2 Identitätsdiebstahl beim Online-Banking
2.2 Typische Betrugsmuster von Identitätsdiebstahl im Bankenumfeld
Die im Abschnitt 2.1 genannten Formen des Identitätsbetrugs bei Überweisungen hinter-lassen bei Banken Spuren in Form von wiederkehrenden bekannten Mustern. In diesem Fall liegt das Hauptaugenmerk auf Geschäftsbanken wie Volks- und Raiffeisenbanken oder Sparkassen, weil diese z.B. nach [Stat08] in der Regel die Anbieter für Girokonten darstellen und Online-Banking ermöglichen.
Die nachfolgenden Betrugsmuster wurden im Rahmen der zu Beginn genannten Inter-views mit den Betrugsexperten aus der Bankenbranche genannt (siehe Anhang 1):
a) Verdächtig sind Transaktionsbeträge nahe an der maximalen Verfügbarkeitsgrenze des Girokontos (Kontostand + Dispolimit). Allerdings kann in seltenen Fällen auch die Situati-on eintreten, dass die Betrüger absichtlich keinen so hohen Betrag transferieren um nicht aufzufallen.
b) Verdächtig sind Transaktionsbeträge mit einem vielfachen Verhältnis zum durchschnitt-lichen Transaktionsbetrag des Kunden.
c) Verdächtig sind Überweisungen ins Ausland, wobei aber mittlerweile ca. 80% der Be-trugstransaktionen zu Mittelsmännern im Inland gehen, welche die gestohlenen Beträge anschließend ins Ausland transferieren oder abheben und in Bar weiterleiten. Diese
Mit-telsmänner werden oft – besonders in wirtschaftlich schwierigen Zeiten – mit der Aussicht auf einen einfachen Hinzuverdienst angeworben, meistens ohne das Wissen dieser Per-sonen nach den Quellen des transferierten Geldes. Die Zielländer der Betrugstransaktio-nen stellen oftmals osteuropäische, afrikanische, asiatische oder südamerikanische Staa-ten, aber auch England dar. Auslandsüberweisungen weisen im Privatkundenbereich all-gemein einen sehr geringen Anteil auf, weshalb diese verdächtiger sind.
d) Verdächtig sind ausländische IP-Adressbereiche als Quelle der Online-Überweisung, wobei viele Kreditinstitute die IP-Adresse des Quellrechners nicht auswerten bzw. nicht wissen (die IP-Adresse identifiziert einen Rechner eindeutig im Internet, für weiterführen-de Literatur hierzu siehe [Kuro02, S. 301 - 319]). Der Grund dafür ist, dass die Betrüger oftmals im Ausland angesiedelt sind und mit den erbeuteten Daten von dort aus ihre Be-trugstransaktion starten. Auch führen Inlandskunden in der Regel keine Überweisungen aus dem Ausland durch und benutzen somit immer den gleichen inländischen IP-Adressraum.
e) Verdächtig ist, wenn die Zeit, die für die Durchführung einer Online-Überweisung benö-tigt wird so kurz ist, dass diese von einem Menschen (im Normalfall) in dieser Geschwin-digkeit nicht durchgeführt werden kann. Das deutet darauf hin, dass die Überweisung evtl.
von einem Trojanischen Pferd durchgeführt wurde, wobei viele Kreditinstitute diese Zeit-messungen nicht durchführen.
f) Verdächtig sind Überweisungen zu einem unbekannten Empfänger d.h. Überweisungen auf ein Konto, auf welches vorher von diesem Kunden noch nie überwiesen wurde und es sich bei dem Empfänger um keine bekannte Organisation oder Behörde handelt. Aller-dings kann dieser Fall häufiger, z.B. bei Neukunden, auftreten.
g) Gefährdet sind Kunden mit durchschnittlich wenigen Online-Transaktionen bzw. insge-samt sehr wenigen Aktivitäten im Bereich Online-Banking, da bei dieser Personengruppe mit einer höheren Wahrscheinlichkeit davon ausgegangen wird, dass sie weniger mit den Gefahren des Identitätsdiebstahls vertraut sind.
h) Verdächtig sind Transaktionsbeträge, die größer als 1.500 Euro sind. Konten, die einen geringeren maximal verfügbaren Transaktionsbetrag aufweisen, werden von den Betrü-gern in der Regel in Ruhe gelassen, weil es sich nicht lohnt, für kleinere Beträge einen
i) Unverdächtig dagegen sind regelmäßige Transaktionen auf das gleiche Zielkonto bzw.
bekannte, vertrauenswürdige Empfänger wie bekannte Organisationen oder Behörden.
