Nachahmungstechniken

Wenn ein Betrüger versucht, dein Unternehmen zu bestehlen, gibt es drei mögliche Szenarien. Im ersten Szenario geben sie sich als jemand anderes aus und benutzen eine legitime Identität, um ihren Betrug zu verschleiern und ihre Zahlungsmethode plausibel aussehen zu lassen. Im zweiten Szenario können sie versuchen, mit einer gefälschten oder synthetischen Identität völlig neu zu erscheinen. Im dritten Szenario könnte es sich um einen sogenannten freundlichen Betrüger handeln, der seine eigene Identität benutzt und eine betrügerische Rückbuchung plant.

Imitationstechniken sind das tägliche Brot von Betrügern, die das erste Szenario anwenden. In der Regel geht es bei der Imitation um die Zahlungsmethode. Der Grund, warum sie den Rest ihrer scheinbaren Identität so gestalten, dass sie wie eine andere Person aussieht, ist, dich oder dein System davon zu überzeugen, dass sie der echte Besitzer der Karte, der elektronischen Geldbörse oder einer anderen Zahlungsmethode sind. Die gestohlenen Zahlungsinformationen werden in der Regel zusammen mit dem Namen und der Adresse des Opfers und oft auch mit der E-Mail-Adresse und vielleicht der Telefonnummer des Opfers gekauft, damit der Betrüger eine gute Grundlage hat, auf der er seine Identität überzeugend aufbauen kann. Die Adresse enthält sowohl Rechnungs- als auch Versanddetails und hilft auch bei der IP.

Bei E-Mails übernehmen die Betrüger entweder das Konto des Opfers, wenn sie dessen Passwort und andere Informationen gestohlen haben, oder sie erstellen eine neue E-Mail-Adresse, die mit der echten des Opfers, seinem Namen oder bekannten Fakten über ihn übereinzustimmen scheint. Manche Betrüger gehen das Risiko ein, die echte Telefonnummer des Opfers zu verwenden, falls diese bekannt ist, denn auch wenn dadurch die Gefahr besteht, dass die Website die Nummer anruft und den Trick entdeckt, passiert das in der Praxis nur selten. Andere verwenden einfach Wegwerf-SIM-Karten, die zu dem Wohnort des Opfers passen, während wieder andere auf Voice-over-IP (VoIP)-basierte Telefonnummern setzen (obwohl sich solche Nummern, die manchmal identifiziert werden können, als Schwachstelle für den Betrüger und damit als Chance für ein Betrugsbekämpfungsteam erweisen können).

Bei physischen Bestellungen ist die Lieferadresse in der Regel der schwierigste Teil der Betrugsmasche. Der Betrüger kann es riskieren, die echte Adresse zu verwenden, wenn er sich sicher ist, dass er oder ein Komplize in der Lage sein wird, ein wenig Raubkopie zu betreiben. Aber das lässt natürlich die Möglichkeit offen, dass das Opfer das Paket tatsächlich erhält und der Betrüger nach all seiner harten kriminellen Arbeit leer ausgeht. Meistens versuchen Betrüger, die die echte Adresse des Opfers benutzen, um nicht entdeckt zu werden, den Kundendienst anzurufen, nachdem die Bestellung eingegangen ist, um die Adresse zu ändern. (Mehr über die Manipulation von Lieferadressen findest du in Kapitel 7.) Die Click-and-Collect-Option, bei der Kunden online kaufen und die Ware dann im Laden oder an einer bestimmten Abholstelle abholen können, die durch die COVID-19-Pandemie populär geworden ist, ist eine weitere Möglichkeit, das Adressproblem zu umgehen (und wird in Kapitel 8 behandelt).

Es gibt auch kompliziertere Alternativen, insbesondere Address Verification Service (AVS) Spoofing, was ein gutes Beispiel dafür ist, warum sich Betrugsteams selbst auf die am häufigsten verwendeten Tools nicht zu sehr verlassen können. AVS prüft, ob die Adresse, die bei der Transaktion angegeben wird, mit der Adresse übereinstimmt, die die Bank für diese Karte gespeichert hat. Es prüft nicht, ob diese Adresse wirklich existiert und bietet dem Händler keinen Schutz im Falle einer Rückbuchung. Außerdem ist es begrenzt: AVS Spoofing beruht auf der Tatsache, dass AVS, das von vielen Betrugsteams zur Überprüfung von Adressen in den Ländern, in denen es arbeitet, verwendet wird, nur die Zahlen in der Adresse überprüft, nicht aber die Buchstaben. So könnte ein Betrüger dem System vorgaukeln, dass 10 Main Street, Postleitzahl 12345, mit 10 Elm Avenue, Postleitzahl 12345, übereinstimmt. In der Main Street müsste der Betrüger eine eigene Präsenz haben - ein Büro, ein Postfach oder einen Wohnsitz - oder er könnte einen Kurier benutzen (einen Mitarbeiter, der ihm bei seinen Aktivitäten hilft, in diesem Fall durch die Bereitstellung einer sicheren Lieferadresse und oft auch eines Nachsendeservices) mit einer passenden Adresse.

Hier ist ein Beispiel, um diesen Punkt zu verdeutlichen:

Adresse in den Akten:

10 Elm Avenue, Emeryville, Postleitzahl 12345

Mögliche Adressen, um AVS-Systeme zu täuschen:

10 Main Street, Oakland, Postleitzahl 12345 → FULL MATCH

10 I-AM-A-FRAUDSTER Street, MOONVILLE, Postleitzahl 12345 → FULL MATCH

1 Elm Avenue, Emeryville, Postleitzahl 12345 → ZIP MATCH (eine teilweise Übereinstimmung wie diese reicht oft aus, um ein Betrugspräventionssystem zufriedenzustellen)

In subtileren Fällen spielen Betrüger manchmal mit der Tatsache, dass einige Städte dieselbe Postleitzahl haben, aber z. B. eine eigene Hauptstraße. Selbst bei einer manuellen Überprüfung kann dies auf den ersten Blick fehlschlagen.

