Gefahr durch Kontoübernahme (ATO)

Vor zehn Jahren drehte sich bei der Betrugsbekämpfung alles um Rückbuchungen und den Checkout. Vor fünf Jahren lag der Schwerpunkt immer noch auf demselben Thema, auch wenn sich allmählich Nuancen eingeschlichen haben. Doch je besser die Betrugsbekämpfung beim Schutz der Kasse wurde, desto aktiver und kreativer suchten die Betrüger nach anderen Möglichkeiten für Online-Angriffe, berichten die Experten von Forter.

Die Betrüger konzentrieren sich nicht mehr nur auf den Checkout, sondern auf die gesamte Customer Journey. Und Kontoübernahme (Account Takeover, ATO)  ist ein wichtiger Teil davon.

Konten sind für Betrüger aus denselben Gründen attraktiv, aus denen Kunden sie überhaupt haben wollen: Sie erleichtern die Interaktion mit Online-Unternehmen, sei es beim Einkaufen, beim Speichern und Einlösen von Treuepunkten, bei der Verwendung von Geschenkkarten oder bei der Nutzung von Werbeaktionen. Für den Verbraucher bedeutet das Bequemlichkeit und Rabatte. Für den Betrüger hingegen bedeutet es Zugang zu einer Fülle von Möglichkeiten, die durch den guten Ruf des Kontos mit einem Mantel der Legitimität umhüllt sind.

Die COVID-19-Pandemie hat der ATO – wie so vielen Aspekten des digitalen Handels – zusätzlichen Auftrieb gegeben, weil plötzlich viel mehr Menschen online waren und neue Konten bei Shops und Apps anlegten, die sie nie zuvor besucht hatten. Einige dieser Konten wurden nach einer Weile inaktiv, und einige sind im Besitz von Personen, die keine digitalen Eingeborenen sind und ihre Konten wahrscheinlich nicht mit ausreichend starken, eindeutigen Passwörtern schützen können, ganz zu schweigen von der Multi-Faktor-Authentifizierung (MFA) oder sogar bemerken, wenn ein Fremder in ihr Konto eingecheckt hat.

Einzelhändler haben immer noch mit den Folgen zu kämpfen, da ATO-Angriffe es auf wertvollere Artikel als je zuvor abgesehen haben und die Betrüger immer dreister werden. Im Netzwerk von Forter haben wir festgestellt, dass der durchschnittliche Bestellwert von Artikeln bei ATO-Angriffen um 51 % gestiegen ist.

Handelstrends aufspüren

Betrüger sind oft sehr klug, wenn es um Marktentwicklungen geht. Während ATO in vielen Branchen zunimmt – von der Lieferung über Bekleidung bis hin zu digitalen Gütern, Reisen und Kryptowährungen – verzeichnete die Schönheitsbranche einen alarmierenden Anstieg von 94 %.

Das Interessante an dieser Entwicklung ist, dass sie zeigt, wie Betrüger arbeiten, die immer auf der Suche nach neuen Trends sind, um diese zu nutzen. Früher waren Schönheit und Kosmetik ein persönliches Erlebnis. Die Kunden probierten gerne verschiedene Produkte aus, bevor sie sie kauften, ließen sich von den Mitarbeitern im Geschäft über Farben, Düfte und Techniken beraten usw.

All das ist auch heute noch so – aber das Online-Shopping, das während der Pandemie unverzichtbar wurde, erfreut sich immer größerer Beliebtheit. Die Vorhersagen, dass die Menschen so schnell wie möglich zu persönlichen Erfahrungen zurückkehren würden, haben sich nicht bewahrheitet; der digitale Handel behauptet sich nicht nur, sondern nimmt bei vielen Einzelhändlern sogar noch zu.

Ein Grund für die anhaltende Beliebtheit des digitalen Schönheitshandels sind die Exklusivität und die Sonderangebote, die mit Online-Konten verbunden sind. Kosmetikmarken wecken Loyalität und Begeisterung für ihre Produkte durch sorgfältig zusammengestellte Programme, die Kunden begeistern – und Betrügern fantastische Möglichkeiten bieten.

