Fokus Europa: Der erste Bericht zur Betrugslage 2023 ist da

EAST Fraud Update im Nachgang zum EAST Global Congress veröffentlicht. Austausch global, regional, national: Essenziell für koordinierte Antworten auf die wachsende Kriminalität im Zahlungsverkehr und an Geldautomaten.

 

Kooperative Trendbeobachtung fürs „Bigger Picture“.

Die European Association for Secure Transactions (EAST) hat im März ihr aktuelles Lagebild des Jahres veröffentlicht. Insgesamt wendet sich der Trend mehr und mehr gegen die Schwachstelle Mensch: Nicht-technologischer Betrug operiert mit Komponenten der Täuschung und Manipulation der Opfer oder nutzt menschliches Fehlverhalten aus. Demgegenüber richten sich Angriffe der anderen Kategorie gegen Technologie.

An erster Stelle der häufigsten nicht-technologischen Betrugsarten stehen Lost/Stolen Card Fälle: 25 Länder haben solche Delikte registriert, bei denen die Karteninhaber:innen offenbar ihre PIN nicht ausreichend geschützt hatten. An zweiter Stelle folgt die Kontoübernahme (Account Takeover Fraud), eine Form von Identitätsdiebstahl. EAST selbst sieht außerdem den Betrug durch Manipulation der Opfer bei Echtzeitzahlungen, die dann an Kriminelle gehen, auch bekannt als Authorised Push Payment Fraud (APP), in vielen Ländern als ein zunehmendes Problem.

 

Social Engineering wird zu einem alles durchdringenden Problem-Komplex.

EAST unterscheidet beim Ursprung der Betrugsfälle zwei Sphären: Zum einen ist da die Datenkompromittierung durch gefälschte Webseiten, Skimming, Schadsoftware etc. – zum anderen Social Engineering. Allem voran Phishing und seine auf Zielgruppen zugespitzte Variante Spear-Phishing, welches von 26 bzw. 13 Ländern gemeldet wird. Gemeint ist das Abfischen sensibler Daten über E-Mails, die in der Regel vorgeblich aus einer Vertrauensposition heraus versendet werden und dringende Datentransfers anfordern, meist begleitet durch einen toxischen Link. In abgewandelter Form über SMS-Dienste realisiert, sind Smishing-Fälle in 22 Nationen beobachtet worden. 21 Länder vermelden Vishing, auch Voice Phishing genannt, weil der Datenklau dabei übers Telefon läuft.

Aber auch bei technologischem Betrug spielt Social Engineering immer stärker mit. CEO Fraud ist angesichts der spezifischen Zielgruppe besonders hoch platziert (17 Länder)! Romance Fraud, das Vortäuschen romantischer Absichten, um das Opfer finanziell auszubeuten, streitet sich um Platz drei und vier mit Mobile Fraud – beide Betrugsarten wurden in 19 Ländern beobachtet. Neben Mobile Fraud ist dann auch noch Telephone Fraud unter den Top Five gelandet – der Betrug über mobile Geräte und Festnetztelefonie darf somit zu den Trends gezählt werden. Gleichauf mit Telephone Fraud wiederum liegen BIN Attacks, also Versuche, anhand der Bankleitzahl aktive Kartennummern zu generieren (18 Länder).

International am stärksten verbreitet sind betrügerische Zahlungskartentransaktionen, bei denen die Karte physisch nicht zur visuellen Händlerprüfung vorliegt. Der gesamte Melderkreis bzw. 28 Länder verzeichnen Fälle dieser Art; Betrug mit vorgelegter Karte hingegen haben 23 Länder gemeldet.

Und: Viele Länder haben bereits über physische Attacken berichtet – also Angriffe auf Geldautomaten mittels Werkzeug- oder Sprengstoffeinsatz, aber auch Einbruchdiebstahl bei Kassentresoren. Zum aktuellen Lagebild der Geldautomatenangriffe in Deutschland ist ein Experten-Interview für unsere Leser im Premium-Bereich verfügbar, außerdem die Berichtszahlen des EAST Fraud Update im Kategorien-Überblick. Jetzt kostenlos registrieren!

 

Wie der Blick über den europäischen Tellerrand zustande kommt.

Das EAST Fraud Update 1-2023 stellt eine Zusammenfassung der Informationen zur Länderkriminalität dar, die beim EAST Global Congress aus 21 Ländern des einheitlichen Euro-Zahlungsverkehrsraums (SEPA) und 5 Nicht-SEPA-Ländern erfasst wurden. Darunter auch Kanada, Mexiko, Schweiz, Ukraine und Vereinigtes Königreich. Zudem gingen aus zwei Regionen, Asia and the Pacific (ASP) und Middle East and North Afrika (MENA), Informationen ein.

 

Welche Experten sind an dem Informationsaustausch beteiligt?

Übersichten wurde präsentiert von

• dem Europäischen Zentrum für Cyberkriminalität (EC3) von Europol,
• der Polizei des Golf-Kooperationsrates (GCCPOL),
• dem INTERPOL-Zentrum für Finanzkriminalität und Korruptionsbekämpfung (IFCACC),
• der Generalinspektion der rumänischen Polizeidirektion für die Bekämpfung der organisierten Kriminalität.

 

Von drei EAST-Sachverständigengruppen wurden aktuelle Fraud Alert Informationen bekanntgegeben (im EAST Intranet für EAST Mitglieder abrufbar):

• EAST-Expertengruppe für Betrug an allen Terminals (EGAF)
• EAST-Expertengruppe für physische Angriffe auf Geldautomaten und ATS (EGAP)
• EAST-Expertengruppe für Zahlungs- und Transaktionsbetrug (EPTF)

 

Das vollständige EAST Fraud Update ist für EAST-Mitglieder (national, global und assoziiert), d.h. nur für zugelassene Organisationen verfügbar.

 

Ergänzend zum Thema Social Engineering finden Sie in diesem Newsletter einen weiteren Beitrag.