Eine weitere Möglichkeit der Umgehung ist das Maultier. Maultiere sind seit Jahren ein beliebtes Mittel von Betrügern und wurden durch die wirtschaftliche Unsicherheit im Zusammenhang mit der COVID-19-Pandemie immer beliebter, da sie von zu Hause aus arbeiten mussten. Manche Maultiere wissen, worauf sie sich einlassen, während andere selbst Opfer der Masche werden und manchmal um ihren Lohn und die Kosten, die sie auf sich genommen haben, betrogen werden, wenn der Betrüger ihre Dienste einstellt. Es gibt auch noch andere Gefahren, wie in Kapitel 20 beschrieben.

Maulwürfe werden oft auch außerhalb des AVS-Spoofing-Einsatzes verwendet, da sie in vielerlei Hinsicht wertvoll sind. Selbst wenn die Adresse nicht perfekt übereinstimmt, könnte ein Betrugspräventionsteam die Adresse für legitim halten, wenn der Maulwurf in der richtigen Gegend lebt. Außerdem erweitern Maultiere die Reichweite von Betrügern durch Click-and-Collect drastisch. Auf sie ist Verlass, wenn es um den Weiterversand von Waren geht. Das bedeutet, dass Betrüger aus einem osteuropäischen Land leicht Pakete über eine seriös aussehende Adresse in den Vereinigten Staaten erhalten können. Sie können sogar Konten einrichten oder Bestellungen aufgeben, damit die IP zu der Identität passt, für die sie sich ausgeben. In Kapitel 7 werden Versandmanipulationen und Maultiere ausführlicher behandelt.

Als Betrugsbekämpfer ist es unsere Aufgabe, alle Daten, die wir haben und sammeln können, zu analysieren und das Beste aus ihnen zu machen, um die Geschichte zusammenzufügen, egal ob es sich um einen Betrug oder um einen legalen Fall handelt. Letztendlich müssen wir bedenken, dass nicht die Datenpunkte selbst bewertet werden, sondern was sie im Kontext aller Informationen, die wir in diesem Fall haben, bedeuten und wie sie zusammenpassen.

Täuschungstechniken

Täuschungstechniken können Teil einer erfolgreichen Imitation sein, vor allem im Fall von Betrügern, die ausgeklügelte Malware einsetzen, um die Online-Auftritte von Kunden auszuspionieren, aber sie sind auch unerlässlich, wenn ein Blankoangriff mit einer falschen Identität durchgeführt wird. Der Sinn dieser Verschleierungstricks besteht darin, den tatsächlichen Standort, das Gerät usw. des Betrügers zu verbergen; sie unterscheiden sich von den Nachahmungstechniken, die darauf abzielen, die Details einer echten und bestimmten Person nachzuahmen.

Mit genügend Entschlossenheit und technischem Geschick kann alles und jeder manipuliert werden. Erfahrene Betrugsbekämpfer, die staatliche oder staatlich finanzierte bösartige Akteure bei der Arbeit gesehen haben, können bestätigen, dass die Angreifer, wenn sie wirklich motiviert sind, von guten Kunden nicht zu unterscheiden sind. Wir gehen hier nicht auf die tieferen und dunkleren Formen der Manipulation ein, weil wir, wie im Vorwort erwähnt, vermuten, dass mehr als ein Betrüger dieses Buch irgendwann lesen wird. Auf jeden Fall werden Nachwuchsbetrüger/innen in der Regel schon früh in ihrer Karriere in die Feinheiten der Täuschungstechniken eingeführt.

Wir werden jedoch ein paar der häufigsten herausgreifen, vor allem, um darauf hinzuweisen (nicht zum letzten Mal!), dass die meisten verdächtigen Elemente hier auch harmlose Erklärungen haben können. Betrugsanalysten sind oft besser darin, Verschleierungen zu entlarven, als sich daran zu erinnern, dass sie auch mögliche legitime Szenarien in Verbindung mit dem Verschleierungsverhalten in Betracht ziehen. Dieser Weg führt zu unnötigen Fehlalarmen und frustrierten Kunden.

Ziehe IP-Maskierung in Betracht (mehr dazu in Kapitel 6). Virtuelle private Netzwerke (VPNs) und anonyme Proxys (meist Socks oder HTTP) sind die gängigsten Methoden, aber auch Tor wird hin und wieder verwendet. Es gibt sogar Dienste, die es den Betrügern ermöglichen, für jeden neuen Angriff neue IPs zu verwenden, und manche erlauben es den Betrügern, die IP mit der Adresse des Karteninhabers abzugleichen. Es gibt aber auch viele Gründe für gute Kunden, VPNs oder Proxys zu nutzen: vor allem der Schutz der Privatsphäre und die Umgehung von Inhaltsbeschränkungen (was zwar eine Form des Missbrauchs sein kann, aber kein Betrug in dem Sinne ist, in dem wir den Begriff in diesem Buch verwenden werden). Jetzt, wo das Arbeiten von zu Hause aus weit verbreitet ist, sind VPNs bei vielen Unternehmen beliebt, die ihren Mitarbeitern die Arbeit aus der Ferne sicherer machen wollen. Sogar Tor-Browser werden von besonders datenschutzbewussten, aber völlig legitimen Personen benutzt (Betrüger benutzen Tor nur selten, weil sie wissen, dass es verdächtig aussieht, so dass es fast schon ein positives Zeichen sein kann, wenn sie einen Tor-Browser in Gebrauch sehen).

