Kreditkartenbetrug: Darknet-Onlineshop verkauft Zehntausende digitale Doppelgänger
Der IT-Security-Anbieter Kaspersky Lab berichtet über eine neue Betrugsmasche. Nach Erkenntnissen des Unternehmens bietet ein Untergrund-Onlineshop namens Genesis mehr als 60.000 gestohlene, tatsächlich existierende digitale Identitäten. Die Idee dahinter ist gar nicht dumm: Da es sich um tatsächlich existierende Kombinationen handelt, kann Kreditkartenbetrug wesentlich erleichtert werden. Mit dem Marktplatz sowie weiteren schädlichen Tools lässt sich das eigentlich zur Betrugsverhinderung gedachte, auf maschinellem Lernen basierende Konzept digitaler Masken missbrauchen. Über solche Masken kann jedem Kunden ein eindeutiges, vertrauenswürdiges Profil auf Basis bekannter Geräte- und Verhaltenscharakteristiken zugeordnet werden – außer es ist ein digitaler Doppelgänger im Spiel.
Wenn Nutzer bei Online-Transaktionen Finanz-, Zahlungs- oder persönliche Informationen auf einer Website eingeben, kommen zumeist analytische und auf maschinellem Lernen basierende Betrugspräventionslösungen zum Einsatz, um abzugleichen, ob die Anwenderdaten einer bestimmten digitalen Maske entsprechen. Diese Masken sind für jeden Anwender individuell; sie bringen die vom Nutzer normalerweise beim Banking- beziehungsweise Bezahlprozess auf Geräten oder im Browser hinterlassenen digitalen Fingerprints und maschinelle Lernmethoden zusammen.
Unter diesen Fingerprints versteht man Informationen über den Bildschirm und das Betriebssystem oder Browserdaten wie Header, Zeitzone, installierte Plugins und Fenstergröße. Dazu gehören zum Beispiel auch individuelle Cookies der Nutzer sowie deren Online- und Rechnerverhalten. So können Anti-Fraud-Teams von Onlinehändlern oder Zahlungsdiensten erkennen, ob es sich tatsächlich um einen legitimen Kunden handelt, der seine Zugangsdaten eingibt, oder ob ein krimineller Carder versucht, sich Waren und Dienstleistungen mit gestohlenen Kreditkartendaten zu erschleichen. Entsprechend wird eine Transaktion akzeptiert, abgelehnt oder einer weiteren Prüfung unterzogen.
Kartenbetrug durch digitale Doppelgänger
Doch die digitalen Masken lassen sich auch kopieren oder gänzlich neu anlegen. Laut der Kaspersky-Analyse setzen Cyberkriminelle dabei aktiv auf sogenannte digitale Doppelgänger, um fortschrittliche Anti-Fraud-Lösungen auszutricksen. So entdeckten die Sicherheitsexperten im Februar 2019 im Darknet einen Marktplatz namens Genesis, auf dem solche digitalen Masken und Nutzer-Accounts zu Stückpreisen zwischen fünf und 200 US-Dollar verkauft werden. Dabei können sowohl bereits gestohlene Masken als auch Zugangsdaten (Benutzername und Passwort) für Onlineshops und Bezahldienstleister erworben werden. Auf diese Weise kann ein Betrüger die Browser- und Proxy-Einstellungen als Aktivität eines legitimen Anwenders vortäuschen. Die passenden Zugangsdaten ermöglichen dann Zugriff auf Onlinekonten. Zusätzlich kann der Betrüger eigene Transaktionen im Namen des mutmaßlichen Kunden glaubwürdig ausführen.
Solche digitalen Doppelgänger sind in der Tat für die Betrugsprävention nur schwer auszumachen. Denn ein Teil der Machine-Learning-Strukturen setzt eben genau darauf. Ziel könne es, so Kaspersky, daher nur sein, die Infrastruktur der Betrüger zu zerschlagen. Neben den bestehenden geklonten Masken kann man mit anderen Tools auch gänzlich neue digitale Masken anlegen, um Anti-Fraud-Lösungen zu überlisten. Hier ermöglicht ein Konfigurationsgenerator das Erstellen eindeutiger digitale Fingerprints. Diese neu erstellte Maske lässt sich mithilfe eines Browsers laden und über einen Proxy-Server für Kartenbetrug nutzen.