Wie man Online-Betrüger:innen mittels KI das Handwerk legen kann
Bei der Betrugsprävention fokussieren sich Onlinehändler:innen (Retailer), Banken bzw. die Finanzwirtschaft häufig nur auf Teilaspekte. Das Risiko eines Zahlungsausfalls kann beispielsweise durch die Überprüfung der Identität, Adressen und vorhandener Zahlungserfahrungen sehr gut eingeschätzt werden. Kriminelle missbrauchen allerdings gerade gute und unauffällige Identitäten für ihre Zwecke.
Die Betrachtung rein physischer Daten wie Name, Adresse oder Geburtsdatum allein genügt nicht mehr, um die aktuellen Betrugsformen wirkungsvoll zu bekämpfen.
Dieser Artikel erklärt, wieso dies so ist und stellt auf den folgenden Seiten das Konzept der Behavioral Biometrics (verhaltensbasierte Biometrie) vor. Damit lassen sich Lücken in der Betrugsprävention sinnvoll schließen. Die intelligenten Mechanismen minimieren die Risiken, die sich aus Angriffsversuchen durch Bots und der Übernahme von Benutzerkonten ergeben. Dieses Mehr an Sicherheit geht dabei nicht zu Lasten der User Experience im Umgang mit Shop, Serviceangeboten und Apps.
Mit der steigenden Digitalisierung boomt der E-Commerce
Die Digitalisierung des wirtschaftlichen und gesellschaftlichen Lebens schreitet weiter voran. Immer mehr Konsumente:innen entdecken die Vorteile des E-Commerce für sich. Während der Maßnahmen zur Eindämmung der Pandemie des Covid-19-Virus erhielt diese Entwicklung europaweit zusätzlichen Schub. Digitale Angebote werden nicht nur im Handel stärker nachgefragt. Privatanwender:innen und Unternehmen nutzen gleichermaßen digitale Serviceangebote. Sie erledigen ihre Bankgeschäfte via Apps, schließen Versicherungen online ab oder konsumieren Filme und Musik via Streams.
Sichtbarstes Symbol für die fortschreitende Digitalisierung ist das Smartphone. Das Gerät wird zum unentbehrlichen Werkzeug für die Organisation und Steuerung des privaten und beruflichen Lebens. So ersetzt es nicht nur viele Geräte (Kamera, MP3-Player), es übernimmt immer weitere Aufgaben. In Warenhäusern und Supermärkten müssen die Kunden nicht mehr nach einer Geldbörse suchen. An der Kasse zahlen sie mit einer App kontaktlos und bequem. Und in naher Zukunft übernehmen die Computer für die Hosentasche auch noch die Aufgabe des Autoschlüssels. Der asiatische Raum kann in dieser Hinsicht als Blaupause der digitalen Zukunft auch in Europa gesehen werden. Dort besitzen “Super-Apps” eine dominierende Stellung. So dient der Messenger WeChat in China nicht ausschließlich der Kommunikation. Der Nutzer oder die Nutzerin kaufen darüber ein, begleichen Rechnungen und legitimieren sich teilweise damit.
Welche verschiedenen Arten und Formen von Online-Betrug gibt es?
Die Digitalisierung kennt aber eine Schattenseite. E-Commerce-Anbieter, Banken bzw. die Finanzwirtschaft müssen sich einer ständig wachsenden Herausforderung durch Betrug und kriminelle Aktivitäten stellen. Denn die steigende Nutzung von E-Commerce und digitalen Angeboten durch Privatanwender:innen und Unternehmen führt jedoch auch dazu, dass Betrugsfälle immer häufiger auftreten. Betrug hat viele Gesichter und kann über verschiedene Angriffswege erfolgen, einige davon sind hier aufgeführt:
- Eingehungsbetrug: Kunden bestellen Waren oder Dienstleistungen, obwohl ihnen bekannt ist, dass sie nicht zahlungsfähig sind.
- Identitätsdiebstahl: Es werden im Namen und auf Rechnung eines Geschädigten Produkte bestellt, oder Serviceleistungen in Anspruch genommen.