Diese Muster gelten ausschließlich für Online-Transaktionen. Überweisungen, die persön-lich am Schalter aufgegeben wurden oder Kredit- bzw. Debitkartenzahlungen werden hierbei nicht mit einbezogen. Für die Betrugsanalyse ist zu berücksichtigen, dass bei un-terschiedlichen Kunden eine bestimmte Transaktion bei einem Kunden verdächtiger ist als bei einem anderen Kunden. Daher ist für die Durchführung der Transaktionsanalyse auch die Transaktionshistorie eines Kunden von Bedeutung, was im Abschnitt 6.1 diskutiert wird.
Die entwickelte Lösung dieser Arbeit setzt bei der Erkennung derartiger Transaktionsmus-ter an. Da die Banken oder RechenzentrumsdienstleisTransaktionsmus-ter aus Sicherheitsgründen keine Originaldaten von Betrugs- und Nicht-Betrugsüberweisungen preisgeben, wurden im Rahmen des experimentellen Teils dieser Arbeit die Transaktionen nach den oben ange-gebenen Mustern simuliert. Der folgende Beispieldatensatz bzw. Beispielevent aus der Simulation zeigt einen typischen Betrugsfall:
Attribut Wert
KundenID 11258
TransaktionsID 12491
Transaktionsbetrag -12.771,76 €
Transaktionsdatum 25.02.2009
Transaktionsuhrzeit 18:36:12
Quellkontonummer 1619134
Quellrechner IP-Adresse 87.115.18.115
Empfängerkontonummer 3001040
Empfängerbankleitzahl 165050 (= Bank of America, London)
Kontostand +5.488,76 €
Dispolimit 7.300,00 €
Durchschnittlicher Transaktionsbetrag -241,87 € Durchschnittliche Transaktionszahl (Monat) 3,0
Auslandstransaktion ja
Bekannter Empfänger nein
Inländische IP-Adresse nein
Zeit für die Online-Überweisung 56 sek.
Tabelle 1: Beispiel für einen verdächtigen Betrugsfall
Bei diesem Betrugsfall in Tabelle 1 sind von den oben genannten Charakteristika eines Betrugsfalls viele erfüllt, z.B. ein hohes Verhältnis von Transaktionsbetrag zum maximal verfügbaren Betrag (99,09% = 12.771,76 * 100 / (5.488,76 + 7.300,00)) sowie ein überdi-mensional hohes Verhältnis von Transaktionsbetrag zum durchschnittlichen Transakti-onsbetrag (5.280,42% = 12.771,76 * 100 / 241,87). Darüber hinaus handelt es sich um eine Auslandstransaktion von einem Quellrechner mit ausländischer IP-Adresse zu einem zuvor nicht bekannten Empfänger. Dies zeigt einen offensichtlichen Betrugsfall in dem der Phisher über eine gefälschte Internetseite an die Kontodaten seines Opfers gelangt ist.
Der Betrüger nutzt die temporäre Sicherheitslücke sofort um fast den maximalen Betrag zu stehlen. Im Rahmen der Simulation wurden auch Betrugsfälle generiert, bei denen die Werte nicht so offensichtlich auf einen Betrugsfall hindeuten. Beispiele dafür sind Betrugs-transaktionen mit geringeren Verhältnissen von Transaktionsbetrag zum durchschnittli-chen Transaktionsbetrag bzw. zum maximal verfügbaren Betrag oder auch Betrugstrans-aktionen, die ein Konto im Inland zum Ziel haben. Ein solcher Betrugsfall ist in Tabelle 2 dargestellt:
Attribut Wert
KundenID 8916
TransaktionsID 11239
Transaktionsbetrag -7.900,26 €
Transaktionsdatum 27.02.2009
Transaktionsuhrzeit 00:56:34
Quellkontonummer 1394561
Quellrechner IP-Adresse 88.101.58.15
Empfängerkontonummer 1587335
Empfängerbankleitzahl 13050000 (= Sparkasse Rostock)
Kontostand +13.844,59 €
Dispolimit 9.000,00 €
Durchschnittlicher Transaktionsbetrag -1.029,78 € Durchschnittliche Transaktionszahl (Monat) 8,0
Auslandstransaktion nein
Bekannter Empfänger nein
Inländische IP-Adresse ja
Zeit für die Online-Überweisung 8 sek.
