Unternehmen sehen sich einer wachsenden Bedrohung durch Account-Seize-Angriffe ausgesetzt, da Betrüger immer raffinierter werden und sich den technologischen Fortschritt zunutze machen. Diese Woche lüften wir den Vorhang, um uns diese Angriffe genauer anzusehen und zu zeigen, wie Sie sie in Ihre Betrugsschutzstrategie integrieren können.
Betrugs-Trivia: Phishing
Phishing ist eine weit verbreitete Artwork von Sozialtechnik die darauf abzielt, Daten vom Nachrichtenempfänger zu stehlen. Typischerweise umfassen diese Daten persönliche Informationen, Benutzernamen und Passwörter und/oder Finanzinformationen. Phishing wird immer wieder als eine der Die fünf häufigsten Arten von Cybersicherheitsangriffen.
1. Was sind die vier Arten von Phishing? Spear, Whaling, Smishing und Vishing. Einige Hear fügen auch E-Mail und Suchmaschine als Kategorie hinzu.
2. Was ist Evil-Twin-Phishing? Ein Cyberangriff, bei dem ein Hacker einen gefälschten WLAN-Zugangspunkt erstellt, der ein legitimes Netzwerk imitiert und Benutzer dazu verleitet, eine Verbindung herzustellen.
3. Was ist Walfang? Ein Whaling-Angriff ist eine Artwork Spear-Phishing-Angriff, der sich gegen Führungskräfte der oberen Ebene richtet. Dabei geben sich die Angreifer als legitime, bekannte und vertrauenswürdige Personen aus und fordern die Opfer auf, äußerst vertrauliche Informationen preiszugeben.
4. Woher stammt das Wort Phishing? Der berühmte Hacker und Spammer Khan C. Smith gilt als Erfinder des Begriffs Phishing. Er führte den Begriff „Phishing“ erstmals in der Usenet-Newsgroup ein, nachdem AOL Maßnahmen eingeführt hatte, um die Verwendung gefälschter, algorithmisch generierter Kreditkartennummern zum Eröffnen von Konten zu verhindern.
Um bei unserem Thema zu bleiben und einen Blick hinter die Kulissen zu werfen, müssen wir auf Cyberbetrug aufmerksam machen, der durch die Übernahme von Konten verübt wird.
Account-Take-Over-Angriffe gefährden den Geschäftserfolg
Was ist ein Account-Takeover-Angriff (ATO)? Ein Account-Takeover-Angriff liegt vor, wenn ein böswilliger Akteur unbefugten Zugriff auf die Kontoanmeldeinformationen eines Benutzers erhält und die Kontrolle über das Konto übernimmt, um Betrug, Datendiebstahl oder andere böswillige Aktivitäten zu begehen. Andere ATO-Schemata für Unternehmen sind Credential Stuffing, Malware-Angriffe, Man-in-the-Center-Angriffe (MitM) und SIM-Kartentausch.
Dies kann alles im Hintergrund geschehen, ohne dass der Kontoinhaber etwas davon bemerkt. Es passiert Einzelpersonen, was verheerend sein kann. Aber es passiert auch Unternehmen jeder Größe, die Gewinne abzweigen und möglicherweise großen Schaden anrichten.
Es gibt viele Gründe, warum ich mich entschieden habe, über dieses Thema zu schreiben. Erstens schlug mir meine Freundin Sheila Sellers vor, einen Weblog über Kontoübernahmen zu schreiben. Zweitens suche ich immer nach Betrugsfällen in dem jeweiligen Land, wenn ich zu Vorträgen ins Ausland reise. Das häufigste Thema ist die Kontoübernahme. Und schließlich ist die Kontoübernahme ein wichtiges Thema bei der Bewertung von Betrugsrisiken.
Bei der Betrugserkennung beginnt man damit, den Täter zu identifizieren. Der nächste Schritt besteht darin, die Raffinesse des Täters einzustufen. Bei der Übernahme eines Firmenkontos ist der Täter nicht Teil Ihrer Organisation und höchstwahrscheinlich Teil einer kriminellen Gruppe. Wir können davon ausgehen, dass er sehr raffinierte Betrugsmethoden anwendet und keine Angst hat, erwischt zu werden. Und das trotz der jüngsten Leitlinien zum Betrugsrisikomanagement, die darauf hinweisen, dass es abschreckend wirkt, erwischt zu werden.