Doch die Schönheitsbranche ist nicht die einzige Branche, in der Betrüger die allgemeinen Trends des digitalen Handels verfolgen und ihr Wissen für effektivere Angriffe nutzen. Die Bekleidungsbranche wächst ebenso wie die Schönheitsbranche weiter, wobei einige Marken sogar den Kauf und die Interaktion über Apps in den Einkaufsprozess in physischen Geschäften einbeziehen. Es überrascht daher nicht, dass ATO gegen Bekleidungsmarken weiter zunimmt, mit einem Anstieg von 28 % im Vergleich zu 2021.

Dies veranschaulicht eine Lektion, die Betrugsbekämpfer niemals vergessen dürfen: Es reicht nicht aus, die eigenen Zahlen zu kennen. Betrüger reagieren auf breitere Markttrends, was bedeutet, dass wir die Trends verfolgen müssen, die unsere Branche und sogar andere Branchen betreffen, um vorbereitet zu sein.

Betrugsprävention: Kontinuierlich reifen und sich weiterentwickeln

Da sich der Betrug weiterentwickelt, wird das Wettrüsten unweigerlich weitergehen. Die angegriffenen Branchen werden sich in Abhängigkeit von äußeren Faktoren weiter verändern, und die Art und Weise, wie Betrüger Konten angreifen, wird sich ändern, da sie Wege finden, unsere neuesten Präventionsmaßnahmen zu umgehen.

Was können Sie also tun, um Ihr Unternehmen vor ATO zu schützen? Jedes Unternehmen ist natürlich anders, und die Maßnahmen zur Betrugsbekämpfung müssen dementsprechend angepasst werden.

Bekämpfen Sie ATO schon im Vorfeld. Warten Sie nicht bis zur Kasse, sondern beginnen Sie mit dem Schutz des Anmeldevorgangs. Der Schutz des Anmeldevorgangs entlastet die Kasse erheblich. Forter hat eine kontinuierliche Verringerung von ATO an der Kasse um etwa 35 % festgestellt, allein dadurch, dass Händler einen Anmeldeschutz hinzugefügt haben.

Blockieren Sie bösartige Bots. Bots werden für Checkout, ATO, Kontoerstellung und mehr verwendet. Wenn Sie anfangen, Bots effektiv zu blockieren, nehmen die Versuche drastisch ab. Bot-Entwickler arbeiten gerne in großem Stil – das ist die ganze Mentalität hinter diesem Angriff. Wenn sie einmal durchgeschlüpft sind, werden sie immer weiter machen. Wenn Sie ihnen zeigen, dass sie mit Ihrer Website oder App keinen Erfolg haben werden, ziehen sie einfach weiter und erleichtern Ihnen die Arbeit, indem sie den Lärm reduzieren und die gesamte Customer Journey schützen.

Verwenden Sie dynamische Friktion bei der Anmeldung. Sie müssen sich nicht entscheiden, ob Sie jemanden sofort auf ein Konto zugreifen lassen oder ob Sie die Friktion großflächig anwenden. Der gezielte Einsatz von Reibungsverlusten – nur wenn es angebracht ist – gibt dem Kunden die Chance, sich zu beweisen (viel besser als ihn zu sperren!) und stellt sicher, dass Sie nicht die falsche Person hereinlassen.  Effektiv kann die Implementierung von MFA für Händler sein. Etwa zwei Drittel der MFA-Betrügereien schlugen fehl, was bedeutet, dass die Sperre gut war, während das verbleibende Drittel den Wall überwand.

Das Interesse von Betrügern an Konten und der gesamten Customer Journey ist ungebrochen. Und auch wenn sich diese Entwicklung fortsetzen wird, gibt es viele Möglichkeiten, wie Sie sich – und Ihre Kunden – langfristig schützen können.