Account Takeover: wenn Identitätsdiebstahl richtig teuer wird

Für Cyberkriminelle sind Account-Takeover-Attacken (ATO) eine sehr effektive Methode, um Online-Unternehmen mit Kundenkontakt anzugreifen. Diese Angriffsformen sind skalierbar und versprechen den Kriminellen einen hohen finanziellen Gewinn. Eine aktuelle Studie des Researchunternehmens Aberdeen im Auftrag der auf sichere Login-Lösungen spezialisierten Nevis Security AG zeigt, dass die Folgen erfolgreicher Kontoübernahmen erschreckende Ausmaße angenommen haben. Die finanziellen Schäden gehen weit über die reinen Geschäftskosten hinaus und werden so zu einem existenziellen Risiko für betroffene Unternehmen.

Hauptursachen für erfolgreiche Kontoübernahmen sind, dass Menschen heute unzählige Onlinekonten benutzen und die Art, wie sie die dafür erforderlichen Credentials verwalten. So besitzt der durchschnittliche Nutzer bis zu 130 digitale Benutzerkonten, für die jeweils ein Passwort erforderlich ist. Bei dieser Anzahl ist es nicht verwunderlich, dass die User durchschnittlich zwölf Tage ihres Lebens damit verbringen, nach den richtigen Benutzernamen und Passwörtern zu suchen.

„Die daraus resultierende Frustration der Nutzer führt zu weiteren Sicherheitsproblemen, denn sie wollen es sich so einfach wie möglich machen“, erklärt Stephan Schweizer, CEO von Nevis: „Die beliebtesten Passwörter sind nach wie vor „abc123“, „password“ und die Zahlenkombination „123456“. Zudem haben die meisten Passwörter weniger als die empfohlene Mindestlänge von zehn Zeichen und mehr als die Hälfte der Nutzer verwendet das gleiche Passwort für mehrere Accounts.“

Cyberkriminelle profitieren von diesem laxen Umgang mit Passwörtern. Er macht es ihnen leichter, in digitale Kundenkonten einzudringen und diese zu übernehmen. Nevis hat die fünf erfolgreichsten Angriffsmethoden identifiziert, die im schlimmsten Fall zu einem Account Takeover führen können:

  1. Phishing und Social Engineering: Mit über 17 Prozent ist dies die vierthäufigste Angriffsart. Die Hacker nutzen dabei das Vertrauen der User in die vermeintlichen Absender aus. Dabei setzen sie längst nicht mehr nur auf E-Mails und SMS, um an die Kontodaten zu gelangen, sondern manipulieren die Nutzer zunehmend auch über Telefonanrufe.
  2. Brute-Force-Angriffe: Mit über 18 Prozent Häufigkeit liegt diese Angriffsmethode auf Platz 3. Die Cyberkriminellen verwenden dafür Tools, mit denen sie Zugangsdaten automatisiert ausprobieren können. Diese Angriffsart ist erfolgversprechend, weil oft nicht so komplizierte und variable Passwörter zum Einsatz kommen, wie es Sicherheitsexperten empfehlen.
  3. Keylogger-Angriffe: Bei dieser Methode verwenden Kriminelle Hard- oder Software, um Tastatureingaben nachzuvollziehen. Auf diese Weise können Buchstaben- und Zahlenkombinationen aufgezeichnet und Login-Daten rekonstruiert werden.
  4. Man-In-The-Middle-Angriff: Bei dieser Art von Attacke schaltet sich ein Mittelsmann zwischen die Übertragung zweier Kommunikationsnetze und kann so die Verschlüsselungen umgehen. Der Angreifer hat dann Zugriff auf verschiedene Daten, zum Beispiel Benutzername und Passwort.
  5. Credential Stuffing: Die Cyberkriminellen greifen auf Zugangsdaten zurück, die nach einer Datenpanne öffentlich geworden sind oder im Dark Web gekauft wurden. Via Bots starten sie dann massenhafte Loginversuche bei anderen Online-Diensten. Da Nutzer oft dieselben Zugangsdaten für mehrere Konten verwenden, stehen die Chancen gut, dass es den Angreifern gelingt, einen anderen Account zu übernehmen. Angriffe über Credential Stuffing bleiben oft unentdeckt, da sich bei der Account-Übernahme ein „legitimer“ Kunde einloggt.

Die Folgen einer erfolgreichen Kontoübernahme sind weitreichend: Betrügerische Einkäufe, der Diebstahl von Dienstleistungen oder auch die Registrierung neuer Konten durch kriminelle Nutzer, beispielsweise für Kreditanträge, gehören dazu.

„Um die Risiken beim Login und damit in puncto Account Takeover zu reduzieren, müssen Passwörter als Schwachstellen minimiert werden. Biometrische Verifikationsverfahren tragen nicht nur zu einer sicheren, sondern auch zu einer reibungslosen Kundenerfahrung bei. Statt des ewigen Katz- und Maus-Spiels mit den Cyberkriminellen, ist es wichtig, dass Unternehmen vermehrt auf die passwortlose Authentifizierung setzen“, so Schweizer abschließend. 

Über die Nevis Security AG

Nevis entwickelt Sicherheitslösungen für die digitale Welt von morgen: Das Portfolio umfasst passwortfreie Logins, die sich intuitiv bedienen lassen und Nutzerdaten optimal schützen. In der Schweiz ist Nevis Marktführer für Identity und Access Management und sichert über 80 Prozent aller E-Banking-Transaktionen. Weltweit setzen Behörden sowie führende Dienstleistungs- und Industrieunternehmen auf Lösungen von Nevis. Der Spezialist für Authentifizierung unterhält Standorte in der Schweiz, Deutschland, UK und Ungarn.

Firmenkontakt und Herausgeber der Meldung:

Nevis Security AG
Birmensdorferstrasse 94
CH8003 Zurich
Telefon: +49 (89) 8038684
http://www.nevis.net

Ansprechpartner:
Mareike Funke
LEWIS Communications GmbH
Telefon: +49 (89) 1730-1938
E-Mail: nevis-security@teamlewis.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel