Mobile Intelligence. Trusted Data.

Hackers Silent Authentication

Stille Authentifizierung - warum sie die Zukunft ist und warum die Betrüger sie hassen

Sie galten einst als eine Art intelligente Bombe, die Gaunern den Todesstoß versetzen würde.

In letzter Zeit haben die Betrüger jedoch eine oder zwei Lücken gefunden, die es ihnen ermöglichen, die bisher völlig undurchdringlichen Sicherheits-OTPs zu umgehen.

Es gibt keinen Grund zur Panik – OTPs sind nach wie vor ein zuverlässiges Mittel, um Nutzer vor Betrug bei Transaktionen zu schützen. Aber es gibt inzwischen einige bekannte Möglichkeiten, wie Betrüger sie umgehen können.

Eines der größten Probleme bei der Betrugsbekämpfung besteht darin, dass der Feind stets versucht, die Waffen, die ihn ausrotten sollen, zu seinem eigenen Vorteil zu nutzen und sie selbst als Waffe einzusetzen. Und genau das ist in letzter Zeit unter bestimmten Umständen bei Einmal-Passwörtern (OTPs) der Fall.

Eine der neuesten Betrugsmaschen ermöglicht es Betrügern beispielsweise, OTPs zu erlangen, ohne dass sie das Telefon des Opfers oder eine Kopie davon besitzen. Stattdessen senden sie eine SMS, die scheinbar von der Bank der Zielperson stammt, und fragen, ob diese gerade eine Transaktion von hohem Wert getätigt hat – zum Beispiel eine Urlaubsbuchung im Wert von 10.000 Pfund. Der entsetzte Kontoinhaber wird mit „Nein“ antworten. In einer neuen SMS werden sie dann aufgefordert, diese Antwort zu bestätigen, indem sie das OTP mitteilen, das sie gleich erhalten werden. Im gleichen Moment versucht der Hacker, sich bei einem Konto seines Opfers anzumelden. Dies führt dazu, dass ein echtes OTP per SMS an das Telefon geschickt wird – aber aus Sorge um die Urlaubsbuchung gibt das Opfer es wie angewiesen ein. Auf diese Weise senden sie natürlich den Zugangscode an einen Hacker.

OTPs Schwachstellen

Am anderen Ende der Skala, auf einer gröberen, aber erschreckenden Ebene, steht diese Version. Ein Freund von mir wurde kürzlich überfallen. Sie nahmen ihm das Telefon ab und drohten ihm mit Gewalt, falls er nicht seine PIN zum Entsperren des Telefons preisgeben würde. Sobald sie das hatten, konnten sie auf alle seine Apps zugreifen und mit seinem Geld Chaos anrichten. Noch lange nachdem das Telefon als gestohlen gemeldet wurde, wurden ihnen OTPs geschickt, um den Diebstahl zu erleichtern – denn es gab keinen Zusammenhang zwischen dem Status des Telefons als gestohlen und seiner Fähigkeit, Transaktionen durchzuführen.

Es gibt zahlreiche Variationen dieser Betrügereien, aber Sie verstehen, worum es geht: OTPs haben einige Schwachstellen, die es Kriminellen ermöglichen, sie zu umgehen.

Authenticate explanation design one app blog post

Deshalb freuen wir uns so sehr über die Einführung der stillen Authentifizierung.

Es handelt sich dabei um eine schnelle, reibungslose und vor allem völlig sichere Methode zur Verifizierung von Nutzern, die bald eine große Rolle in der Online-Sicherheit spielen wird. Die stille Authentifizierung, die beim Onboarding und/oder bei späteren Käufen zum Einsatz kommt, beseitigt die Schwachstellen, die OTPs entwickelt haben.

Der Grund dafür ist, dass es ausschließlich auf den Echtzeitdaten des Mobiltelefons des Nutzers basiert.

Seit Jahren betonen wir, dass der Schlüssel zur Online-Sicherheit in der Nutzung von Telekommunikationsdaten liegt, da diese mehr über den Nutzer aussagen können als alle anderen Informationen. Und das ist genau das, was die stille Authentifizierung bewirkt. Daher ist es wirklich erfreulich zu sehen, dass es endlich als die innovative Sicherheitswaffe eingesetzt wird, von der wir immer wussten, dass sie es sein könnte.

Und ich hoffe, es versteht sich von selbst, dass wir bei der Einführung der stillen Authentifizierung in den allgemeinen Sprachgebrauch natürlich eine Vorreiterrolle spielen werden.

Unsere eigene Version der stillen Authentifizierung heißt TMT-Authentifizierung und bringt Daten von über 50 Telekommunikationsnetzbetreibern weltweit ins Spiel. Das bedeutet, dass es einen echten weltweiten Sicherheitsschutz auf einem bisher unerreichten Niveau bietet.

Es beseitigt den langjährigen Widerspruch, sich zwischen modernsten Betrugskontrollen und einem reibungslosen Benutzererlebnis entscheiden zu müssen: Plötzlich kann man beides haben.

Der ultimative Gewinner ist hier der Kunde: denn er wollte nie die schwierige Wahl zwischen einem schnellen, nahtlosen Online-Erlebnis und dem Gefühl der Sicherheit und des Schutzes treffen müssen.

Jetzt müssen sie das nicht mehr.

Autor

Fergal Parkinson

Fergal Parkinson

CMO UND MITBEGRÜNDER

Want more insights?

Sign up to join our mailing list.

Bevor Sie gehen...

Werfen Sie einen Blick auf unser neuestes White Paper, Tackling Mobile Identity Fraud in Financial Services. Unsere Produktexperten stehen Ihnen jederzeit für Fragen zur Verfügung!