- Gestohlene Zahlungsinformationen: Ein eng mit dem Identitätsdiebstahl verbundenes Delikt. Über künstlich erzeugte oder gestohlene Zahlungsinformationen (Kreditkartennummern, IBAN, Zahlungsdienstleisterkonten) werden Waren und Dienstleistungen erworben.
- Übernahme von Benutzerkonten (Account Takeover): Legitimierte Anwenderkonten in Shops oder Apps werden durch Kriminelle übernommen. Die Informationen werden ausgelesen und anderweitig verwendet. Die Identität verkauft oder genutzt. Das Eindringen in Benutzerkonten kann auch Ausgangspunkt für Cyberattacken oder das Ausspionieren von IT-Systemen sein. Auch Erpressung über so genannte Ransom-Ware beginnt meist mit der Übernahme von Benutzerkonten.
- Ad-Fraud: Um die Werbetreibenden zu schädigen, werden deren Anzeigen im Internet und in Smartphone-Apps abgerufen.
Betroffenen Unternehmen und Organisationen entsteht dadurch nicht nur unmittelbarer monetärer Schaden. Bei groß angelegten erfolgreichen Betrugsversuchen erwächst schnell ein Reputationsverlust, dessen Auswirkungen auf das Kundenvertrauen immens sein können.
Schließlich ist auch an die Compliance zu denken. So stellt die DSGVO hohe Anforderungen in Hinsicht auf technisch-organisatorische Maßnahmen, die zum Schutz von personenbezogenen Daten zu ergreifen sind. Gelingt es Kriminellen, die Zugangsinformationen von Privatkunden auszulesen und zu übernehmen, kann dies als Fahrlässigkeit des für die Daten verantwortlichen Unternehmens gesehen und mit einem Bußgeld belegt werden.
Hacker mit Laptop-Computer, der vertrauliche Daten, persönliche Informationen, Kreditkarte stiehlt shutterstock.com
Auch Betrüger:innen nutzen digitalen Fortschritt
Gegen die vielfältigen Betrugsversuche nutzen Retailer und Finanzinstitute- und-dienstleister ein mehr oder weniger umfangreiches Set an Schutzmechanismen. Der Kleinst- oder Gelegenheitskriminelle, der versucht, sich ein Produkt oder einen Service im Namen seines Nachbarn oder der Nachbarin zu erschleichen – er ist heute kaum noch erfolgreich. Im Backend von Shops schlagen Automatismen Alarm, wenn ein Neukunde gegen offene Rechnung etwas bestellt, sofern dann zusätzlich die Lieferung an eine abweichende Lieferadresse gehen soll. Ein Regelwerk bewertet das potenzielle Ausfallrisiko und weicht im Ergebnis auf andere Bezahlformen aus, oder blendet Hinweise für die Nutzerin oder den Nutzer ein.
Auch Einzeltäter:innen, die einen Eingehungsbetrug begehen, sind nur selten erfolgreich. In Sekundenschnelle liegen Bonitätsauskünfte im Shop vor. Scorings weisen Bestellungen ab, reduzieren die maximale Bestellsumme oder wählen ein risikoärmeres Zahlungsmittel.
Wie ihre Opfer nutzen die Angreifer verstärkt die Verfügbarkeit digitaler Technologien und Fortschritte aus. Systeme der Künstlichen Intelligenz (z. B. maschinelles Lernen) stehen über Cloud Plattformen wie AWS oder Azure auf Knopfdruck zur Verfügung. Ohne besonders hohe Investitionen.
Schwachstelle in allen Sicherheitskonzepten bleibt der Mensch. Heutige Phishing-Attacken haben nichts mehr mit plumpen Fälschungen zu tun. Oft genug gelingt es selbst Experten nur noch schwer, eine legitime E-Mail und Datenabfrage von einem Phishing-Versuch zu unterscheiden.
Um Waffengleichheit mit den Kriminellen herzustellen und Risiken zu minimieren, müssen Retailer und Finanzwirtschaft auf modernste Technologien setzen.
Welche Einfallstore nutzen Kriminelle beim Online-Betrug bzw. welche Betrugsfälle sind besonders verbreitet?
- Mittels Künstlicher Intelligenz (KI) lassen sich täuschend echt wirkende Personen sowie deren biometrische Merkmale und Gesichter erzeugen. Diese “Deep Fakes” überwinden Sicherheitssysteme.
- Sprache wird synthetisiert. Über “Natural Language Generation” können Stimme und Tonfall einer Person imitiert werden, um durch falsche Anrufe und Rückfragen wichtige Informationen von Opfern zu gewinnen.
- Über verteilte Rechensysteme organisieren Angreifer:innen Bot-Netze, um darüber Ad-Fraud oder die Übernahme von Benutzerkonten zu organisieren.
Was ist Behavioral Biometrics und wie unterstützt es bei der Betrugsprävention?
Jede Person besitzt eindeutige Kennzeichen, die sie identifizieren. Die Absicherung von technischen Systemen über Fingerabdrücke und die Physiognomie gehören inzwischen zum Alltag. Verglichen mit anderen Verfahren wie Passwörtern bietet die Biometrie ein höheres Schutzniveau. Die rapide Entwicklung von KI-Systemen zeigt jedoch, dass auch diese Verfahren nicht unüberwindbar sind. Entsprechend Zeit und Aufwand vorausgesetzt, überwinden “Deep Fakes” auch eine Gesichtserkennung.
Neben der äußeren Erscheinung existieren noch weitere Eigenschaften, die für ein Individuum kennzeichnend und unverwechselbar sind. Sein Verhalten. Damit beschäftigt sich Behavioral Biometrics (“verhaltensbasierte Biometrie”).
Das menschliche Verhalten setzt sich aus zahlreichen kleineren Aktionen zusammen, die auf unbewussten Gewohnheiten und Mustern basieren. Diese sind kennzeichnend für eine Person. Wenn ein Mensch sich mit anderen unterhält, tut er dies auf seine individuelle Weise. Ein Beispiel sind winzige und für andere Personen nicht wahrnehmbare Bewegungen des Kopfes oder des Rumpfes. Wie ein Mensch sich bewegt, allein oder in einer Gruppe agiert, ist geprägt von diesen unbewussten Handlungsmustern, seiner Gesundheit und seinem Alter.
Dieser Ansatz lässt sich auf die Nutzung technischer Geräte wie einem Smartphone übertragen. Wenn eine Nutzerin oder ein Nutzer mit seinem Gerät interagiert, dann folgt dies einerseits allgemein menschlichen Verhaltensmustern. So benötigt ein Individuum anders als eine Maschine eine gewisse Zeitspanne, um eine Information auf dem Gerät zu erfassen, um darauf dann zu reagieren. Das Smartphone wird auf typische Weise gehalten und bewegt.
Jeder Tastendruck, jedes Fingertippen und jede Wischgeste auf dem Display sind typisch für das jeweilige Individuum. Der Druck der Fingerkuppen auf dem Bildschirm, der Winkel mit dem die Finger über das Display streichen, ja selbst die Geschwindigkeit und Beschleunigung der Bewegung sind typisch für eine Person.
Dies nutzt Behavioral Biometrics aus. Systeme für das maschinelle Lernen analysieren die aus verschiedenen Sensoren stammenden Informationen und zeichnen somit ein digitales Referenzmuster der Person, das mit vergangenen und aktuellen Interaktionen verglichen wird. Erst die Entwicklung leistungsstarker Konzepte der Künstlichen Intelligenz erlaubt es, diese unsichtbaren biometrischen Kennzeichen zu nutzen, um die Sicherheit von Anwendungen zu erhöhen und damit das Betrugsrisiko zu verringern.
Behavioral Biometrics, Konzepte der Künstlichen Intelligenz
Betrugsprävention vs. Customer Experience
Betrugsprävention und Sicherheitsinteressen von Unternehmen stehen häufig im Widerstreit mit den Wünschen der Kunden. In den vergangenen Jahren ist die Ungeduld der Konsument:innen, der Wunsch nach Komfort und möglichst reibungsloser Benutzererfahrung gewachsen. Das Wachstum besonders schneller Zustellungsoptionen im E-Commerce ist ein Kennzeichen dieser Entwicklung.