Tabelle 2: Beispiel für einen unverdächtigen Betrugsfall
Bei diesem Betrugsfall ist das Verhältnis von Transaktionsbetrag zu maximal verfügbaren Betrag nicht so hoch (34,58% = 7.900,26 * 100 / (13.844,59 + 9.000,00)), gleiches gilt für das Verhältnis von Transaktionsbetrag zum durchschnittlichen Transaktionsbetrag (767,18% = 7.900,26 * 100 / 1.029,78). Des Weiteren handelt es sich hierbei nicht um eine Auslandsüberweisung und auch der Quellrechner befindet sich im Inland. Ebenso weist dieser Nutzer bei durchschnittlich acht Online-Transaktionen im Monat eine gewisse Erfahrung auf, dennoch liegt hier ein Betrugsfall vor. Anhand der Zeit für die Online-Überweisung kann davon ausgegangen werden, dass hier ein Trojanisches Pferd aktiv war. Der Virus ist in diesem Fall so programmiert, nicht die maximal mögliche Summe zu transferieren um (möglicherweise) länger unentdeckt zu bleiben.
Im Vergleich dazu sind in Tabelle 3 die jeweiligen Ausprägungen eines typischen Nicht-Betrugsfalles aufgelistet.
Attribut Wert
KundenID 9031
TransaktionsID 14008
Transaktionsbetrag -34,01 €
Transaktionsdatum 26.02.2009
Transaktionsuhrzeit 10:06:28
Quellkontonummer 1900912
Quellrechner IP-Adresse 77.25.68.25
Empfängerkontonummer 1201040
Empfängerbankleitzahl 70070010 (= Deutsche Bank, Mün-chen)
Kontostand +5.759,01 €
Dispolimit 4.300,00 €
Durchschnittlicher Transaktionsbetrag -173,66 € Durchschnittliche Transaktionszahl (Monat) 10,0
Auslandstransaktion nein
Bekannter Empfänger nein
Inländische IP-Adresse ja
Zeit für die Online-Überweisung 117 sek.
Tabelle 3: Beispiel für einen unverdächtigen Nicht-Betrugsfall
Das Verhältnis von Transaktionsbetrag zum maximal verfügbaren Betrag ist bei diesem Nicht-Betrugsfall nicht sehr hoch (0,34% = 34,01 * 100 / (5.759,01 + 4.300,00)), ebenso das Verhältnis von Transaktionsbetrag zum durchschnittlichen Transaktionsbetrag
(19,58% = 34,01 * 100 / 173,66). Quelle und Ziel der Überweisung befinden sich im In-land. Da der Empfänger nicht bekannt ist, könnte es sich hierbei z.B. um die Bezahlung einer Buchsendung handeln, wobei der Kunde bei diesem Verkäufer zuvor noch nie etwas bestellt hat. Auch bei den Nicht-Betrugsfällen ist der Betrugsstatus nicht immer so offen-sichtlich. Ein verdächtigerer Nicht-Betrugsfall ist in Tabelle 4 eingetragen.
Attribut Wert
KundenID 10959
TransaktionsID 13790
Transaktionsbetrag -147,06 €
Transaktionsdatum 27.02.2009
Transaktionsuhrzeit 13:26:18
Quellkontonummer 1934569
Quellrechner IP-Adresse 101.134.129.19
Empfängerkontonummer 2387121
Empfängerbankleitzahl 0403001 (= Bank of America, Tokyo)
Kontostand -3.233,05 €
Dispolimit 3.800,00 €
Durchschnittlicher Transaktionsbetrag -99,26 € Durchschnittliche Transaktionszahl (Monat) 9,0
Auslandstransaktion ja
Bekannter Empfänger nein
Inländische IP-Adresse nein
Zeit für die Online-Überweisung 37 sek.
Tabelle 4: Beispiel für einen verdächtigen Nicht-Betrugsfall
Bei dem hier angeführten verdächtigen Nicht-Betrugsfall handelt es sich um eine Aus-landsüberweisung mit einem für Nicht-Betrugsfälle relativ hohen Verhältnis von Transakti-onsbetrag zum maximal verfügbaren Betrag (25,94% = 147,06 * 100 / (-3.233,05 + 3.800,00)). Das Verhältnis von Transaktionsbetrag zum durchschnittlichen Transaktions-betrag ist bei diesem Nicht-Betrugsfall ebenfalls höher (148,16% = 147,06 * 100 / 99,26).
Hierbei könnte es sich z.B. um die Online-Bezahlung einer Urlaubsrechnung bereits am Urlaubsort selbst handeln, da die IP-Adresse des Quellrechners aus dem Ausland stammt.
Die angeführten Fallbeispiele aus den Tabellen 1 bis 4 werden in dieser Form für die
Be-Die reale Anzahl an simulierten Betrugs- und Nicht-Betrugsfällen und der genaue Werte-bereich jedes Attributs mit den möglichen Ausprägungen wird in Verbindung mit der Erläu-terung des Aufbaus der Simulation der Transaktionen im Unterabschnitt 9.1.2 diskutiert.