Stoppen Sie Betrug, ohne die Abläufe für Kunden zu erschweren

Wie man moderne Cyberangriffe erkennt und abwehrt

Da die digitale Transformation in einem noch nie dagewesenen Tempo voranschreitet, finden strategische Initiativen wie Umsatzerfassung, Treueprogramme und Marketingkampagnen nun hauptsächlich online statt.

Immer öfter gelingt es Hackern, sich unbefugt Zugang dazu zu verschaffen, was zu Kontoübernahmen (ATO), betrugsbedingten Verlusten und Rufschädigungen führt. Jedes Unternehmen, das E-Commerce-Anwendungen betreibt oder wertvolle Benutzerkonten verwaltet, ist ein Ziel.

Die attraktive Rentabilität des Online-Betrugs

Angreifer treffen die Entscheidung, wie sie ihre Zeit und ihre Ressourcen investieren, auf ähnliche Weise, wie Sie vielleicht die Kosten einer wichtigen Anschaffung gegen deren Wert abwägen. Lässt sich ein Ziel sehr kostengünstig kompromittieren und ist sein Wert astronomisch hoch, so fällt die Entscheidung leicht. Ist ein Ziel dagegen sehr wertvoll und gut bewacht ist, erfordert ein Angriff höhere Investitionen, wodurch die Kosten einer erfolgreichen Kompromittierung höher sind.

Heutzutage haben Angreifer Zugang zu leicht verfügbaren Tools, Infrastruktur und kompromittierten Daten, wodurch es oft nur ein paar Cent kostet, hochwertige Daten durch Automatisierung zu stehlen. Je weiter die Technologie voranschreitet, desto geringer werden die Kosten selbst bei schwer zugänglichen Zielen. Wie schaffen Sie es also, Angreifer davon abzubringen, Ihre Website ins Visier zu nehmen? Lassen Sie sie im Ungewissen.

Neue Strategien zur Demotivierung von Angreifern finden Sie in dem E-Book Die Wirtschaftlichkeit von Angriffen: Kosten-Nutzen-Analyse aus Sicht eines Hackers

Ein berühmter Bankräuber, Willie Sutton, brachte in den frühen 1900er-Jahren im Laufe seiner 40-jährigen Karriere geschätzte 2 Millionen Dollar an sich. Auf die Frage, warum er Banken ausraube, antwortete er: „Weil dort das Geld liegt.“ Wäre Willie Sutton heute noch am Leben, könnten wir sicher davon ausgehen, dass er keine Banken mehr ausrauben würde. Er hätte es auf Anwendungen abgesehen.

Das Betrugsgeschäft läuft besser (und smarter ab) als je zuvor

Dank der niedrigen Einstiegshürden und des einfachen Zugangs zu Ressourcen ist der Online-Betrug zu einem florierenden Geschäft geworden, und der Prozess zur Gewinnung personenbezogener Daten (PII) hat industrielle Ausmaße erreicht. Allein in den letzten sieben Jahren wurden mehr als 30 Milliarden Datensätze ausgespäht.

Der Status quo ist inakzeptabel. Obwohl die geschätzten Verluste durch Online-Betrug schwindelerregend hoch sind, bilden Unternehmensleiter oft Rücklagen für zu erwartende Ausgleichsbuchungen. Außerdem können Sicherheitskontrollen, durch die Betrüger ausgebremst werden sollen, echte Kunden behindern, was zu abgebrochenen Transaktionen und Umsatzeinbußen führt.

Um kritische Vermögenswerte vor raffinierten Cyberkriminellen zu schützen und den Erfolg strategischer Geschäftsziele zu gewährleisten, müssen sich Unternehmen an die Entwicklung der Angreifer anpassen.

White Paper der Aite Group – Die Industrialisierung des Betrugs: Feuer mit Feuer bekämpfen

Heutzutage sind die meisten Website-Besucher keine Menschen, sondern Bots.

Obwohl es durchaus gutartige Bots wie etwa Chatbots oder Suchmaschinen gibt, handelt es sich bei den meisten um bösartige Bots, die von böswilligen Angreifern verwendet werden, um sich unbefugt Zugang zu verschaffen, Kundenkonten zu übernehmen und sogar Betrug zu begehen, während sie das Kundenerlebnis untergraben. Sie entwickeln sich ständig weiter, um das Benutzerverhalten zu imitieren und gängige Gegenmaßnahmen wie CAPTCHA zu umgehen. Hier finden Sie einige der aktuellsten Trends in Sachen automatisierte Angriffe und Tipps, wie Sie sich dagegen wehren können.

Credential Stuffing: Wenn böswillige Akteure echte Kunden kompromittieren

Mindestens neunzig Prozent des Online- und mobilen Datenverkehrs eines Unternehmens können von Cyberkriminellen stammen, die automatisierte Angriffe mit der Absicht durchführen, Kundendaten zu stehlen und Betrug zu begehen.

Diese als „Credential Stuffing“ bekannten Angriffe können zu Kontoübernahmen und schweren betrügerisch herbeigeführten Verlusten führen, während sie sich auch negativ auf die Leistung der jeweiligen Anwendung auswirken und die Analysen verzerren. Und als ob das noch nicht genug wäre, zielen diese Angreifer auch darauf ab, das Vertrauen Ihrer Kunden zu missbrauchen, indem sie Geld und Punkte aus Treueprogrammen abzweigen.

98,5 % der Anfragen an ein Kundentreueprogramm stellten sich als Angriffe heraus.

Die Lösungen von Shape, als Teil von F5, folgen bei der Vereitelung von Credential Stuffing einem mehrstufigen Ansatz und schützen auf diese Weise über 4 Milliarden Transaktionen pro Woche.

Bei jeder Verbindung zu einer Website oder Anwendung weist Shape jedem Gerät, das Ihre Website besucht, eine Geräte-ID zu. Dabei handelt es sich um eine eindeutige Kennung, die in Echtzeit unter Verwendung fortschrittlicher Signalerfassung und maschineller Lernalgorithmen erstellt wird. Anhand dieser eindeutigen Kennung und anderer Signale können die Lösungen von Shape Versuche, ausgespähte Anmeldeinformationen zu verwenden, in Echtzeit identifizieren und stoppen und so Bots, die menschliches Verhalten nachahmen, sowie Betrüger, die Anwendungen manuell hacken, um den Automatisierungsschutz zu umgehen, blockieren.

Shape Enterprise Defense: Lösungsübersicht

Shape schützt als Teil von F5 im Auftrag der größten Unternehmen der Welt über 4 Milliarden Transaktionen pro Woche vor ausgeklügelten Angriffen.

CAPTCHA und andere Mythen der Cybersicherheit, die Ihrem Unternehmen schaden

Nutzen Sie auf Ihren Websites CAPTCHA, um automatisierte Angriffe zu entschärfen? Wenn ja, dann funktioniert es wahrscheinlich nicht und könnte unbeabsichtigte Folgen haben, wie z. B. Kaufabbrüche aufgrund von Ablaufunterbrechungen. Und mit der steigenden Zahl an Drittanbieterdiensten zur automatisierten oder von Menschen betriebenen Lösung von CAPTCHA-Aufgaben ist es immer einfacher geworden, CAPTCHA zu umgehen. Ihre Web- und mobilen Anwendungen benötigen einen besseren Schutz.

Das Letzte, was Sie tun wollen, ist es, reale Geschäftsentscheidungen und Sicherheitsergebnisse auf einen Mythos zu stützen, selbst wenn er überzeugend klingt.

Mythen der Cybersicherheit, die Ihrem Unternehmen schaden

Einzelhändler verhindert Betrug, ohne Abläufe für Kunden zu erschweren

Eine nordamerikanische Einzelhandelskette, die für ihr luxuriöses Produktangebot und ihr reibungsloses Online-Erlebnis bekannt war, zeigte sich besonders stolz auf das tolle Einkaufserlebnis, das sie ihren Kunden bot. Doch genau dieses optimierte System des Unternehmens wurde von Angreifern heimgesucht und für automatisierte Angriffe missbraucht. 

Nach erfolglosen Versuchen, die Angreifer mit herkömmlichen Gegenmaßnahmen (CAPTCHA, Sperren von IP-Adressen usw.) zu bekämpfen, wandte sich der Einzelhändler den Lösungen von Shape zu. Nach einer dreiwöchigen Beobachtungsphase ging man mit der Abwehr in den Live-Betrieb, und die Ergebnisse waren sofort klar erkennbar.

Vom ersten Tag an, an dem Shape in den Blockiermodus ging, konnten wir einen Rückgang an automationsgestützten Betrugsfällen von fast 100 % verzeichnen.

