Was ist betrügerische Account-Übernahme?

Betrügerische Account-Übernahmen funktionieren in der Regel automatisiert durch die Verwendung von Skripten, die potenziell Tausende von Anmeldeinformationen und Nutzerkonten enthalten. Auf Darknet-Märkten geht der Umsatz, der durch einen erfolgreichen Angriff generiert werden kann, mitunter in die Millionen.

Angreifer laden auch geknackte Passwörter von Darknet-Märkten herunter. Sie nutzen dann das bereits kompromittierte Nutzerkonto des Opfers und versuchen einen dazugehörigen Account auf ihrer Zielwebsite zu übernehmen.

Wenn Angreifer eine lange Liste mit Anmeldeinformationen haben, können sie den Accountbetrug mit verschiedenen Anwendungen ausführen. Einige bekannte Tools sind SentryMBA, SNIPR, STORM und MailRanger. Das folgende Bild zeigt eines der Hauptfenster in SentryMBA:

SentryMBA ist aufgrund seiner vielen Optionen und allgemeinen Einstellungen ein beliebtes Tool. Oben gibt ein Angreifer die Website ein, an die Anfragen für die Authentifizierung in Nutzerkonten gesendet werden sollen. Zu den weiteren Einstellungen gehören die Liste der Kennwörter und Nutzernamen und die Möglichkeit, eine Liste erfolgreicher Authentifizierungsversuche zu speichern. SentryMBA bietet zudem Timeout-Einstellungen, die den Angreifer davor schützen, entdeckt zu werden. Der gesamte Angriff ist automatisiert, sodass der größte Aufwand im Stehlen der Anmeldedaten besteht. Tools wie SentryMBA können auf dem Computer des Angreifers unbegrenzt ausgeführt werden, bis eine Liste mit erfolgreich kompromittierten Konten erstellt ist.

Manchmal führt der Angreifer die erste betrügerische Account-Übernahmen nicht direkt auf der eigentlichen Zielwebsite durch. Nutzer verwenden häufig dieselben Anmeldeinformationen für mehrere Websites. Das nutzt der Angreifer aus, indem er zuerst eine Website mit schwächeren Cybersicherheitsmaßnahmen und einer geringeren Betrugserkennung anvisiert, um die Anmeldeinformationen zu validieren.

Wenn ein Nutzer dieselben Anmeldedaten auf mehreren Websites verwendet, funktioniert die erfolgreiche Authentifizierung auf einer Website möglicherweise auch auf der Zielwebsite. So könnte ein Angreifer z.B. SentryMBA verwenden, um sich bei einer beliebten Hotel-Website zu authentifizieren, da er weiß, dass die meisten Nutzer einen Account bei bekannten Hotelmarken haben. Wenn die Authentifizierung auf der Hotel-Website erfolgreich ist, könnte sie auch auf einer Bank-Website erfolgreich sein. Indem der Angreifer die Anmeldedaten zuerst auf einer zweiten Website validiert, reduziert er die Anzahl der missglückten Authentifizierungsversuche bei der Zielwebsite und verringert so die Wahrscheinlichkeit, dass er entdeckt wird.

Mit einer Liste erfolgreich authentifizierter Bankkonten haben die Angreifer nun zwei Möglichkeiten: Sie können Geld überweisen oder die validierten Anmeldedaten online verkaufen. Angreifer können Geld vom Bankkonto des Zielnutzers auf ihr eigenes Konto überweisen. Sie können auch Kreditkarten auf den Namen des richtigen Nutzers bestellen und die neuen Karten an die Adresse des Angreifers senden lassen. Wenn die Website nicht über eine geeignete Betrugserkennung verfügt, bemerken die Opfer nicht, dass Geld überwiesen oder Kreditkarten an eine neue Adresse gesendet werden.

Sollten sich die Angreifer dafür entscheiden, die Liste der authentifizierten Konten zu verkaufen, können sie viel Geld für ihre Bemühungen erhalten. Der Wert eines einzigen gehackten Accounts hängt von der Menge der gestohlenen Daten und der Art des Accounts ab. Ein PayPal-Account ist beispielsweise etwa 1.200 US-Dollar wert, während persönliche Daten für 40 bis 200 US-Dollar verkauft werden. Der Wert für Bankkarten liegt zwischen 800 und 1.000 Dollar. Bei Hunderten und potenziell Tausenden von Konten können Angreifer mit dem Verkauf auf Darknet-Märkten somit einen hohen Gewinn erzielen. Zudem ist das Risiko, entdeckt zu werden, im Vergleich zum direkten Diebstahl bei den Opfern geringer.