Die Kunden wollen ihre Ware möglichst rasch, sie möchten einen neuen Service oder eine App möglichst sofort nutzen. Jede als Hürde wahrgenommene Einschränkung der User Experience kann in der Konsequenz dazu führen, dass der Konsument oder die Konsumentin sich nicht weiter mit dem Anbieter beschäftigt und sich einem Wettbewerber zuwendet, bei dem er eine bessere Nutzererfahrung und mehr Komfort erwartet.
Als Konsequenz wird auf das „Onboarding“ in Apps und digitalen Services im Rahmen der Entwicklung verstärkt geachtet. Ähnlich verhält es sich im Digital Commerce. Seit Ende der 90er Jahren optimieren Banken und Retailer laufend den Checkout-Prozess, um diesen möglichst einfach und schnell zu gestalten. Dahinter steht die Erkenntnis, dass jeder Mausklick, jede zusätzliche Interaktion des Kunden zu einem Abbruch des Warenkorbs führen kann.
Auf der anderen Seite stehen die Mechanismen, die legitimierte Transaktionen von Betrugsversuchen unterscheiden sollen. Im Hintergrund nutzen die Sicherheitssysteme eine Reihe von statischen Daten, wie Adressabgleiche, IP-Adressen oder den CCV-Code auf Kreditkarten.
Im Alltag begegnen den Konsumenten zusätzliche Instrumente wie
- Captchas: Wiederholen von eingeblendeten Zeichenfolgen,
- Übermittlung von Transaktionsnummern oder Einmal-PIN über einen externen Kanal,
- Überweisung von Cent-Beträgen auf das Bankkonto des Anwenders, dessen Verwendungszweck eine individuelle Zeichenfolge enthält, die an den Anbieter gemeldet werden muss.
Die ergriffenen Sicherheitsmaßnahmen erwachsen aus den berechtigten Interessen von Retailern und Finanzwirtschaft, sich gegen Betrugsfälle bzw. Betrugsversuche zu wehren. Teilweise sind Sicherheitsabfragen auch als Ergebnis branchenweiter Regulatorik und Compliance notwendig. Ein Beispiel ist die starke Authentifizierung, die auf Basis der PSD2 von Kreditinstituten und Kreditkartenunternehmen eingeführt werden musste.
Je niedriger ein Anbieter die Hürden bei der Legitimation eines Nutzers oder einer Nutzerin ansetzt, desto größer ist sein Potential, Kunden zu gewinnen und eine optimale User Experience anzubieten. Umso höher ist aber auch das Betrugsrisiko.
Somit steigt die Wahrscheinlichkeit dafür, den Kunden zu enttäuschen oder gar zu verlieren, wenn Retailer und Finanzinstitute das Betrugsrisiko durch Verknüpfung zusätzlicher Eingaben oder Datenabfragen minimieren wollen. Behavioral Biometrics schafft hier einen Ausgleich und minimiert die Risiken an gleich zwei Angriffspunkten.
Authentifizierung durch Gesichtserkennungskonzept shutterstock.com
Behavioral Biometrics erkennt Bots und verhindert Account-Übernahmen
Das Konzept “Behavioral Biometrics“ arbeitet im Hintergrund und stört damit die Benutzererfahrung nicht. Die Technologie nimmt dem Anwender allerdings nicht die Arbeit ab, sich in einer App, einem Shop oder bei einem Dienst ein Benutzerkonto anzulegen. Die klassische Kombination aus Benutzernamen und Passwort wird für die Nutzerin oder den Nutzer also nicht überflüssig. Die Sicherheit des Benutzer- bzw. Kundenkontos wird über einen permanenten Abgleich allerdings erhöht.