Selbst die einfachste Art der Verschleierung, wie z.B. eine Wegwerf-E-Mail-Adresse, kann gute Erklärungen haben, obwohl dies eine Frage des Kontextes ist. Es ist unwahrscheinlich, dass ein echter Kunde eine mickeymouse101@gmail.com-style E-Mail-Adresse für seine Bank verwendet - wohl aber für eine Website, die er nur selten besucht, um sich vor Spam zu schützen. Das gilt umso mehr nach der Einführung von Hide My Email durch Apple. Je nachdem, ob du bei einer Bank oder einer Online-Bewertungsseite arbeitest, kann dies also ein wichtiges Signal sein oder auch nicht. Betrüger wissen auch, dass Kunden gute E-Mail-Adressen für ihre Banken verwenden. Wenn sie also eine neue Adresse erstellen, ist diese wahrscheinlich sehr plausibel, vielleicht ersetzen sie einfach eine 0 durch ein o oder verwechseln das Muster aus Vor- und Nachname auf eine andere Weise. Diese Tricks machen eine E-Mail noch verdächtiger... außer natürlich, dass echte Kunden das manchmal auch tun.

Außerdem ist es wichtig, auf die unterschiedlichen Arten von E-Mails in verschiedenen Kulturen zu achten. Je nach Profil des Nutzers kann eine E-Mail-Adresse mit bestimmten Zahlen ein gutes oder ein schlechtes Zeichen sein. Zahlen, die als Glücksbringer gelten, werden zum Beispiel oft in chinesischen E-Mail-Adressen verwendet, und wenn der Rest der Kaufgeschichte ebenfalls auf einen chinesischen Käufer hindeutet, ist das ein positives Zeichen für eine konsistente, legitime Geschichte. Die gleiche Zahl hat in europäischen Ländern jedoch nicht die gleiche Bedeutung und ist dort weit weniger wahrscheinlich Teil einer legitimen Geschichte.

Das Gleiche gilt für Änderungen am User Agent eines Geräts (die Zeichenfolge, die Informationen über ein Gerät enthält). Für einen Betrugsanalytiker ist dies eine Fundgrube wertvoller Informationen über das Betriebssystem, die Art des Geräts, den vom Nutzer verwendeten Browser, die Sprachen des Browsers und so weiter. Manchmal gibt es Anzeichen dafür, dass der Nutzer mit seinem User Agent spielt. Es kann sein, dass du innerhalb einer Stunde mehrmals ein scheinbar unterschiedliches User-Agent-Profil von genau derselben IP-Adresse aus siehst. Einerseits ist das verdächtig. Andererseits sind diese Einstellungen leicht zu manipulieren, und manchmal tun das auch gute Nutzer/innen - vor allem Entwickler/innen, Webdesigner/innen und Marketingfachleute, die verschiedene Einstellungen ausprobieren, um zu sehen, wie ihr Produkt auf verschiedenen Geräten, Browsern usw. aussieht.

Social Engineering

Als Täuschungstechnik verschleiert Social Engineering perfekt die Identität des Betrügers. Wenn das gelingt, wird der Betrüger zum Puppenspieler (d. h. zum Puppenspieler, nicht zum kopflosen Chrome-Knoten, auch wenn manche Betrüger ihn bevorzugen). Das Opfer, das die Marionette ist, durchläuft den Bestellvorgang mit seiner eigenen E-Mail-Adresse, IP-Adresse, seinem Gerät und so weiter. Nur durch starke Verhaltensanalysen und/oder ein umfassendes Vorwissen über die Gewohnheiten des Opfers kann ein solcher Angriff vollständig entschärft werden.

Auf die Auswirkungen von Social Engineering gehen wir in den Kapiteln 9 und 14 ausführlich ein. Für den Moment beschränken wir uns darauf, deine Motivation zur Bekämpfung von Social Engineering zu steigern, indem wir dich auf den neuesten Internet Crime Report des FBI aufmerksam machen, der Social-Engineering-Methoden als die Nummer eins der Betrugsversuche in den USA im Jahr 2020 bezeichnet(Abbildung 1-1).

Abbildung 1-1. Visualisierung des gesamten Angriffsvolumens im Jahr 2020, wie vom FBI in seinem IC3-Bericht berichtet²

Tipp

Es ist wichtig, jeden Aspekt der Online-Persönlichkeit eines Nutzers zu analysieren (und dein System analysieren zu lassen). Je mehr Informationen du hast, desto umfassender ist das Bild, das du dir von diesem Nutzer machen kannst. Ein Betrugsanalytiker muss sich jedoch daran erinnern, dass jedes dieser Details zum Gesamtbild beiträgt - keines davon allein ist "gut" oder "schlecht". Ein guter Betrugsanalytiker kann sowohl die legitimen als auch die betrügerischen Geschichten im Kopf entwickeln, während er alle Details untersucht und dabei sowohl gute als auch schlechte Gründe für die Details findet, die so sind, wie sie sind. Erst wenn das Bild vollständig ist, kann entschieden werden, ob die Identität hinter der Transaktion rechtmäßig ist oder nicht.

Das dunkle Web

Da wir bereits von gestohlenen Daten gesprochen haben, die zur Nachahmung verwendet werden können, und wir nun Bots erwähnen werden, scheint dies ein guter Zeitpunkt zu sein, um über das Dark Web zu sprechen. Im Gegensatz zum Deep Web ( ), bei dem es sich einfach um das nicht indizierte Internet handelt (d. h. Websites und Seiten, die du mit einer Suchmaschine nicht finden kannst) und das viele veraltete Seiten, alte Websites, verwaiste Seiten und Bilder usw. umfasst, steht das Dark Web für Online-Foren, Marktplätze und Websites, die aktiv vor Suchmaschinen verborgen werden, um anonym zu bleiben. Normalerweise ist der Zugang nur über einen Tor-Browser möglich, und viele Dark-Web-Seiten haben zusätzliche Einschränkungen, die den Zugang erschweren, wenn du nicht eingeweiht bist.

