:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/59/60/5960c42975dff727adfac6a471bc7428/0114147994.jpeg "Obwohl 90 Prozent der Befragten glauben, dass ihre aktuellen Tools zur Erkennung von Bedrohungen effektiv sind, befürchten 97 Prozent, einen relevanten Sicherheitsvorfall zu verpassen. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/a4/88a4cea0faefd5e74cc9bd5a9fb4ca87/0114037795.jpeg "Wird künstliche Intelligenz zum treuen Partner bei der Verteidigung von Unternehmensnetzen und sensiblen Daten oder zum unbezwingbaren Feind, der alles überrollt? (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
E-Commerce-Betrug Fünf Tipps zur Betrugsbekämpfung im E-Commerce
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Im Zuge der Digitalisierung entwickeln sich Online-Betrugsmaschen ständig weiter. Dabei steigen die Gefahren für Verbraucher, E-Commerce-Anbieter und Finanzdienstleister sowohl hinsichtlich Anzahl als auch Raffinesse. Mit Hilfe von fünf Tipps können sie sich vor aktuellen Betrugsmethoden schützen.
Die Gesamtkosten für E-Commerce-Betrug werden Prognosen zufolge im Jahr 2023 weltweit die Marke von 48 Milliarden US-Dollar übertreffen. Zum Vergleich: Im Jahr 2022 waren es knapp über 41 Milliarden US-Dollar. Die Steigerung liegt unter anderem an der Zunahme von Online-Zahlungen und -Einkäufen, den allgegenwärtigen Schadprogrammen und Bots, die Benutzerdaten aus dem Internet ziehen, sowie Social-Engineering-Betrügereien, die menschliche Schwächen ausnutzen.
Vor der Digitalisierung erforderte Betrug sorgfältige Planung und aufwändiges Ausspionieren von Personen oder Unternehmen. Heute haben Kriminelle dagegen mit Online-Zugängen, virtuellen Marktplätzen, digitalen Geldbörsen und der fortschreitenden Automatisierung nicht nur immer mehr Angriffsmöglichkeiten. Sie besitzen auch ausgefeilte Werkzeuge und Technologien, mit denen sie Unternehmen infiltrieren und die Konten von Privatpersonen übernehmen können. Die dafür erforderlichen Tools sind zudem online leicht verfügbar, wodurch die Einstiegshürden deutlich sinken.
Entsprechend müssen sich Unternehmen deutlich besser vor dieser Gefahr schützen. Dazu dienen folgende fünf Tipps für die Betrugsbekämpfung sowie zum Schutz vor aktuellen Bedrohungen und Exploits, die Cyberkriminelle für Angriffe auf E-Commerce-Anbieter und Finanzdienstleister nutzen.
1. Sicherheitsstrategien abstimmen, ohne das Kundenerlebnis zu beeinträchtigen
Händler und Finanzdienstleister müssen eine bessere Zusammenarbeit zwischen ihren Teams für Security, Kundenidentitäts- und Zugangsmanagement (CIAM), Betrugserkennung und Authentifizierung im gesamten Unternehmen erreichen. Kriminelle können die Schwachstellen ausnutzen, die durch isoliert arbeitende Teams und Sicherheitsstrategien entstanden sind, die sich zu sehr auf CAPTCHA und Multi-Faktor-Authentifizierung (MFA) stützen. Diese Techniken stören die User Experience, oft ohne Berücksichtigung der tatsächlichen Gefahrenstufe eines bestimmten Anmeldeversuchs.
Ein transparenter und durchgängig risikobasierter Authentifizierungsansatz ermöglicht Händlern und Finanzdienstleistern eine bessere Zusammenarbeit zwischen verschiedenen Teams innerhalb ihrer Organisation. Damit lässt sich Betrug flexibel, zuverlässig und reibungsarm erkennen, ohne das Benutzererlebnis zu beeinträchtigen.
2. Transparenz und Einblicke in die gesamte Customer Journey erhalten
Die Strategie für die Betrugsbekämpfung sollte sich auf drei wichtige Bereiche konzentrieren, die oft übersehen werden:
- 1. Die erste Kontaktaufnahme: Unternehmen sollten die Aktivitäten ihrer Kunden ab dem Moment prüfen, an dem diese ihre Zugangsdaten eingeben oder ein Konto erstellen. Das verbessert die Erkennung clientseitiger Angriffe wie digitales Skimming oder Formjacking. Diese Methoden kommen häufig zum Einsatz, um Anmeldedaten und Karteninformationen während der Einrichtung eines neuen Kontos zu sammeln. Mögliche Folgen sind Kontoübernahmen und Betrug.
- 2. API-Integrationen von Drittanbietern: Zusätzlich zu Web- und Mobilanwendungen müssen Händler und Finanzdienstleister auch den API-Schutz in ihre Sicherheitsstrategien integrieren. APIs sind denselben Angriffen ausgesetzt wie Web-Apps. Dazu gehören Exploits, die zu Datenmissbrauch und Betrug führen. So können unbeabsichtigte Risiken durch Integrationen und Systeme von Drittanbietern entstehen.