Account Takeover als Problem für Nutzer:innen und Unternehmen
Für Unternehmen wie Anwender sind Übernahmen von Benutzerkonten (Account Takeover = ATO) ein großes Problem. In der Regel ist der Schaden bereits entstanden, wenn die kriminelle Übernahme des Kontos bemerkt wurde. Für Kriminelle sind Benutzerkonten deshalb so attraktiv, weil sich die vorgefundenen Inhalte vielfach ausnutzen und monetarisieren lassen:
- An das Benutzerkonto sind Rabatte und Vergünstigungen geknüpft,
- es sind Zahlungsinformationen hinterlegt, die sich auslesen bzw. nutzen lassen,
- Kontaktinformationen wie Lieferadressen lassen sich zentral verändern, damit also Waren umleiten,
- der legitime Nutzer oder die Nutzerin kann durch die Neueingabe eines Passworts aus seinem eigenen Konto ausgesperrt werden.
Gegen ATO versuchen sich Anbieter damit zu schützen, dass die Nutzerin oder der Nutzer in regelmäßigen Abstäanden dazu aufgefordert wird, Daten zu bestätigen oder Daten zu vervollständigen. Um die Kunden aber nicht unnötig zu belästigen, sind die Intervalle in der Regel sehr großzügig gewählt. In der Zwischenzeit können Kriminelle in aller Ruhe ihren Nutzen daraus ziehen.
Wie Behavioral Biometrics vor Account-Übernahmen schützt
Die Methoden des maschinellen Lernens in einem System für Behavioral Biometrics beginnen mit der Analyse direkt nach der Eröffnung eines Benutzerkontos. Zugleich greift die KI auf Daten und Verhaltensmuster zurück, die eindeutig kriminellen Ursprung hatten. Je mehr dynamische Daten während der Interaktion des Nutzers oder der Nutzerin mit dem System gewonnen werden, desto präziser wird das verhaltensbasierte Profil des legitimen Nutzenden.
Wie frühzeitig Behavioral Biometrics einen Angreifer oder nicht legitimierten Benutzer:in erkennen kann, hängt letztlich auch von der von ihm eingesetzten Methoden und Werkzeuge ab. Greifen die Kriminellen für die Accountübernahmen auf Softwareunterstützung zurück, kann Behavioral Biometrics etwa auf die Unterschiede zu einer menschlichen Interaktion prüfen.
Doch selbst das Verhalten eines klassischen Einzeltäters oder eine Täterin, der oder die ausschließlich manuell vorgeht, weist Merkmale auf, die von der Künstlichen Intelligenz enttarnt werden können. Häufig verzichten Anwender auf die minimale Absicherung von Smartphone oder Tablet. Wurden dann in Apps und im Browser Komfortfunktionen wie die Speicherung von Zugangsdaten genutzt, ist der Schaden groß, wenn das Gerät in falsche Hände gerät. Somit gäbe es für einen Anbieter keine Chance, die nicht legitimierte Nutzung zu entdecken.
Anders beim Einsatz von Behavioral Biometrics:
Der oder die unbefugte Dritte bedient das mobile Gerät völlig anders als der vorherige Nutzer oder Nutzerin. Dessen Verhalten lässt sich eben, anders als seine Daten, nicht einfach kopieren.
Das gilt auch für ATO, die von einem Hacker über einen Desktop-Rechner erfolgt. Auch in einem solchen Fall bieten sich Ansatzpunkte, Unterschiede zwischen dem legitimen und betrügerischen Nutzenden zu entdecken. So wird der Angreifer wahrscheinlich zögerlicher vorgehen, um sich zu orientieren.
Ein Merkmal könnte auch darin bestehen, dass der Nutzer oder die Nutzerin häufiger die Zwischenablage verwendet, als dies bisher der Fall war. Behavioral Biometrics kann hier in Kombination mit weiteren Vorsichtsmaßnahmen und Regeln (z. B. dem Verbot, Adressdaten und Passwort in einer Sitzung zu verändern) das Betrugsrisiko deutlich verringern.