Ein großer Teil des kriminellen Online-Ökosystems funktioniert über das Dark Web - insbesondere über Foren, in denen verschiedene Angriffe diskutiert und geplant werden und in denen sich Ratschläge und Prahlerei vermischen, sowie über Marktplätze, auf denen die Werkzeuge des Handels getauscht werden. Einige Marktplätze sind spezialisiert, während andere breiter aufgestellt sind. Ein Marktplatz verkauft zum Beispiel nur gestohlene Verbraucherdaten, vielleicht mit einem besonderen Schwerpunkt auf Zahlungsinformationen wie Kreditkarten und PayPal-Konten. Ein anderer hat vielleicht eine Fülle von Apps im Angebot, die den Betrug einfacher und schneller machen, wie z. B. Apps, die die Details deiner Online-Persönlichkeit (IP, Sprache auf dem Computer, Zeitzone usw.) schnell ändern. Eine andere konzentriert sich vielleicht auf illegale Waren verschiedener Art. Manche Apps decken all das und noch mehr ab.

Wir erwähnen das Dark Web von Zeit zu Zeit, meist im Zusammenhang damit, wie es bestimmte Angriffe oder Techniken von Betrügern ermöglicht, und es ist sicherlich ein wichtiger Faktor, um die Welt der Online-Kriminellen zu verstehen. In einigen Unternehmen und bei einigen Anbietern gibt es Betrugsbekämpfer, die viel Zeit im Dark Web verbringen, um sich über neue Techniken oder Tools zu informieren und vor einem geplanten Angriff auf das eigene Unternehmen gewarnt zu werden.

Es ist aber auch wichtig zu wissen, dass viele kriminelle Gespräche, Planungen, Betrügereien und sogar Verkäufe auf Seiten stattfinden, die dem Durchschnittsbürger weitaus vertrauter sind, wie z.B. Social Media Seiten und Messaging Apps. Telegram ist bei vielen Betrügern besonders beliebt, weil es ein überdurchschnittlich hohes Maß an Privatsphäre bietet, und auch Signal wird manchmal aus demselben Grund genutzt. Der Erstattungsbetrug, über den wir in Kapitel 10 sprechen, ist ein gutes Beispiel dafür, wie Telegram es Kriminellen und normalen Menschen ermöglicht, miteinander zu interagieren, wovon beide profitieren (allerdings zum Nachteil der Händler, die sie angreifen). Auch Discord ist zu einem beliebten Forum für Betrüger geworden, die sich auf Spiele konzentrieren und dort ihre Machenschaften durchführen. Reddit ist bei Betrügern aller Art beliebt, um Tipps, Tricks und Prahlereien auszutauschen.

Volatilität

Es ist eine allgemein anerkannte Wahrheit, dass Betrugsanalysten nicht mit der Erwartung zur Arbeit gehen sollten, dass jeder Tag wie der vorherige ist. Betrugsangriffe haben Moden wie alles andere auch und reagieren auf verschiedene Jahreszeiten - wie das Verhalten von legitimen Kunden - und auf die Veränderungen und Ereignisse in deinem eigenen Geschäft.

Außerdem wissen Betrugsbekämpfer nie, wo ein Betrüger oder ein Betrugsring als Nächstes zuschlagen wird. Vielleicht hast du einen Monat lang ein beruhigendes Maß an Betrugsangriffen, und dann wirst du aus heiterem Himmel von einem Tsunami von Brute-Force-Angriffen getroffen, die von Menschen oder Bots generiert werden. Und das Problem ist, dass die Betrüger, die mit Volatilität zu tun haben, eine "Spülen und Wiederholen"-Mentalität haben: Sobald sie eine Schwäche in deiner Fähigkeit, mit Volatilität umzugehen, finden, werden sie diese ausnutzen, solange die Schwachstelle vorhanden ist. Vielleicht erzählen sie sogar ihren Freunden davon, um den Tipp und ihren Ruf zu verbessern und die Möglichkeit eines Massenangriffs zu eröffnen, wenn dieser effektiv sein kann.

Wenn dein System nicht richtig eingestellt ist, kann es lange dauern, bis du das Problem bemerkst, während du in einer geschäftigen Zeit mit einer Flut von Kunden zu tun hast. Das kann zu erheblichen Verlusten führen.

In deinem Geschäft kann es jedes Jahr zu Schwankungen kommen, z. B. durch die Besucherzahlen am Valentinstag, am Mutter- und Vatertag, zu Beginn der Schulzeit und am Ende der Ferien - die je nach Jahr früher oder später beginnen oder enden können. Diese natürliche Volatilität bringt ihre eigenen Herausforderungen für deine Modelle mit sich, aber leider werden Betrüger auch versuchen, sie voll auszunutzen.

Betrüger wissen, welche Artikel zu verschiedenen Zeiten des Jahres beliebt sind, und werden es auf diese abgesehen haben, um sich unter den Ansturm der guten Kunden zu mischen. Wenn du ein Unternehmen bist, das Blitzverkäufe durchführt, wissen die Betrüger das genauso gut wie deine legitimen Kunden und nutzen dieses Wissen zu ihrem Vorteil. Sie können auch ein echtes Muster von Last-Minute- oder First-Millisecond-Bestellungen imitieren (wenn Kunden versuchen, den Kaufen-Button in der Sekunde zu drücken, in der begehrte Tickets oder Waren in den begrenzten Verkauf gehen) - eine Taktik, die besonders bei Betrügern beliebt ist, die als Ticketverkäufer auftreten. Einige rühmen sich damit, dass sie das Kundenverhalten in den Nachrichten und in Berichten von Unternehmen, die diese Dinge untersuchen, verfolgen, um dieses Wissen zu nutzen, damit sie unter dem Radar bleiben können.

Aus Sicht der Betrugsbekämpfung ist es entscheidend, dass dein System in der Lage ist, mit der ganzen Vielfalt, die Betrüger ihm entgegenbringen können, umzugehen. Regeln müssen für verschiedene Jahreszeiten angepasst werden, maschinelle Lernsysteme müssen bei Bedarf schnell skaliert werden können, und manuelle Überprüfungsteams müssen für die arbeitsintensiven Zeiten des Jahres vorbereitet und aufgestockt werden.