IT-Vorstand eines nordamerikanischen Einzelhändlers

Während Kunden loyal sind, sind Betrüger es nicht; sobald sie von uns gestoppt wurden, verschwanden sie von der Bildfläche.

IT-Vorstand eines nordamerikanischen Einzelhändlers

Ein adaptiver Sicherheitsansatz

In den darauffolgenden 30 Tagen ersparte sich der Einzelhändler über 500.000 US-Dollar an betrugsbedingten Verlusten, die durch Kontoübernahmen und das Knacken von Geschenkgutscheinen entstanden wären. Die Angreifer versuchten, die Schutzmaßnahmen von Shape mit neuen Tools zu umgehen, konnten jedoch von Shape, das Hunderte von Netzwerk-, Geräte- und Umgebungssignalen verfolgt, problemlos ausfindig gemacht und erneut blockiert werden.

Da die automatisierten Angriffe von Shape abgewehrt wurden, wurden die Ursprungsserver nur noch von menschlichen Besuchern erreicht – das entspricht lediglich 1 % der vorherigen Last. Durch die Reduzierung um 99 % des Datenverkehrs nahm Shape „eine riesige Last von unserer Infrastruktur, was sich unmittelbar positiv auf den Umsatz auswirkte.“

Einzelhändler löst Datenspitzen durch Sneaker-Bots und behebt Probleme wie Betrug, Unterbrechungen und Fälschungen

Dieser Einzelhändler hat seinen Erfolg nicht nur den ursprünglichen Abwehrmaßnahmen zu verdanken, sondern auch der Fähigkeit der Lösung, sich an veränderte Angriffstaktiken anzupassen. Böswillige Akteure finden einen Weg, statische Sicherheitsmaßnahmen zu umgehen, wenn das Ziel nur attraktiv genug ist. Tatsächlich nutzen Angreifer inzwischen lernfähige KI-Modelle (künstlichen Intelligenz) zur Umgehung von Sicherheitsvorkehrungen. Unternehmen, und vor allem solche, die im Besitz hochsensibler Kundendaten sind, müssen Geschäfts- und Technologiepartner weiterhin in die Pflicht nehmen, um die Sicherheit und Integrität der Anwendung auch nach ihrer Einführung zu gewährleisten.

Bericht über fingierte Reservierung: Die Macht der Signale und der gemeinsamen Nutzung von Daten zur Abwehr von Angriffen auf Anwendungen

Als die Verteidigungsmaßnahmen zur Abwehr böswilliger Verhaltensweisen immer besser wurden, reagierten die Angreifer mit der Entwicklung von Tools, die einzelne Benutzer mit all ihren Eigenheiten instrumentalisieren und imitieren können.

Den sich ändernden Angriffsstrategien immer einen Schritt voraus zu sein wird auch weiterhin eine fortwährende Herausforderung bleiben.

Dass sich die Betrugsabwehr weiterentwickelt, immer raffiniertere Automatisierungsmethoden blockiert werden und die Rentabilität von botbasierten Betrügereien sinkt, wird die Angreifer nicht dazu bringen, aufzugeben. Sie werden sich auf schwerer erkennbare Methoden verlegen, wie etwa die Nachahmung menschlichen Verhaltens, die Beauftragung menschlicher Klickfarmen und das manuelle Hacken von Anwendungen. Obwohl die Automatisierung heute im Vordergrund steht, sollten sich Unternehmen darauf vorbereiten, gegen eine Mischung aus automatisierten und menschengesteuerten Betrugsversuchen anzukämpfen.

Die Cyberbedrohungen, mit denen Unternehmen heute konfrontiert sind, werden nur weiter zunehmen. Weltweit steigen die betrugsbedingten Verluste jährlich im zweistelligen Bereich. Da die Digitalisierung weiter voranschreitet und immer mehr Kunden online nach Dienstleistungen suchen, weitet sich die Angriffsfläche immer stärker aus und wird noch durchlässiger. Ihr Unternehmen kann sich auf die künftige Bedrohungslandschaft vorbereiten, indem es einen funktionsübergreifenden Sicherheitsansatz in Betracht zieht, der das Umsatzpotenzial, den Erfolgsdruck und das Kundenerlebnis gleichermaßen berücksichtigt.

