SECURITY12. April 2019

Kartenbetrug durch digitale Doppelgänger: Kaspersky Lab warnt vor neuer Betrugswelle

SW-EviL / Bigstock.com

Ein Online-Shop im Darknet verkauft zehntausende digitale Doppelgänger zur Umgehung gängiger Anti-Fraud-Lösungen. Was wie der Plot eines Sci-Fi-Films klingt, könnte schon bald Banken, Payment-Unternehmen und Anbietern von Finanztransaktionen ernsthafte Probleme bereiten. Denn die Strategie rund um den Kartenbetrug durch Doppelgänger-Profile ist geschickt und zielt auf eine Achillesferse gängiger Fraud-Detection-Lösungen ab.

Der russische IT-Sicherheits-Anbieter Kaspersky Lab berichtet über eine im Darknet angesiedelte Plattform namens „Genesis“, einen Underground-Online-Shop, der mehr als 60.000 gestohlene, tatsächlich existierende digitale Identitäten anbietet. Mit diesen kann der Kreditkartenbetrug wesentlich erleichtert werden, denn über den Marktplatz lässt sich mit Hilfe weiterer schädlicher Tools das eigentlich zur Betrugsverhinderung gedachte, auf maschinellem Lernen basierende Konzept digitaler Masken (Digital Masks)  missbrauchen. Über solche Masken kann jedem Kunden ein eindeutiges, vertrauenswürdiges Profil auf Basis bekannter Geräte- und  Verhaltenscharakteristiken zugeordnet werden – außer es ist ein digitaler Doppelgänger im Spiel.

Wenn Nutzer bei Online-Transaktionen Finanz-, Zahlungs- oder persönliche Informationen auf einer Webseite eingeben, werden die Daten meist mit Hilfe analytischer und auf maschinellem Lernen basierender Anti-Fraud-Lösungen gescannt. Ziel ist dabei der Abgleich, ob die User-Daten einer bestimmten digitalen Maske entsprechen. Diese Masken sind für jeden Anwender individuell; sie bringen die vom Nutzer normalerweise beim Banking – beziehungsweise Bezahlprozess auf Geräten oder im Browser hinterlassenen digitalen Fingerprints – wie Informationen über den Bildschirm und das Betriebssystem oder Browserdaten wie Header, Zeitzone, installierte Plug-ins und Fenstergröße – mit fortschrittlichen Analyse- und maschinelle Lernmethoden zusammen. Dazu gehören zum Beispiel individuelle Cookies der Nutzer sowie deren Online- und Rechner-Verhalten.

So können Anti-Fraud-Teams von Finanzorganisationen meist zweifelsfrei anhand von Wahrscheinlichkeitsrechnungen erkennen, ob es sich tatsächlich um einen legitimen Kunden handelt, der seine Zugangsdaten eingibt, oder ob ein krimineller Carder versucht, sich Waren und Dienstleistungen mit gestohlenen Kreditkartendaten zu erschleichen. Entsprechend wird eine Transaktion akzeptiert, abgelehnt oder einer weiteren Prüfung unterzogen.

Kunden, die mit Canvas-Add-ons im Browser arbeiten, um eben jenen digitalen Fingerabdruck zu verschleiern oder gar nicht erst zu ermöglichen, werden (sofern das Add-on das wirklich rückstandslos tut, was eher selten ist) zwar auf diese Weise nicht getrackt, können aber auch in positiver Hinsicht nicht wieder erkannt werden (und müssen daher damit rechnen, dass eine entsprechende Transaktion mangels Daten als weniger zuverlässig eingestuft wird).

Kaspersky warnt vor Kartenbetrug und der Gefahr digitaler Doppelgänger

Allerdings lassen sich die digitalen Masken auch kopieren oder gänzlich neu anlegen – und das erfolgt in diesem Fall. Laut der Kaspersky-Analyse setzen Cyber-Kriminelle nämlich aktiv auf sogenannte digitale Doppelgänger, um fortschrittliche Anti-Fraud-Lösungen zu überlisten. So entdeckten die Sicherheitsexperten im Februar im Darknet einen Marktplatz namens Genesis, auf dem derartige digitale Masken und Nutzer-Accounts zu Stückpreisen zwischen fünf und 200 US-Dollar verkauft werden. Dabei können sowohl bereits gestohlene Masken als auch Zugangsdaten (Benutzername und Passwort) für Online-Shops und Bezahldienstleister erworben werden, mit denen über entsprechende Browser- und Proxy-Einstellungen die Aktivität eines legitimen Anwenders vorgetäuscht werden kann. Mit den passenden Zugangsdaten erhalten Angreifer Zugriff auf Online-Konten und können neue, eigene Transaktionen im Namen des mutmaßlichen Kunden glaubwürdig ausführen.

Kartenbetrug ist ganz klar ein weltweiter und wachsender Trend. Obwohl Unternehmen stark in Anti-Fraud-Lösungen investieren, sind digitale  Doppelgänger nur schwer ausfindig zu machen. Um diese Gefahr einzudämmen, muss die Infrastruktur der Betrüger zerschlagen werden. Wir möchten daher Strafverfolgungsbehörden weltweit darauf aufmerksam machen, diese Form des Betrugs stärker ins Auge zu fassen und sich an deren Bekämpfung zu beteiligen.“

Sergey Lozhkin, Sicherheitsforscher bei Kaspersky Lab

Mit zusätzlichen Utilities können Angreifer auch gänzlich neue digitale Masken anlegen, um Anti-Fraud-Lösungen zu überlisten, also eine Person zu definieren, die es in dieser Form gar nicht gibt. Die Kaspersky-Experten haben mit dem Tenebris-Browser eines dieser Tools identifiziert und analysiert, das mit einem eingebauten Konfigurationsgenerator ausgerüstet ist, der eindeutige digitale Fingerprints erstellt. Einmal erstellt, kann der Carder die Maske einfach über einen Browser und eine Proxy-Verbindung nutzen und beliebige Transaktionen online ausführen.

Banken und Payment-Dienste sollten die Gefahr digitaler Doppelgänger zumindest kennen, auch wenn sie in vielen Fällen ihre Anti-Fraud-Detection einem Dienstleister überlassen. Wenn die Browser- und Geräteinformationen in Kombination mit entsprechenden Cookies nicht mehr zweifelsfrei dazu herangezogen werden können, Rückschlüsse über die Echtheit eines Nutzers zu tätigen, dann braucht es zumindest zusätzlich noch weitere Elemente der Betrugsbekämpfung.tw

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert