestellungen kommen von mobilen Geräten. Allerdings überwachen nur 30 Prozent der Firmen Betrugsversuche in diesem Bereich. Was wirklich doof ist, denn das Ausmaß mobilen Betrugs ist 50 Prozent höher als das Ausmaß nicht-mobilen Betrugs. Und dann ist da das Problem auf der anderen Seite: Nicht viele Anwender verstehen bisher, dass Smartphones und Tablets genau so geschützt werden müssen, wie herkömmliche Computer. In der Zwischenzeit holt die Vielfalt und Funktionsfähigket von Schadprogrammen auf diesen Geräten schnell mit Windows-Bedrohungen auf.

Banken und große Händler entwickeln allerdings ihre eigenen mobilen Apps und tun was sie können, diese so gut wie möglich zu schützen. Doch für kleinere Händler ohne Erfahrung oder Expertise im Sicherheitsbereich dauert die Organisation von Schutzmaßnahmen zu lange, ist zu teuer und bringt nicht immer das gewünschte Ergebnis.

Das Software Developer Kit (SDK) von Kaspersky Fraud Prevention ermöglicht es Online-Händlern, ihre eigenen mobilen Apps mit bereits eingebauten Sicherheitsfuntionen zu entwickeln.

Um dies zu verbessern, gibt es für Kaspersky Fraud Prevention auch ein Software Developer Kit (SDK), mit dem Banken und Online-Händler ihre eigenen mobilen Apps für Android und iOS entwickeln können, wobei unsere Sicherheitsfunktionen bereits eingebaut sind! Und es gibt noch viele weitere Funktionen: vielschichtigen Schutz vor Schadprogrammen, Verhaltensanalyse von Apps, Zertifikatsprüfung, URL-Reputationsprüfung, Schutz vor Phishing-Angriffen, sicheren Datenspeicher, SMS-Verschlüsselung, Prüfung der Verlässlichkeit von WLAN-Verbindungen, Anti-Keylogger, Anti-Screengrabber, Blockierung von Rooting/Jailbreaking, automatische Software-Updates, und viel, viel mehr.

Und all das kommt nicht von irgendeinem Startup mit schönen Präsentationen und fragwürdiger Implementierung, sondern von erfahrenen Experten, die eine der besten Lösungen für mobile Geräte entwickelt haben, und die in ein paar Monaten das 10-jährige Jubiläum des Kampfes gegen mobile Parasiten feiern.

Natürlich können Online-Händler momentan auch ohne einige der genannten Funktionen auskommen. Doch auf lange Sicht wird das Ausmaß des Online-Betrugs noch stärker, Reputationen beschädigt und Aufsichtsbehörden nervös werden. Und die Kosten für die aufwändigere Bearbeitung von Bestellungen werden steigen. Wenn Sie es mit dem langfristigen Handel ernst meinen, können wir nur das Unternehmen Nike zitieren: Just do it.

Kommentare lesen 3
Kommentare 3 Hinterlassen Sie eine Nachricht.

    Markus

    In erster linie ist die bank für die sicherheit zuständig! ich persönlich nutze auch kein online-banking, da es mir zu unsicher ist.

    0
    Reply to conversation

    Martin

    Sehr interessanter Artikel!

    0
    Reply to conversation

    Jonnie

    Die Infografik ist sehr interessant! Die Banken sollten mehr für die Sicherheit ihrer Kunden machen. Stattdessen wirtschaften sie hauptsächlich in ihre eigene Tasche und der Kunde bleibt auf der Strecke!

    0
    Reply to conversation
Hinterlassen Sie eine Nachricht.
Facebook

27 Jun 2023

Infosec top-brass: wieder da – persönlich – bei SAS!

Trompeten, Trommelwirbel, Beifall, Jubel, Pfiffe! Hiermit habe ich zwei Neuigkeiten für euch: eine gute und eine noch bessere!… Erstens: In diesem Jahr werden wir unsere 15. jährliche Cybersecurity-Konferenz veranstalten – den Security Analyst Summit (SAS). Fünfzehn? Oh mein Gott, wo ist nur die Zeit geblieben?! Zweitens: Wir sind endlich wieder offline, d. h. persönlich, d. h. von […]

19 Jan 2023

Rückblick 2022: Patente trumpfen auf!

Und die Erfindung neuer Spitzentechnologien ist nur ein Teil davon. Moment, nein: Lassen Sie uns nicht so kategorisch denken… Eine innovative, bahnbrechende Technologie setzt einen Lebenszyklus in Gang, der wahrscheinlich sehr viel komplexer und langwieriger ist, als sich viele vielleicht vorstellen können. Natürlich steht die Erfindung selbst an erster Stelle, aber ohne den Lebenszyklus, der […]

16 Nov 2022

11.11: Zwanzig Jahre auf den Tag genau!

Hallo zusammen! Wir haben ein weiteres Jubiläum zu feiern. Hurra!… Unser cyber-immunes Betriebssystem – KasperskyOS – ist heute… Moment. Nein, das ist nicht ganz richtig… Vor genau 20 Jahren – am 11. November 2002 – begann unsere lange, bedeutsame Reise; eine Reise, auf der wir uns tatsächlich immer noch befinden. Ein großes, grandioses Projekt, das […]

21 Jul 2022

Cyber-News von der dunklen (und nicht ganz so dunklen) Seite: Ein waghalsiger Krypto-Hack, K wird neuromorph und der Einstieg in ein Rechenzentrum über eine… Toilette!

Hallo miteinander! Für alle, die immer noch im Büro schwitzen und (noch) nicht das Glück hatten, in den Urlaub zu fahren, hier einige unterhaltsame iNews, alias „Cyber-News von der dunklen (oder auch nicht so dunklen) Seite“, die es in sich haben. Außergewöhnliche, kaum zu glaubende Geschichten aus der Welt der Cybersicherheit. Ein Krypto-Malheur Die Gaming-Community […]

5 Jul 2022

Ein Vierteljahrhundert? Wo ist das geblieben?!…

Hallo Leute! Vor 25 Jahren und neun Tagen – am 26. Juni 1997 – wurde das Unternehmen, das zufällig den gleichen Namen wie ich trägt, eingetragen. Und es waren im wahrsten Sinne des Wortes „bescheidene Anfänge“: etwa ein Dutzend Leute mit null Umsatz – aber mit einigen besonderen technischen Kenntnissen und einigen ebenso besonderen und […]

Mehr

Reise-Vlog