Die Sensibilität für Schwankungen ist sowohl für die Betrugsbekämpfung (du willst Betrüger davon abhalten, deine Website anzugreifen) als auch für die Kundenerfahrung (du willst nicht so risikoscheu sein, dass du unnötige Reibungsverluste, Verzögerungen oder Fehlalarme für gute Kunden verursachst) wichtig.

Nimm ein einfaches Beispiel: velocity - wennein einzelner Nutzer versucht, mehrere Käufe in kurzer Zeit zu tätigen. Das könnte ein Betrüger sein, der aus seinem Erfolg Kapital schlägt, verschiedene Angriffspunkte ausprobiert oder sich weigert zu glauben, dass er erwischt und gesperrt wurde (je nach Situation). Es kann aber auch ein guter Kunde sein, der nach einem Gespräch mit einem Freund oder einem Familienmitglied wiederkommt, um weitere Artikel zu kaufen, oder ein Kunde, der in großen Mengen bestellt, um Einfuhrsteuern zu vermeiden, oder ein Kunde, der einmal fälschlicherweise gesperrt wurde und es nun erneut versucht. Noch einmal: Es geht um den gesamten Kontext - die Identität, die Geschichte - und nicht um die einzelnen Datenpunkte.

Ähnlich verhält es sich mit Bot-Angriffen, bei denen ein Betrüger ein automatisiertes Programm einsetzt, um deine Website wiederholt anzugreifen und jedes Mal andere Daten auszuprobieren, was die Anzahl der Transaktionen (und in der Regel auch die Anzahl der Angriffe), die dein System in kurzer Zeit bewältigen muss, drastisch erhöhen kann. Das Gleiche gilt für Brute-Force-Angriffe, bei denen wahrscheinlich ein Mensch hinter einem ähnlichen Rampeneffekt steckt. Vielleicht bist du ein Unternehmen, das einen nicht betrügerischen Anwendungsfall für Bots sieht, wenn auch nicht für Brute-Force-Angriffe (es gibt kaum einen guten Grund, mehrere Versuche zu unternehmen, sich mit gestohlenen Informationen in verschiedene Konten einzuhacken). Wenn du in einer Branche tätig bist, in der Wiederverkäufer/innen Teil des Ökosystems sind und du weißt, dass sie manchmal große Anstrengungen unternehmen, um die neuesten Artikel zu bekommen, dann sind Bots nicht ausgeschlossen, wenn ein heißer neuer Artikel kurz vor der Veröffentlichung steht. Wie du darauf reagierst, hängt von der Politik deines Unternehmens gegenüber Wiederverkäufern ab, aber aus Sicht der Betrugsanalyse ist es wichtig, dass du weißt, was vor sich geht und wann es dieselben Leute wieder versuchen.

Dein Team braucht verschiedene Trainingsgruppen für unterschiedliche Modelle, unabhängig davon, ob du Regeln, maschinelles Lernen oder beides verwendest. Du brauchst zum Beispiel eine Trainingsgruppe, die auf die durchschnittliche Volatilität reagiert, damit du einen Betrugsring erkennen kannst, wenn er an einem ganz normalen Tag aus heiterem Himmel auftaucht. Du brauchst aber auch ein Modell, das unabhängig von der Volatilität ist und für den Black Friday-Cyber Monday geeignet ist. Dieses Modell muss schwankungsresistenter sein, und dein Team muss präsenter sein, um es zu analysieren und bei Bedarf zu steuern. Genauso solltest du mit dem Rückbuchungsteam zusammenarbeiten, um ein Modell zu entwickeln, das im Januar und vielleicht im Februar funktioniert, wenn die Rückbuchungen nach den Feiertagen eintreffen.

Betrugsprävention ist keine Einheitsgröße für alle Unternehmen. Du - und deine Modelle - müssen in der Lage sein, sich an verschiedene Jahreszeiten und unterschiedliche Situationen anzupassen. Vieles davon lässt sich vorbereiten, aber es ist auch wichtig, in unbeständigen Zeiten kontinuierliche Bewertungen vorzunehmen, um bei Bedarf Änderungen vorzunehmen. Das gilt selbst dann, wenn dein manuelles Prüfungsteam von einer Flut von Aufträgen überwältigt wird. Wenn du dir auch in Stoßzeiten Zeit für eine umfassende Analyse nimmst, entlastest du die manuellen Prüfer und stellst sicher, dass dein System viel robuster gegen die Bedrohungen ist, denen es ausgesetzt ist.

Karten- und Kontoprüfung

Nicht alle Nutzungen einer gestohlenen Karte oder eines gehackten Kontos dienen dem unmittelbaren Profit der Betrüger. Es ist üblich, dass Betrüger testen, ob sie eine Karte oder ein Konto ausnutzen können, indem sie einen kleinen Einkauf tätigen oder einen kleinen Schritt im Konto machen, z. B. eine neue Adresse hinzufügen. Wenn sie sofort blockiert werden (vielleicht wurde die Karte bereits als gestohlen gemeldet), geben sie auf und gehen zur nächsten Karte über, nachdem sie nur ein oder zwei Minuten für die verbrannte Karte gebraucht haben. Wenn alles glatt läuft, sind sie bereit, sich ein umfangreicheres Profil anzulegen, um die Karte oder das Konto für größere Beträge zu nutzen.

Die Art des Testens von Karten und Konten bedeutet, dass Betrüger in der Regel Websites oder Apps ansteuern, die weniger Schutz vor Angriffen mit geringem Wert bieten, entweder weil sie zu einer Branche gehören, die traditionell nicht in Betrugsprävention investiert (z. B. gemeinnützige Organisationen), oder weil ihre Waren von geringem Wert sind, aber unter Zeitdruck geliefert werden müssen (z. B. Lebensmittellieferungen oder Geschenkkarten und andere digitale Güter mit geringem Wert), was bedeutet, dass das Betrugsteam möglicherweise nicht viel Aufwand in den Kauf von Kleinbeträgen investieren kann. Aber auch andere Arten von Websites werden getestet, manchmal als Teil der Ermittlungen eines Betrügers, um den typischen Kaufprozess nachzuvollziehen, und manchmal, um ein kleines, legitim erscheinendes Profil auf der Website zu erstellen, bevor ein größerer Betrugsversuch unternommen wird.