Wie gezeigt, bedarf es einer permanenten Überwachung der Benutzerkonten, um die Accountübernahmen zu verhindern. Behavioral Biometrics liefert eine solche Überwachung im Hintergrund, ohne die Nutzer:innen in ihren Erfahrung und seinen Handlungsabläufen zu stören.
Website-Illustrationsvektorvorlage für Online-Zahlungszielseiten shutterstock.com
Schutz auch bei Account-Eröffnungen
Bei groß angelegten Betrugsversuchen verlassen sich professionelle Kriminelle in erster Linie auf die Unterstützung von Automatisierungslösungen oder Bots. Um nicht vorzeitig entdeckt zu werden, verschleiern die Angreifer ihre Spuren, etwa durch die Nutzung von unterschiedlichen IP-Adressen.
Führt der Betrüger oder die Betrügerin das Vorhaben vorwiegend manuell aus, existieren auch in diesem Fall besondere Verhaltensweisen, die sich von legitimen Nutzer:innen Unterscheiden:
- Der regelmäßige Aufruf einer Webseite zur Eröffnung von Benutzerkonten
- Zugriff auf die Zwischenablage, um Benutzernamen oder Passwörter zu kopieren
- eine wie einstudiert wirkende Art und Weise, Dialoge aufzurufen und natürlich die Eröffnung mehrerer Konten vom gleichen Gerät.
Somit kann der Einsatz von Behavioral Biometrics auch bei einer Eröffnung von Benutzerkonten seine Vorteile ausspielen.
Die wachsende Bedrohung durch Bots
Bots sind in der IT seit vielen Jahren bekannt. Ein Beispiel für einen Bot (der Name leitet sich von Roboter ab), den viele Anwender kennen, ist der Google-Bot, der automatisiert Webseiten besucht, um die Inhalte zu analysieren. Auf vielen Unternehmensseiten begegnen den Nutzern inzwischen Chatbot-Systeme, die Routineanfragen beantworten und Kundensupport liefern.
Bots spielen in vielen Betrugsarten eine bedeutende Rolle:
Sie rufen die Anzeigen von Konkurrenten auf, um diesen zu schädigen. Via Bots werden Informationen abgerufen oder Benutzerkonten für Trialversionen eröffnet, um an den ausgeschütteten Affiliate-Gebühren oder Gratifikationen zu partizipieren, alles Beispiele für AdFraud.
Oder Bots kaufen begrenzte Kartenkontingente begehrter Veranstaltungen, um diese weiter zu veräußern. Bots werden von Kriminellen aber auch dazu verwendet, um Benutzerkonten zu kompromittieren oder Tokens zu stehlen, um so an die geschützten Daten der Opfer zu gelangen.
Wegen des koordinierten Zugriffs und ihrer Arbeitsgeschwindigkeit verursachen Bots binnen kürzester Zeit Schäden, bevor IT- oder Security-Mitarbeiter:innen entsprechende Anomalien auf ihren Systemen entdecken können. Je nach Angriffsszenario werden die erbeuteten Informationen sofort genutzt oder weiterverkauft.
Die am Markt gängigen IT-Security-Lösungen bieten oftmals bereits eine Schutzfunktion gegen Bot-Angriffe (etwa zur Vermeidung von Distributed-Denial-of-Service-Attacken), stützen sich dabei aber auf Muster bereits bekannter Bots.
Die Versuche, von Bots versuchte Anmeldeversuche auf Websites durch Einsatz von Captchas (automatisiert generierte Zeichenfolgen) zu verhindern, laufen häufig ins Leere. Denn Kriminelle haben auch in dieser Hinsicht nachgerüstet, so dass Bots teilweise in der Lage sind, diese Verfahren zu umgehen.
Da es sich bei Bots aber um Computerprogramme handelt, zeichnen sie sich durch Besonderheiten aus, die vom menschlichen Verhalten abweichen. Und damit können sie von auf Behavioral Biometrics spezialisierten Systemen erkannt werden:
- Das Kopieren und Einfügen von Informationen und Dateien läuft schneller ab, als es für einen Menschen typisch ist.
