Betrüger finden kreative Wege zum Missbrauch von E-Commerce

E-CommerceElektronisches BezahlenMarketingSicherheitSicherheitsmanagement

Silver Tail Systems, ein Spezialist für Web-Sicherheit, warnt die Betreiber von Webshops davor, dass selbst sichere und überprüfte Portale noch einen wirtschaftlichen Schaden erleiden können.

Da Scammer und Betrüger kreativ und anpassungsfähig seien, finden sie immer wieder Wege, um nicht nur die Sicherheitstechnik, sondern vor allem auch die Werbe- und Marketingbemühungen einer Firma zu unterlaufen. »So überraschen sie die Security-Verantwortlichen stets aufs Neue mit Vorgehensweisen, an die niemand zuvor gedacht hat«, warnt Laura Mather, Gründerin von Silver Tail Systems. Daher sei ihre Firmensoftware auch darauf gedrillt, nach ungewöhnlichen Vorkommnissen und merkwürdigen Verhaltensweisen Ausschau zu halten – auch beim e-Commerce oder auf Bankseiten.

Als Beispiel aus der Praxis führt Mather den Fall eines Unternehmens an, welches neue Kunden mit 5-Dollar-Bonus anlocken wollte. Erst hinterher fiel auf, dass an einen Osteuropäer 2 Millionen Dollar gingen. Der gesamte Marketingtopf für die Aktion betrug 8 Millionen. »Es war kein technischer Fehler im System. Der Absahner hatte die Seite so benutzt wie vorgesehen. Er hat lediglich per Schleife entsprechend viele Accounts eröffnet«, erzählt die Sicherheitsexpertin, die ihr Handwerk bei eBay und PayPal lernte. Um sich die Arbeit zu erleichtern, hat er als »Neukunde« eine Domain registriert, die eine große Zahl von E-Mails enthielt. Mit etwas Geschick konnte er diese alle als neue Account-Inhaber registrieren, wodurch er besagte Bonussumme einsammelte.

Solche ungewöhnlichen Web-Vorgänge könne man heute in Echtzeit aufdecken, glaubt Mather. Dafür habe man sich einen Forensic-Monitor ausgedacht, der jeden Nutzer und seine Klicks verfolge. Wenn das Profil aus dem üblichen und typischen Rahmen ausbreche, gibt es einen Alarm. Zum Beispiel falls Nutzer statt 97 Sekunden pro Entscheidung und Klick nur eine Drittelsekunde benötigen, dürfte ein Bot am Werke sein.
Falls bei so etwas gerade keine Sicherheitskräfte Dienst haben, da Wochenende oder Nacht sei, dann könne das System auch per Automatik reagieren und verdächtige Accounts sperren. Die Firma darf für solche Fälle eigene Regeln aufstellen.