Missbrauch vs. Betrug

Die Unterscheidung zwischen Missbrauch und Betrug ist schwierig, und es gibt keinen weit verbreiteten Konsens zwischen den Betrugspräventionsteams und den Unternehmen, die sie schützen, darüber, wo die Grenze zu ziehen ist.

Im Allgemeinen ist Betrug eine professionellere Angelegenheit, die hauptsächlich von Akteuren durchgeführt wird, die sich auf diese Form der Kriminalität spezialisiert haben. Die Betrugsversuche spiegeln oft das Wissen über die Produkte, Prozesse und Schwachstellen der Website wider - manchmal sogar ein sehr tiefes Wissen.

Wenn es um einen direkten finanziellen Gewinn geht, ist Missbrauch eher die Sache von normalen Kunden, die durch Betrug ein bisschen mehr bekommen wollen, als ihnen zusteht. Manchmal geht dieser Betrug so weit, dass er wirklich betrügerisch ist und in den Bereich des freundschaftlichen Betrugs fällt, der in den Kapiteln 2 und 3 und ausführlicher in Kapitel 10 behandelt wird. Denk an Programme, die neue Kunden anlocken sollen, entweder direkt oder durch Empfehlungen; manchmal wird als Teil des Anreizes eine Gutschrift im Laden angeboten. Wirklich motivierte Missbraucher können mehrere Konten einrichten und das Angebot nutzen, um Bargeld zu erhalten. Wenn sie dieses Guthaben nutzen, um Artikel umsonst zu kaufen (zumindest, was sie betrifft), verliert das Geschäft, manchmal sogar erheblich.

In diesem und ähnlichen Fällen hängt es davon ab, ob diese Aktivitäten als Betrug gelten und dir als Problem in den Schoß fallen, wie dein Unternehmen sie sieht und in vielen Fällen, wo es sich auf dem Spektrum zwischen dem Fokus auf die Verhinderung von Betrug und dem Fokus auf Kundenzufriedenheit befindet. Wenn das Unternehmen es vorzieht, das Kundenerlebnis zu optimieren, braucht es vielleicht viele wiederholte Fälle von schwerem Betrug, bevor es bereit ist, einen echten Kunden zu sperren. Wenn das Unternehmen risikoscheu ist, kann es sein, dass du damit beauftragt wirst, freundlichen Betrug zu verhindern - etwas, das beim ersten Versuch des Nutzers fast unmöglich ist, es sei denn, du arbeitest direkt mit anderen Händlern zusammen, vorzugsweise in deiner Branche, die ihre Tricks vielleicht schon kennen. Wiederholte Verstöße können sich jedoch schnell häufen, und es ist wichtig, dass du dir über die Richtlinien deines Unternehmens im Klaren bist, wann und wie du mit solchen Betrügern umgehst.

Es gibt noch eine andere Art von Missbrauch, die nicht ganz so schwerwiegend ist und die leider manchmal von deinen enthusiastischsten Kunden begangen werden kann. Sie wird normalerweise als Promo-Missbrauch (Missbrauch von Werbeaktionen) bezeichnet. Wenn deine Website Gutscheine, einen Rabatt auf den ersten Einkauf oder ein ähnliches Angebot anbietet, kann es sein, dass Kunden, denen deine Website oder die von dir angebotenen Produkte gefallen, ein neues Konto (oder mehrere Konten) einrichten, um das Angebot mehrfach zu nutzen. Oder wenn du ein großzügiges Rückgaberecht hast, kann es sein, dass Kunden einen Artikel benutzen und ihn dann zurückgeben. Diese Aktivitäten sind nicht gerade Betrug, sie sind... Betrug. In der Branche wird das allgemein als Missbrauch bezeichnet.

Ob dein Betrugspräventionsteam dafür zuständig ist, diese Art von Aktivitäten aufzudecken, hängt oft davon ab, wie betrügerisch dein Unternehmen diese Verhaltensweisen einschätzt. Marketing oder Vertrieb können dich um Hilfe beim Schutz ihres Gutscheinangebots bitten, also ist es gut, darauf vorbereitet zu sein, aber es ist unwahrscheinlich, dass es zu deinen Standardaufgaben gehört, es sei denn, es wird zu einer echten Belastung für das Unternehmen. In diesem Fall kann eine vernünftige Reibung manchmal schon ausreichen, um diese Missbraucher abzuschrecken. Wenn sie weiter gehen und anfangen, die Taktiken anzuwenden, die wir von einem professionellen Betrüger erwarten würden - IP-Verschleierung, Burner Wallets, E-Mails und Telefone usw. - kannst du auf die üblichen Abwehrmaßnahmen zurückgreifen, die du gegen Berufsbetrüger anwendest. Ob du deine Fähigkeiten in diesen Fällen einsetzen darfst, hängt davon ab, ob du dein Unternehmen davon überzeugen kannst, dass dies gerechtfertigt ist. Du brauchst gute Beziehungen zu den wachstumsorientierten Abteilungen, um ihnen den Kontext zu vermitteln, den sie brauchen, um den Verlust zu verstehen, um zu erkennen, dass er nicht ihren wirklichen Zielen dient, und um dir den Rücken zu stärken, wenn du versuchst, ihn zu stoppen.

Es gibt jedoch auch andere Formen des Missbrauchs, die nicht zu einem direkten finanziellen Vorteil für den Missbraucher führen und Teil eines umfassenderen Betrugsangriffs sein können. Auch wenn dein Team nicht formell dafür verantwortlich ist, sie zu stoppen, solltest du diese Art von Verhalten verfolgen, weil es dir oft helfen kann, Betrug im Nachhinein zu verhindern. Es kann dir auch dabei helfen, das Unternehmen im weiteren Sinne zu schützen, und das ist etwas, das du sicherstellen solltest, dass die obere Führungsebene es weiß und zu schätzen weiß.

Die Kontoerstellung ist ein gutes Beispiel für diese Art des Missbrauchs. Ein gefälschtes Konto kann Teil eines einfachen Coupon-Missbrauchs sein - aber es kann auch der erste Schritt sein, um ein Konto zu erstellen, das nach einiger Zeit für betrügerische Zwecke genutzt wird.

Die Erkennung dieser Art von Missbrauch ist ähnlich wie die Identifizierung von Betrug: Du musst nach Mustern zwischen den Identitäten suchen, die die neuen Konten einrichten, die Bewertungen schreiben usw., um zu erkennen, dass letztlich dieselbe Person dahinter steckt. Wenn du ein aussagekräftiges Profil dieses Akteurs erstellen kannst, kannst du damit sicherstellen, dass er später keine weiteren direkten Betrugsversuche unternimmt. Darüber hinaus ist die Identifizierung dieser Konten wertvoll, weil es bedeutet, dass die Verantwortlichen deines Unternehmens keine falsche Vorstellung von den Nutzern oder der Anzahl der Konten haben, was dazu führen könnte, dass sie problematische Entscheidungen auf der Grundlage falscher Daten treffen.

Der Missbrauch von Inhalten oder Rezensionen läuft nach einem ähnlichen Muster ab. Gefälschte Bewertungen können von echten Kunden stammen, die versuchen, ihr Profil oder das Produkt oder die Dienstleistung eines Freundes aufzuwerten, oder sie können Teil eines größeren Betrugsplans sein. Gefälschte Bewertungen können bestimmte Unternehmen, die vielleicht nur eine Fassade sind, legitim erscheinen lassen. Sie können auch dazu beitragen, dass ein gefälschtes Konto seriöser wirkt. Sie verschmutzen dein Ökosystem und untergraben das Vertrauen der Kunden in deine Website und ihre Produkte oder Dienstleistungen.

Geldwäsche und Compliance-Verstöße

Geldwäsche ist ein natürliches Problem für Banken, fintechs und andere Finanzinstitute, und in diesen Kontexten gibt es in der Regel Teams, die sich darum kümmern, sie zu stoppen - ganz zu schweigen von den Vorschriften und Instrumenten zu ihrer Verhinderung.

Die Bekämpfung der Geldwäsche (AML) ist schon seit vielen Jahren ein Anliegen von Banken und Finanzinstituten. Und seit Fintechs und Kryptowährungen das Finanzökosystem bereichern, ist der Kampf gegen Geldwäsche auch in diesen Organisationen ein wichtiger Teil der Betrugsprävention geworden. Tatsächlich hat der boomende Markt für Kryptowährungen die Bemühungen um Geldwäsche - und die Präventionsarbeit - überall verstärkt, vor allem jetzt, da eine Reihe von Banken ihren Kunden erlaubt, Kryptowährungen in andere Währungen umzuwandeln. Die Einrichtung neuer Konten zu diesem Zweck ist inzwischen gang und gäbe, was die Notwendigkeit, Geldwäsche in Fällen zu verhindern, in denen das Geld nicht rechtmäßig ist, noch dringlicher macht. Da es so schwierig ist zu erkennen, woher die Kryptowährung kommt, muss der Schwerpunkt auf der Person liegen, die das Konto einrichtet. Handelt es sich um eine echte Identität? Ist die Person, die das Konto einrichtet, die Person, zu der die Identität gehört?

Glücklicherweise haben die Banken viel Erfahrung mit der Identitätsprüfung von Kunden, die ein neues Konto einrichten wollen, und die meisten haben optimierte Prozesse eingerichtet, um Identitätsdokumente zu überprüfen und sicherzustellen, dass sie authentisch sind und der Person gehören, die das Konto einrichten will. Zu der eingehenden und oft KI-gestützten Dokumentenvalidierung sind in den letzten Jahren Liveness Checks und Selfie-Authentifizierung hinzugekommen, um sicherzustellen, dass die betreffende Person wirklich anwesend ist und nicht nur ein Foto oder ein Deepfake (siehe Kapitel 11 für eine Diskussion über Deepfakes in diesem Zusammenhang), selbst wenn der Onboarding-Prozess vollständig online durchgeführt wird. Natürlich gibt es auch manuelle Prozesse, die sicherstellen, dass weder das Dokument noch das Foto manipuliert wurden, um eine erfolgreiche Imitation zu verhindern.

Schwieriger zu erkennen sind Machenschaften, bei denen echte Kunden mit echten Identitäten und echten Konten benutzt werden, die es zulassen, dass diese Konten von Geldwäschern benutzt werden. In einigen Ländern ist es illegal, einen Bürger daran zu hindern, ein Konto zu eröffnen, wenn seine Identität in Ordnung und rechtmäßig ist, selbst wenn dein Team die Motivation der betreffenden Person vermutet. In diesen Fällen können die Betrugsteams diese Konten und ihre Aktivitäten nur dann besonders sorgfältig verfolgen, wenn sie eingerichtet wurden. Diese Einschränkung setzt das Betrugsteam unter erheblichen Druck und verschafft den Kriminellen einen zusätzlichen Vorteil.

In diesem Zusammenhang ist es erwähnenswert, dass die Kriminellen, die an dieser Art von Finanzbetrug beteiligt sind, in der Regel in das organisierte Verbrechen im großen Stil verwickelt sind und keine Kleinganoven sind. Das bedeutet einerseits, dass sie gut finanziert, organisiert und schwer zu fassen sind, andererseits aber auch, dass das Auffinden einer Schwachstelle einem Betrugsteam oft ein ganzes System eröffnet. Auch die Zusammenarbeit mit anderen Finanzinstituten kann sehr effektiv sein, da das organisierte Verbrechen in der Regel mehrere Ziele angreift.

