Kaspersky Lab warnt
09.04.2019, 14:31 Uhr
Digitale Doppelgänger im Darkweb
Cyberkriminelle haben Verfahren entwickelt, um die Betrugserkennungssysteme von Finanzdienstleistern auszutricksen. Sie erstellen digitale Doppelgänger von Kreditkartenbesitzern und verkaufen diese Identitäten im Darkweb.
Auf der Hehler-Plattform Genesis im Darkweb hat Kaspersky Lab 60'000 gestohlene digitale Masken von Kreditkartenbesitzern gefunden
(Quelle: Kaspersky)
Die IT-Security-Forscher von Kaspersky Lab haben den im Darknet angesiedelten Untergrund-Shop «Genesis» genauer untersucht und sind dabei auf Material gestossen, mit dem Cyberkriminelle perfide Kreditkarten-Betrugsmaschen durchführen können. Auf der Plattform fanden sich nämlich mehr als 60'000 gestohlene, tatsächlich existierende digitale Identitäten, die dort feilgeboten wurden und mit denen Kartenbetrüger die ausgefeilten Betrugserkennungssysteme von Banken umgehen können.
Denn mit den Informationen aus der Hehlerplattform sowie weiteren schädlichen Tools lässt sich das eigentlich zur Betrugsverhinderung gedachte, auf maschinellem Lernen basierende Konzept digitaler Masken (Digital Masks) missbrauchen. Über solche Masken kann jedem Anwender ein eindeutiges, vertrauenswürdiges Profil auf Basis bekannter Geräte- und Verhaltenscharakteristiken zugeordnet werden - ausser es ist ein digitaler Doppelgänger im Spiel.
Digitaler Fingerabdruck als Mittel gegen Betrug
Und so funktioniert die Betrugsverhinderung der Finanzinstitute im Web: Wenn Nutzer bei Online-Transaktionen Finanz-, Zahlungs- oder persönliche Informationen auf einer Webseite eingeben, kommen meist sogenannte Anti-Fraud-Lösungen zum Einsatz, um abzugleichen, ob die User-Daten einer bestimmten digitalen Maske entsprechen.
Diese Masken sind für jeden Anwender individuell. Sie entstehen, indem die vom Nutzer normalerweise beim Banking- beziehungsweise Bezahlprozess auf Geräten oder im Browser hinterlassenen digitalen Fingerabdrücke von Analyse-Systemen mit Hilfe von maschinellen Lernmethoden ausgewertet werden. Die digitalen Fingerabdrücke setzen sich zusammen aus diversen Informationen über den Bildschirm und das Betriebssystem oder Browserdaten wie Header, Zeitzone, installierte Plug-ins und Fenstergrösse. Hinzu kommen individuelle Cookies der Nutzer sowie Daten zu deren Online- und Rechner-Verhalten.
So können Anti-Fraud-Teams von Finanzorganisationen erkennen, ob es sich tatsächlich um einen legitimen Kunden handelt, der seine Zugangsdaten eingibt, oder ob ein Betrüger versucht, sich Waren und Dienstleistungen mit gestohlenen Kreditkartendaten zu erschleichen. Entsprechend wird eine Transaktion akzeptiert, abgelehnt oder einer weiteren Prüfung unterzogen.
Auftritt der digitalen Doppelgänger
Allerdings lassen sich die digitalen Masken auch kopieren oder gänzlich neu anlegen. Laut der Kaspersky-Analyse setzen Cyberkriminelle aktiv auf sogenannte digitale Doppelgänger, um die Anti-Fraud-Lösungen zu überlisten. So entdeckten die Sicherheitsexperten im Februar 2019 im Darknet den bereits erwähnten Marktplatz «Genesis», auf dem digitale Masken und Nutzer-Accounts zu Stückpreisen zwischen 5 und 200 Dollar verkauft werden. Dabei können sowohl bereits gestohlene Masken als auch Zugangsdaten (Benutzername und Passwort) für Online-Shops und Bezahldienstleister erworben werden, mit denen über entsprechende Browser- und Proxy-Einstellungen die Aktivität eines legitimen Anwenders vorgetäuscht werden kann. Mit den passenden Zugangsdaten erhalten Angreifer Zugriff auf Onlinekonten und können neue, eigene Transaktionen im Namen eines mutmasslichen Kunden glaubwürdig ausführen.
«Kartenbetrug ist ganz klar ein weltweiter und wachsender Trend», warnt Sergey Lozhkin, Sicherheitsforscher bei Kaspersky Lab. «Obwohl Unternehmen stark in Anti-Fraud-Lösungen investieren, sind digitale Doppelgänger nur schwer ausfindig zu machen. Um diese Gefahr einzudämmen, muss die Infrastruktur der Betrüger zerschlagen werden. Wir möchten daher Strafverfolgungsbehörden weltweit darauf aufmerksam machen, diese Form des Betrugs stärker ins Auge zu fassen und sich an deren Bekämpfung zu beteiligen», rät Lozhkin.
Tools zur Erstellung von digitalen Masken
Die Security-Forscher von Kaspersky haben im Darkweb nicht nur digitale Doppelgänger entdeckt, sondern auch Tools, um gänzlich neue Masken anzulegen, mit denen dann die Anti-Fraud-Lösungen ausgetrickst werden können. Eines dieser Werkzeuge ist der Tenebris-Browser. Dieses Tool ist mit einem eingebauten Konfigurationsgenerator ausgerüstet, der eindeutige digitale Fingerprints erstellt. Einmal erstellt, kann der Kartenbetrüger die Maske einfach über einen Browser und eine Proxy-Verbindung starten und beliebige Transaktionen online ausführen.
Tipps zum Schutz vor Betrügern
Die Experten von Kaspersky Lab haben zudem eine Reihe von Tipps und Hinweisen erstellt, mit denen man den Kartenbetrügern das Handwerk legen kann. Die Empfehlungen richten sich hauptsächlich an Unternehmen, die Transaktionen im Internet anbieten. Aber auch Endanwender könnten darauf achten, ob der Online-Shop, bei dem die Kreditkartennummer hinterlegt wird, bereits über entsprechende Schutzmassnahmen verfügt.
Firmen sollten demnach:
- Multifaktor-Autorisierung in jeder Phase des Nutzeridentifikations-Prozesses ermöglichen;
- Neue Methoden zur erweiterten Verifikation einführen, zum Beispiel über biometrische Merkmale;
- Neuste Analyse-Methoden für das Nutzerverhalten einsetzen;
- Threat Intelligence Feeds und somit neuste Bedrohungsinformationen in ihr SIEM (Security Information and Event Management) und in andere Sicherheitskontrollen integrieren.