- Mausbewegungen, das Tippen auf Displays oder Wischgesten unterscheiden sich in Geschwindigkeit und anderen Merkmalen deutlich von menschlichen Aktionen. Oder das System täuscht menschliches Agieren vor, es fehlen aber alle sonstigen Kennzeichen für einen Menschen.
- Das Verhalten des Bots ist auf unterschiedlichen Endgeräten identisch.
- Bei groß angelegten Betrugskampagnen werden häufig Emulatoren und virtuelle Umgebungen eingesetzt. Diese fallen dadurch auf, dass keinerlei Merkmale einer menschlichen Interaktion ausgelesen werden können, da die “Geräte” ja ausschließlich digital vorliegen.
Warum sich ein Einsatz von Behavioral Biometrics generell lohnt
Es erweist sich, dass die Analyse rein statischer und physischer Daten bei der Betrugsprävention nicht ausreicht. Beim Identitätsdiebstahl und Account Takeover wird der Schadensfall in der Regel zu spät entdeckt. Kriminelle gehen hierbei geschickt vor, nutzen das ihnen zur Verfügung stehende Zeitfenster maximal aus und verwenden gerade Identitäten, die bisher unauffällig waren und deren Bonität als gut eingeschätzt wurde.
Da sich Betrüger:innen aber entweder eigener Softwareprogramme bedienen oder ihr Verhalten sich deutlich von legitimen Benutzern bzw. Benutzerinnen unterscheidet, ergeben sich gute Ansatzpunkte für Behavioral Biometrics. Die KI der Systeme kann vielfach bereits auf Anomalien während der Account-Eröffnung oder den ersten Schritten eines Kriminellen aufmerksam machen.
Für den Nutzer bzw. Nutzerin gibt es, da die Analyse des Verhaltens diskret im Hintergrund abläuft, anders als bei anderen Sicherheitsverfahren, die eine Aktion seinerseits erfordern, keine Einschränkung in der User Experience. Behavioral Biometrics schränkt weder die Bedienbarkeit eines Systems (Shop, App) ein, noch wird eine zusätzliche Hürde aufgebaut, die andernfalls als störend empfunden wird.
Diese Vorteile lassen sich auch bei Betrugsvarianten nutzen, die auf der Nutzung von Bots basieren. Die Erfahrungen, die durch maschinelles Lernen von einem System gesammelt wurden, reagieren nicht auf Muster von bereits bekannten Bots. Sie fokussieren sich auf die Abweichung des bekannten Kundenverhaltens. Parameter, die von konventionellen Lösungen nicht entdeckt werden.
Dank der verbesserten Betrugsprävention minimieren Unternehmen aber nicht nur ihre Risiken. Sie stärken auch die Compliance. Denn vor einem Account Takeover steht auch die Einsicht auf personenbezogene Daten, für deren Sicherheit im Rahmen der DSGVO das Unternehmen verantwortlich ist.
Von der höheren Sicherheit profitieren mittelbar auch die Endanwender, deren persönliche und sensible Daten besser vor fremden Zugriffen geschützt sind. Unternehmen profitieren also von einer gleichbleibenden Conversion und Transaktionsrate bei geringeren Betrugsrisiken.
Behavioral Biometrics in der Praxis
Finanzinstitute und vor allem Onlinehändler sollten modernste Technologie nutzen, um sich gegen ausgefeilte Betrugsversuche von Kriminellen zu schützen. Eine Lösung z.B. dafür ist HYBRIGHT von CRIF, die durch eine Decision Engine mit anpassbarem Regelwerk und Machine Learning mit Behavioral Biometrics arbeitet. Dadurch werden Anomalien erkannt, selbst wenn Betrüger eine unauffällige Identität missbrauchen. Die User Experience wird durch die im Hintergrund ablaufende Überprüfung nicht beeinträchtigt. Damit werden Hürden beim Abschluss von Warenkörben und anderen Aktionen vermieden. HYBRIGHT kann flexibel in bestehende Systemlandschaften integriert werden und erkennt Betrugsversuche schneller als statische Informationen. So werden Risiken minimiert und man ist Betrügern einen Schritt voraus.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
