Security-Trends 2019

PSD2 treibt 2019 Veränderungen im Finanzbetrug an

| Autor / Redakteur: Jörg Reuter / Peter Schmitz

Bis zum Inkrafttreten der Zusätze der PSD2-Richtlinie im September 2019 wird Card-Not-Present-Fraud als Betrugsform noch einmal neu aufleben.
Bis zum Inkrafttreten der Zusätze der PSD2-Richtlinie im September 2019 wird Card-Not-Present-Fraud als Betrugsform noch einmal neu aufleben. (Bild: Pixabay / CC0)

Das Jahr neigt sich dem Ende und es rückt wieder die Frage in den Vordergrund: Was wird das neue Jahr bringen? Wir zeigen, welche Entwicklungen durch PSD2 im Bereich des Finanzbetrugs zu erwarten sind und welche Betrugs-Trends ab Q3 2019 in den Vordergrund rücken könnten.

In den vergangenen Jahren waren in Deutschland einige anhaltende Entwicklungen im Bereich des Finanzbetrugs zu erkennen, wie die FICO Fraud Map für das Jahr 2017 zeigt: Digitaler Betrug nahm kontinuierlich zu, wohingegen Kartenbetrugsvorfälle zurückgingen. Zudem setzte sich auch 2017 der Rückgang an Card-Not-Present (CNP)-Betrugsfällen fort. Doch auch wenn sich dieser Trend schon einige Jahre hält, ist für das kommende Jahr mit einem letzten Aufflammen von CNP-Betrug zu rechnen.

Rückgang und Wiederaufleben von Card-Not-Present-Fraud

Wie der Name schon sagt, bezieht sich CNP-Fraud auf Fälle, bei denen eine Person ihre Kredit- oder Debitkarte nicht physisch vorzeigt – beispielsweise beim Online-Shopping. Schafft es ein Betrüger, z.B. durch einen Trojaner auf dem privaten Rechner die für eine Zahlung benötigten Kartendaten einer anderen Person (Kartennummer, Sicherheitscode usw.) auszuspähen und für eigene Zwecke zu missbrauchen, ist das ein typischer Fall von CNP Fraud. Der Grund für die bisherige Rückläufigkeit dieser Betrugsart ist, dass Finanzinstitute immer bessere Gegenmaßnahmen ergriffen haben.

In der ersten Jahreshälfte 2019 könnte sich der Abwärtstrend aber abschwächen oder sogar kurzzeitig umkehren. Die Gegenmaßnahmen werden zwar nicht schlechter, jedoch: Die Einführung der neuen Zusätze der PSD2-Richtlinie schafft Betrügern einen Anreiz, die Möglichkeiten dieser Betrugsart auszunutzen, solange es noch geht. Denn: Die neuen Zusätze der PSD2-Richtlinie legen CNP Fraud die Handschellen an. Teil der ab September 2019 greifenden Neuerungen ist nämlich die Verpflichtung von Banken zu einer „Strong Customer Authentication“ (SCA). Kunden müssen ihre Identität für höhere Transaktionsbeträge dann mit mindestens zwei Faktoren bestätigen, etwa Passwort plus Einmal-PIN aufs Mobiltelefon. Dadurch wird es für Betrüger deutlich schwieriger als bisher, einen solchen Angriff „erfolgreich“ durchzuführen. Es ist mit einem letzten Aufbäumen dieser Betrugsform zu rechnen, bevor die zusätzlichen Sicherheitsmaßnahmen bei allen Instituten eingeführt werden.

Neue Trends: Social Engineering und Antragsbetrug

Doch wie geht es ab September weiter? Womit ist nach Inkrafttreten der neuen Zusätze der PSD2-Richtlinie zu rechnen? Es ist davon auszugehen, dass der Großteil der Betrüger sich nicht zur Ruhe setzen oder einen regulären Job suchen wird – stattdessen dürften sie versuchen auf andere Betrugsarten umzusatteln. Die wahrscheinlichsten Kandidaten sind zwei in Deutschland bislang noch nicht sehr verbreitete Betrugsarten: Social Engineering Scams und Antragsbetrug.