Betrügerische Account-Übernahmen sind nicht auf Bank- und Kreditkartenkonten beschränkt. Angreifer nutzen auch Prämienkarten und -dienste, einschließlich gespeicherter Punkte auf Hotelkonten und Flugmeilen. Dieser Betrug wird immer beliebter, da Nutzer ihre Prämienkonten im Vergleich zu Kreditkarten und Bankkonten selten auf Betrug überprüfen.

Die Einführung von Darknet-Märkten macht betrügerische Account-Übernahmen für Angreifer sehr attraktiv. Die Betrüger müssen nicht mehr direkt von den Opfern stehlen und setzen sich so weniger Risiken aus. Angreifer können einfach gültige Konten auf Darknet-Märkten kaufen und müssen nicht erst mühsam Passwörter knacken.

Darknet-Märkte erleichtern es den Angreifern, die Nutzer zu bestehlen, aber auch die Zunahme von Finanzkonten und -angeboten heizt den Markt an. Anvisierte Nutzer haben oft viele Finanzkonten auf verschiedenen Websites. Eine höhere Anzahl an Finanzkonten und generell eine stärkere Online-Präsenz bedeuten automatisch eine größere Angriffsfläche für betrügerische Account-Übernahmenn.

Nutzer und Website-Besitzer sollten grundlegende Vorsichtsmaßnahmen ergreifen, um betrügerische Account-Übernahmen zu verhindern. Die Websites von Finanzinstituten und Einrichtungen im Gesundheitswesen stehen häufig im Fokus von Angreifern. Diese Websites verfügen in der Regel über Betrugserkennungssysteme und senden E-Mails an den registrierten Accountinhaber, wenn sich Daten ändern.

Nutzer sollten immer die E-Mails lesen, die von Finanzinstituten gesendet werden, und den Kundendienst anrufen, sobald sie verdächtige Warnmeldungen erhalten. Wenn z.B. neue Kreditkarten verschickt wurden und der Accountinhaber diese nicht angefordert hatte, sollten Sie den Kundendienst konsultieren, um zu überprüfen, ob der Account gehackt wurde.

Wenn Sie dasselbe Passwort für mehrere Konten nutzen, machen Sie es den Angreifern leicht. Verwenden Sie stattdessen für jeden Online-Account ein eindeutiges, starkes Passwort. Um den Überblick über die vielen Passwörter zu behalten, können Sie verschlüsselte Speicherdienste wie LastPass, 1Password oder Bitwarden verwenden. Achten Sie auf Phishing-Angriffe, um nicht Opfer von gestohlenen Zugangsdaten zu werden.

Auch Website-Administratoren müssen Vorkehrungen treffen. Eine Infrastruktur zur Erkennung von Account-Übernahmen sollte eingerichtet werden, um verdächtige Aktivitäten zu erkennen.

Wenn die Systeme Alarm schlagen, sollte die IP-Adresse, von der verdächtige Aktivitäten ausgehen, sofort gesperrt werden. Später können Analysten den Vorfall überprüfen. Zum Beispiel sollte eine ungewöhnlich hohe Anzahl von Authentifizierungsversuchen bei verschiedenen Konten von derselben IP-Adresse und demselben Betriebssystem eine Betrugserkennung auslösen. Analysten können später die protokollierten Aktivitäten überprüfen und feststellen, ob die Website tatsächlich von Betrügern angegriffen wurde.

Anstatt eine IP-Adresse zu blockieren, können Betrugserkennungssysteme auch nach einer bestimmten Anzahl von gescheiterten Authentifizierungsversuchen ein CAPTCHA anzeigen. Das CAPTCHA kann dann für eine bestimmte Dauer aktiviert bleiben.

Der Einsatz von Multifaktor-Authentifizierung (MFA) trägt ebenfalls zum Schutz der Nutzer bei. Angreifer mit funktionierenden Website-Anmeldeinformationen können sich so ohne die an das Smartphone des Nutzers gesendete sekundäre PIN nicht authentifizieren. Das automatische Senden der PIN an das Smartphone des Nutzers warnt den Nutzer auch vor einer potenziellen Account-Übernahme. Der betroffene Nutzer kann dann sein Website-Passwort unmittelbar ändern.

Mit einer besseren Betrugserkennung können Website-Betreiber ihre Kundendaten schützen. Aber auch Kunden können ihren Datenschutz sicherstellen, indem sie:

• sich über die Gefahren und Warnzeichen von Phishing informieren,
• Links in E-Mails genau betrachten, bevor sie sie anklicken,
• eindeutige Passwörter für jeden Online-Account verwenden, und
• immer sichere Kennwörter verwenden, insbesondere auf Websites von Finanzinstitutionen.