Account Take Over kann dann mit jedem Geschäftssystem und höchstwahrscheinlich jedem Betrugsschema verknüpft werden. Könnte ein Hacker einen Mitarbeiter (Geistermitarbeiter) hinzufügen oder einen Scheinlieferanten einrichten und einfach Ihr Bankkonto leeren? Ja, mit allen.
Nur ein paar beängstigende Statistiken zu diesem Thema
Juniper Analysis geht davon aus, dass die weltweiten Verluste durch On-line-Zahlungsbetrug zwischen 2023 und 2028 die Marke von 362 Milliarden US-Greenback übersteigen werden. Allein im Jahr 2028 wird mit einem Verlust von sage und schreibe 91 Milliarden US-Greenback gerechnet.
Insbesondere im elektronischen Handel ist ein deutlicher Anstieg betrügerischer Aktivitäten zu verzeichnen. Laut Forbes dürften im Jahr 2023 durch Betrug Verluste in Höhe von 48 Milliarden US-Greenback entstehen.
Laut Aberdeen können Unternehmen im Finanzdienstleistungssektor durch ATO-Angriffe bis zu 8,3 % ihres Jahresumsatzes verlieren.
Man schätzt, dass in der Marktüberblick zur Cybersicherheit dass im ersten Quartal 2022 die On-line-Betrugsangriffe weltweit um 233 % zunahmen. Im gleichen Zeitraum nahm die Zahl der On-line-Transaktionen nur um 65 % zu.
Laut Irregular sind etwa 26 % der Unternehmen das Ziel wöchentlicher ATO-Angriffsversuche.
Additionally, was sollen wir tun?
Unsere Fähigkeit, dieses Betrugsrisiko zu managen, beruht auf einer Kombination aus IT-Sicherheitskontrollen und unseren traditionellen Geschäftskontrollen. Doch bevor Sie mit der Welt der internen Kontrollen beginnen, möchte ich noch einmal betonen, dass Sie sich auf den Weg des Wissens begeben sollten. Dann und nur dann werden Sie in der Lage sein, hinter die Kulissen zu blicken.
Zunächst müssen Sie die neuesten Richtlinien des Federal Monetary Establishments Examination Council zu den Risiken und Risikomanagementkontrollen verstehen, die für die Authentifizierung von Diensten in einer Web-Banking-Umgebung erforderlich sind. Für diejenigen unter Ihnen, die mit dem Akronym FFIEC nicht vertraut sind:
Der Federal Monetary Establishments Examination Council (FFIEC) veröffentlicht im Namen seiner Mitglieder1 diese Leitlinien mit dem Titel „Authentifizierung und Zugriff auf Dienste und Systeme von Finanzinstituten“ (die Leitlinien), um Finanzinstituten Beispiele für wirksame Grundsätze und Praktiken des Risikomanagements für Zugriff und Authentifizierung zu liefern. Diese Grundsätze und Praktiken richten sich an Geschäfts- und Privatkunden, Mitarbeiter und Dritte, die auf digitale Bankdienstleistungen und Informationssysteme von Finanzinstituten zugreifen.