Die neuen geschäftlichen Anforderungen

Nilson-Bericht 2019 – Verluste durch Kreditkartenbetrug in den USA (in Milliarden US-Dollar)

Eine Investition in die Betrugsbekämpfung will wohl überlegt sein

Reicht es aus, einfach mehr für Tools zur Erkennung von Online-Betrug auszugeben? Kurze Antwort: Nein. Unternehmen stellen fest, dass die unmittelbar durch Betrug verursachten Verluste weiter steigen, obwohl jährlich Milliarden für Tools zur Erkennung von Online-Betrugsversuchen ausgegeben werden. Juniper Research geht davon aus, dass die Gesamtverluste durch Online-Betrug bis 2023 48 Milliarden US-Dollar pro Jahr übersteigen werden.

Die gängigen Betrugstools erfordern eine umfangreiche Konfiguration, generieren mehrdeutige Risikobewertungen und erfordern, dass Betrugsteams ihre eigenen Regeln entwickeln, was zu holprigen Abläufen für legitime Benutzer und letztlich zu Umsatzeinbußen führen kann. Für einen dauerhaften Schutz vor einer zunehmend dynamischen Angriffsfläche müssen Unternehmen in Sicherheitslösungen investieren, die sich kontinuierlich an die Angreifer anpassen, ohne dabei Ablaufunterbrechungen für echte Kunden zu verursachen.

Das Stoppen des angriffsbedingten automatisierten Datenverkehrs verhindert nicht nur Betrug, sondern reduziert auch die Gesamtkosten eines Unternehmens.

Viele Unternehmen setzen erfolgreich Lösungen zur Prävention von Online-Betrug ein, um strategische Geschäftsergebnisse zu sichern. Lesen Sie im Folgenden ihre Erfahrungsberichte und überlegen Sie, inwieweit eine Verstärkung Ihrer Betrugspräventionsmaßnahmen einen dramatischen Einfluss auf Ihr Unternehmen haben könnte.

Weltweite Dating-Plattform wehrt Kontoübernahmen ab

Das Stoppen des angriffsbedingten automatisierten Datenverkehrs verhindert nicht nur Betrug, sondern reduziert auch die Gesamtkosten eines Unternehmens. Erfahren Sie, wie Shape dem IT-Team einer weltweiten Dating-Plattform dabei geholfen hat, den störenden Datenverkehr zu eliminieren und die Latenzzeit der Website von 250 ms auf 100 ms zu senken.

Internationale Fluggesellschaft bekämpft Preis-Scraper

Herkömmliche Website-Schutzmaßnahmen sind gegen adaptive automatisierte Angriffe nicht ausreichend wirksam. Erfahren Sie, wie Shape eine internationale Fluggesellschaft dabei unterstützt hat, ausgeklügelte Bots abzuwehren, die versuchten, geschützte Flugdaten zu stehlen.

Könnte Ihre WAF eine Auffrischung gebrauchen?

Shape ist auf die Reduzierung von Betrugsfällen spezialisiert. F5 Device ID+, die Grundkomponente unserer Anti-Bot- und Anti-Betrugslösungen, kann dagegen zur Verbesserung Ihrer übrigen Sicherheitstools genutzt werden. Durch die Integration unserer Echtzeit-Gerätekennung in Ihre Webanwendungs-Firewall (WAF) oder Ihre Lösung für den Zugriff auf Unternehmensanwendungen können Sie bekannte böswillig eingesetzte Geräte erkennen und blockieren und so Ihre Anwendungen vor einer potenziellen Kompromittierung schützen.

Und das Beste daran? Wir bieten diese Leistung kostenlos an.

Bleiben Sie dem Online-Betrug in einer Multi-Cloud-Welt immer einen Schritt voraus

Die Lösungen von F5 schützen den E-Commerce und digitale Initiativen wie Treueprogramme und Marketingkampagnen, indem Angriffe abgewehrt werden, die das Kundenerlebnis beeinträchtigen und den Ruf der Marke schädigen – und das alles, ohne legitime Benutzer zu frustrieren.

Verteidigen Sie Ihr E-Commerce-Geschäft gegen die dynamischen Angriffe von heute mit umfassender Multi-Cloud-Anwendungssicherheit und Betrugsschutzfunktionen, die Ihre wichtigsten Vermögenswerte vor den raffiniertesten Cyberkriminellen schützen.

VIELEN DANK!

Wir haben Ihre Anfrage erhalten. Wir werden uns in Kürze bei Ihnen melden.