Geldwäsche und Geldwäschebekämpfung werden in der Regel im Zusammenhang mit Banken und Finanzinstituten verstanden, was wir in Teil V des Buches näher erläutern. Was weniger bekannt ist, ist, dass Geldwäsche auch auf Online-Marktplätzen möglich ist - und in gewisser Weise ist es dort viel einfacher, weil die Abwehrmechanismen weniger robust sind und Marktplätze nicht die gleichen Compliance-Verpflichtungen haben wie Finanzinstitute. Das Prinzip ist einfach. Auf einem Marktplatz interagieren Käufer/innen und Verkäufer/innen. (Wir verwenden die Begriffe Käufer und Verkäufer gleichermaßen für die Akteure, die an Mitfahrgelegenheiten, Wohnungsvermietungen, Autovermietungen oder anderen Online-Marktplätzen beteiligt sind.) Ein Käufer schickt Geld an einen Verkäufer. Der Verkäufer erhält das Geld, das auf diese Weise sauber gewaschen werden kann.

Nehmen wir an, ein Betrüger will seine unrechtmäßig erworbenen Gewinne loswerden und nutzt dafür einen Online-Marktplatz. Wenn ein Betrüger (oder ein Betrügerring) sowohl als Käufer als auch als Verkäufer auftritt, kann er Bestellungen für völlig legitime Produkte oder Dienstleistungen aufgeben und dafür bezahlen. Die Zahlung fließt natürlich wieder in ihre eigene Tasche - als Verkäufer. In ihrer Eigenschaft als Verkäufer haben sie das Geld völlig rechtmäßig erworben... abgesehen von der kleinen Tatsache, dass die Ware oder Dienstleistung nie verschickt oder empfangen wurde. In der Regel gibt es das Produkt oder die Dienstleistung gar nicht, und das Verkäuferkonto dient nur der Geldwäsche.

Genauso kann ein Krimineller eine einfache und sichere Möglichkeit suchen, um online Zahlungen für illegale Waren zu erhalten. Sie können ein Konto als Verkäufer auf einem Online-Marktplatz einrichten und es nutzen, um Zahlungen zu erhalten. Die verschiedenen Artikel im Shop können den verschiedenen illegalen Artikeln entsprechen, die sie verkaufen. Wenn sie z. B. Drogen verkaufen, aber vorgeben, Kleidung zu verkaufen, könnte Heroin einer Designer-Handtasche entsprechen, während Kokain ein Kaschmirpullover wäre, und so weiter.

Sicher, es gibt eine kleine Gebühr für den Marktplatz, aber das ist wirklich ein sehr kleiner Betrag, wenn man bedenkt, welchen Nutzen die Betrüger hier haben: frisch gewaschenes Geld, eine einfache und unverdächtige Möglichkeit für die Kunden, für illegale Artikel zu bezahlen, und alles so einfach. Sie müssen sich nicht einmal als jemand anderes ausgeben oder Täuschungstechniken anwenden.

Wir erwähnen dies, um die Bedeutung der Geldwäsche für das gesamte Online-Ökosystem zu verdeutlichen, da Betrugsanalysten sich dieses Faktors nicht immer bewusst sind. Darüber hinaus möchten wir jedoch auf einen Punkt hinweisen, der für eine erfolgreiche Betrugsprävention von grundlegender Bedeutung ist und den wir im Laufe des Buches mehr als einmal ansprechen werden.

Wir - die Betrugsbekämpfer, die Guten, die, die auf der Seite des Lichts stehen - neigen dazu, die verschiedenen Aspekte von Betrug und Betrugsprävention in hilfreichen Kategorien zu betrachten, die uns Klarheit und einen Rahmen geben. Wir unterscheiden zwischen Kontoübernahmen (ATO) und gestohlenen Kreditkartenbetrügereien, und beide von AML. Wir unterscheiden zwischen Trends im E-Commerce, auf Marktplätzen und in Banken. Wir betrachten verschiedene Arten von Betrügern. Das tut dieses Buch auch - ein Blick auf die Inhaltsseite genügt, um das zu erkennen. Es ist eine nützliche Methode, um den Umfang und die Ebenen der Herausforderungen zu verstehen, vor denen wir stehen, um verschiedene Aspekte der verschiedenen Betrugsarten und Betrüger zu erkennen und um zu sehen, wie sie zusammenpassen. Aber Betrüger denken nicht so. Sie sind darauf aus, dein Unternehmen und jedes andere Unternehmen da draußen zu betrügen. Unsere Kategorien sind ihnen egal, und wenn wir uns zu sehr auf diese Kategorien versteifen, werden sie sie als Schwachstellen ausnutzen.

Betrüger bewegen sich nahtlos zwischen gestohlenen Karten, ATO, Social Engineering, Geldkurieren, Versandmanipulationen und sogar Geldwäsche, wobei sie jeden Trick anwenden, der unter den gegebenen Umständen funktioniert. AML-Experten und Betrugsbekämpfer würden beide davon profitieren, wenn sie die Kategorien und Bedenken des jeweils anderen kennen würden. (Das ist auch der Hauptgrund, warum wir beide Aspekte in diesem Buch zusammengefasst haben).

Zusammenfassung

In diesem Kapitel wurden Definitionen und Unterscheidungen in Bezug auf die Merkmale von Betrügern und die Arten von Angriffen skizziert, die zu den wichtigsten Bausteinen des Verständnisses von Betrügern für die Zwecke der Betrugsprävention gehören. Wir haben auch die Bedeutung der Identität hinter einer Transaktion hervorgehoben, etwas, das ein Betrugsanalytiker auch dann im Auge behalten sollte, wenn er sich auf Details wie die IP- oder E-Mail-Analyse konzentriert. Das nächste Kapitel befasst sich mit der anderen Hälfte des Bildes: den verschiedenen Arten von Betrügern, ihren Fähigkeiten und ihren Motiven.