Der zweite Schritt sollte darin bestehen, die Gerichtsverfahren im Zusammenhang mit Kontoübernahmen und Banken zu überprüfen. Hier sind zwei davon:
Selection Escrow and Land Title, LLC, Kläger – Berufungskläger/Gegenberufungsbeklagter, gegen BancorpSouth Financial institution
Berufungsgericht der Vereinigten Staaten für den achten Gerichtsbezirk
754 F.3d 611 (2014)
„Selection Escrow and Land Title, LLC (Selection) (Kläger) unterhielt ein Konto bei Bancorpsouth Financial institution (Bancorpsouth) (Beklagter). Bancorpsouth bot vier Sicherheitsverfahren zum Schutz vor Betrug an: einen Benutzernamen und ein Passwort für jeden On-line-Benutzer; Geräteauthentifizierung; Dollarlimits für Transaktionen; und ein System mit doppelter Kontrolle. Das System mit doppelter Kontrolle erforderte die Genehmigung von zwei eindeutigen Benutzern zur Authentifizierung einer Zahlungsanweisung. Selection lehnte die Sicherheitsmaßnahme mit doppelter Kontrolle ab. Ein Dritter hackte sich in das On-line-Bankkonto von Selection ein und ordnete eine Überweisung von 440.000 Greenback an. Bancorpsouth bearbeitete die Überweisung. Selection erhob Klage gegen Bancorpsouth und versuchte, das verlorene Geld zurückzuerhalten. Das Bezirksgericht gab Bancorpsouths Antrag auf ein summarisches Urteil statt. Selection legte Berufung ein.“
Jetzt, da Sie wissen, wie ein Gericht in dieser Angelegenheit entschieden hat, verfügen Sie über Branchenkenntnisse. Nein, ich erwarte nicht, dass Sie Anwalt sind. Aber hier sind die Fragen, die Sie stellen sollten:
- Hat Ihr Unternehmen alle vom Finanzinstitut angebotenen Sicherheitsprotokolle implementiert?
- Wenn nicht, hat das Administration diese Entscheidungen auf der oberen Führungsebene oder auf Vorstandsebene kommuniziert?
Urteil zu ACH-Betrug bei PATCO Development aufgehoben
Berufungsgericht bezeichnet Sicherheit der Financial institution als „kommerziell unvernünftig“
In dem 43 Seiten langen Urteil werden die Sicherheitsmaßnahmen der Financial institution als „kommerziell unvernünftig“ bezeichnet. Das Institut hätte die betrügerischen Transaktionen, durch die im Jahr 2009 über 500.000 Greenback vom Geschäftskonto von PATCO abgeflossen waren, erkennen und stoppen müssen.
Hier bei den Fragen sollten Sie Angaben zu Ihrem Finanzinstitut machen.
- Nutzt Ihr Unternehmen ein Finanzinstitut, das FFIEC-konform ist?
- Hat Ihr Finanzinstitut Ihrem Unternehmen schriftlich Stellung genommen?
- Wenn nicht, warum nutzen Sie dieses Finanzinstitut?
Der letzte Schritt besteht darin, Ihren Vertrag mit Ihrer Financial institution zu überprüfen. Welche Verpflichtungen hat die Financial institution in Bezug auf die Sicherheit? Erfüllt Ihre Financial institution die FFIEC-Vorschriften? Hat Ihr Unternehmen auf die Implementierung von Sicherheits-/Kontrollfunktionen verzichtet, die von der Financial institution vorgeschlagen oder angeboten wurden?
Mir ist klar, dass diese Empfehlungen vielleicht USA-bezogen klingen. Aber jedes Land hat seine eigenen Gesetze und Gerichtsurteile. Sie müssen ein wenig recherchieren, um die länderspezifischen Gesetze und Richtlinien zu erfahren.
Ein letzter Gedanke zu diesem Thema: „Auch wenn sich die Cybersicherheit weiterhin sprunghaft verbessert, zeigt die Geschichte, dass manche Leute vor nichts Halt machen, bis sie einen Weg gefunden haben, die Mausefalle zu überwinden, egal, wie intestine sie ist.“ Um eine Analogie zu verwenden (mein guter Freund Larry Harrington hat das einmal zu mir gesagt): Die Betrugsrisikominderung in diesem Bereich wäre so, als würde man versuchen, den Reifen eines Autos zu wechseln, das mit 160 km/h fährt.
Abschließend stellt sich die Frage, ob wir unser Geld für die interne Kontrolle eher für die Prävention oder für die Aufdeckung ausgeben.
Betrugstrivia: Hacks und Hacker
1. Wer wird der Gott der Hacker genannt?
2. Welches Land liegt laut PLOS ONE bei der Internetkriminalität auf Platz eins?
3. Welcher Hacker conflict die Inspiration für den Movie „Warfare Video games“?
4. Was ist Hacktivismus??
5. Was ist der Unterschied zwischen Hackern und Hacktivismus?
Discussion about this post