Beim Social Engineering Scam bringt der Betrüger durch geschickte Manipulation meist per Telefon das Opfer dazu, einen größeren Geldbetrag zu transferieren – auf z.B. ein vermeintlich sichereres Konto, oder zum Begleichen einer angeblich überfälligen Rechnung. Tatsächlich landet das Geld beim Betrüger. Diese Betrugsart könnte bald einen Aufschwung erleben, auch durch neue Möglichkeiten rund um PSD2: Im Zuge der Einführung von „Open Banking“ können Zahlungsvorgänge dann auch über Drittanbieter abgewickelt werden. Dadurch entstehen für Betrüger neue Angriffspunkte, unter anderem da Verbraucher anfangs noch ungeübt im Umgang mit den neuen Diensten sein werden. Hinzu kommt der Trend hin zu Instant oder Realtime Payments: Je schneller ein Betrag von Konto A auf Konto B transferiert wird, umso schwieriger ist es, die Summe zurückzufordern, auch weil Geldbeträge so sehr einfach über mehrere Stationen verschoben werden können.

Nicht ganz so schnell geht es beim Antragsbetrug, im Englischen Application Fraud. Bei diesem eröffnet der Betrüger ein Konto, um an irgendeine Form von Kredit zu kommen – ohne die Absicht, das geliehene Geld zurückzuzahlen. Unterschieden wird dabei zwischen dem sogenannten First-Party-Fraud und dem Third-Party-Fraud. Letzterem liegt ein Identitätsdiebstahl zugrunde: Der Betrüger beantragt einen Kredit unter Angabe von Daten, die zu einer anderen Person gehören. Beim First-Party-Fraud dagegen läuft der Antrag unter dem eigenen oder teilweise einem „synthetischen“, erfundenen Namen – eine Rückzahlung geliehener Beträge ist auch hier nicht geplant.

Die richtigen Präventionsmaßnahmen

Die größte Herausforderung für Finanzinstitute dürfte 2019 der Social Engineering Scam sein. Anders als in anderen europäischen Ländern ist diese Betrugsart in Deutschland noch nicht sehr verbreitet – was sich 2019 aufgrund der bereits genannten Entwicklungen aber ändern dürfte. Und Beispiele aus anderen Ländern wie Großbritannien zeigen: Eine Eindämmung dieser Betrugsart ist alles andere als einfach.

Die „eine“ Lösung gibt es wie so oft auch hier nicht – weder für Social Engineering Scams noch für den Antragsbetrug. Das sinnvollste, was Banken zu ihrer Bekämpfung tun können, ist, durch die fortlaufende Analyse von verfügbaren Kunden- und Transaktionsdaten die legitimen von den betrügerischen Aktivitäten zu unterscheiden. Mithilfe von Machine Learning und Künstlicher Intelligenz können solche Analysen in Echtzeit Abweichungen erkennen und damit Risiken richtig einordnen.

Fazit

Die wohl entscheidendste Veränderung, die Finanzinstitute im neuen Jahr erwartet, ist das Inkrafttreten der Zusätze der PSD2-Richtlinie – mit Auswirkungen auch auf den Fraud-Bereich. Bis zum Stichtag– dem 14. September – wird CNP Fraud als eigentlich rückläufige Betrugsform noch einmal aufleben. Danach werden die neueren Betrugsformen wie Social Engineering Scams und der Antragsbetrug in den Vordergrund rücken. Banken sollten für diese Entwicklungen gewappnet sein und frühzeitig Maßnahmen ergreifen, um den Betrügern proaktiv entgegenzuwirken.

Über den Autor: Jörg Reuter ist Pre-Sales Consultant bei der Fair Isaac Germany GmbH (FICO). Jörg Reuters Erfahrungsschatz basiert auf seiner mehr als zehnjährigen Tätigkeit im Bereich Banken und Finanzdienstleistungen. Sein Fokus liegt auf der Erkennung und Prävention von Betrug mithilfe von fortschrittlicher Analytik und Künstlicher Intelligenz/Machine Learning.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45654619 / Sicherheitsvorfälle)