- 3. Betrug über neuartige Transaktionen: Viele Händler bieten neue Dienste wie automatische Abbuchungen beim Checkout, Online-Kauf und Abholung im Laden sowie Buy Now, Pay Later (BNPL) an. Sie müssen aber auch die Risiken dieser Transaktionen verstehen und reduzieren sowie diese Erkenntnisse über alle Kanäle hinweg teilen.
3. Neue Betrugsversuche erkennen
Bei einer wichtigen neuen Betrugsmasche erstellen Kriminelle erfundene Identitäten, die ähnlich wie die von echten Kunden aussehen. Anschließend kaufen sie damit Waren, ohne dafür zu bezahlen. Betrüger können zum Beispiel Präventionsmaßnahmen umgehen, indem sie gestohlene Identitätsdaten wiederverwenden, um neue Konten zu eröffnen und eine Sperrung durch eine Verbotsliste zu vermeiden. Dies kann zu Missbrauch von BNPL-Programmen sowie Betrug mit Treuepunkten, Rückerstattungen oder bei der Auszahlung führen.
Unternehmen können sich davor schützen, indem Sie Erkenntnisse aus biometrischen Verhaltensmustern in Kombination mit maschinellem Lernen nutzen. Dies gibt Teams für Sicherheit und Betrugsabwehr Einblicke in gefälschte Konten.
4. Auf die EU-Zahlungsdiensterichtlinie 3 (PSD3) vorbereiten
Sowohl die Gefahren als auch die Zahlungsmethoden und Regulierungen haben sich seit der Einführung der Zahlungsdiensterichtlinie im Jahr 2018 wesentlich verändert. Zur Vorbereitung auf die erweiterten Vorschriften der PSD3 sollten Händler und Banken eine Bestandsaufnahme aller kürzlich eingeführten Dienste, Kanäle und Zahlungsoptionen wie digitale Geldbörsen und Krypto-Zahlungen vornehmen.
Zudem sollten sie proaktiv das gesamte Spektrum der Sicherheits- und Betrugsrisiken vorausschauend analysieren und verwalten, die moderne API-Umgebungen mit sich bringen.
5. Schatten-APIs und JavaScript-Angriffe auf die Lieferkette
Wenn Unternehmen mehr Dienste von Drittanbietern nutzen und die Anzahl der Skripte auf ihrer Website steigt, entstehen neue potenzielle Schwachstellen. Diese können zu clientseitigen Angriffen wie digitales Skimming, Formjacking und Magecart-Angriffen führen. Ein digitaler Skimming-Angriff liegt vor, wenn ein Krimineller ein oder mehrere bösartige Skripte einschleust beziehungsweise ein vorhandenes Skript einer legitimen Seite oder Anwendung manipuliert, um einen Man-in-the-Browser-Angriff auf die Software-Lieferkette durchzuführen. Diese Attacken sind schwer zu erkennen, da Skripte häufig von Dritten aktualisiert werden, oft ohne Sicherheitsprüfung durch das nutzende Unternehmen.
Darüber hinaus konzentrieren sich die neuen Anforderungen des kommenden Payment Card Industry Data Security Standard (PCI DSS) 4.0 auf die Überwachung und Verwaltung browserbasierter JavaScript-Bibliotheken von Drittanbietern. Diese sind in E-Commerce-Websites integriert, um Funktionen wie iFrames für die Zahlungsabwicklung, Chatbots, Werbung, Schaltflächen für Social Sharing und Tracking-Skripts zu ermöglichen. Obwohl PCI DSS 4.0 derzeit als Best Practice gilt, wird er erst 2025 vorgeschrieben. Kriminelle warten aber nicht so lange und Unternehmen sollten das auch nicht!
Sie brauchen bereits heute Einblick in die JavaScript-Bibliotheken, die in ihren Webanwendungen laufen. Unternehmen müssen wissen, welche Daten die Skripte sammeln, um Verstöße gegen Datenschutzbestimmungen wie DSGVO und CCPA zu vermeiden sowie die neuen PCI DSS 4.0-Anforderungen 6.4.3 und 11.6.1 einzuhalten.
Die meisten Unternehmen verfügen derzeit nicht über eine zentrale Kontrolle und Steuerung der Skriptverwaltung. Wenn ein Skript eines Drittanbieters auf ihrer Website eine Schwachstelle aufweist und sie das nicht wissen, können sie diese auch nicht beheben. Kriminellen ist bewusst, dass viele Unternehmen Schwierigkeiten haben, die Menge, den Umfang und die Größe der in Websites eingebetteten Skripte zu verwalten, zu verfolgen und zu sichern. Und sie wissen, wie sie diese Skripte zu ihrem eigenen Vorteil ausnutzen können.
Über den Autor: Stephan Schulz ist Security Solution Architect bei F5.
(ID:49691531)
:quality(80)/images.vogel.de/vogelonline/bdb/1951800/1951819/original.jpg "Julian Totzek-Hallhuber erläutert, was seiner Ansicht nach künftig auf der Agenda von Development-Teams stehen sollte. (Veracode)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944700/1944703/original.jpg "Auch im Zusammenhang mit der Supply-Chain-Security gilt nach wie vor das Sprichwort: Jede Kette ist nur so stark wie ihr schwächstes Glied. (Romolo Tavani - stock.adobe.com)")