Zum Inhalt springen
Preise
AnmeldenKostenlose Testphase startenDemo buchen
Betrugsarten

Kontoübernahme (ATO)

Kontoübernahme (ATO, Account Takeover) ist eine Betrugsform, bei der ein Angreifer die unbefugte Kontrolle über das Konto eines legitimen Nutzers erlangt und es für Diebstahl, weiteren Betrug oder den Weiterverkauf nutzt. Sie folgt in der Regel auf die Kompromittierung von Anmeldedaten und nicht auf das Anlegen eines neuen, gefälschten Kontos.

Funktionsweise

Wie Kontoübernahme (ATO) funktioniert

Die Kontoübernahme beginnt damit, dass der Angreifer gültige Anmeldedaten erlangt. Die häufigste Quelle ist ein Datenleck: Aus einem Dienst geleakte Kombinationen aus Benutzername und Passwort werden gegen viele andere Dienste durchprobiert und nutzen aus, dass Menschen Passwörter wiederverwenden. Angreifer sammeln Anmeldedaten außerdem über Phishing-Seiten, Infostealer-Malware, die im Browser gespeicherte Passwörter ausliest, sowie durch Social Engineering des Konto-Wiederherstellungsprozesses.

Mit den Anmeldedaten in der Hand automatisiert der Angreifer die Anmeldeversuche in großem Maßstab. Credential-Stuffing-Tools arbeiten Millionen von Kombinationen ab, häufig verteilt über große Pools von Residential Proxies, sodass keine einzelne IP-Adresse eine auffällige Anmelderate zeigt. Ist eine Anmeldung erfolgreich, wird die Sitzung entweder sofort genutzt oder die funktionierende Kombination weiterverkauft. Um die Mehr-Faktor-Authentifizierung zu überwinden, fangen Angreifer Einmalcodes über SIM-Swapping, Echtzeit-Phishing-Proxys oder MFA-Fatigue-Prompt-Bombing ab.

Einmal drinnen, handelt der Angreifer schnell, um den Zugang zu Geld zu machen, bevor der echte Inhaber es bemerkt. Typische Handlungen sind das Abschöpfen gespeicherter Guthaben und Treuepunkte, das Ändern der hinterlegten E-Mail-Adresse und des Passworts, um den Inhaber auszusperren, das Hinzufügen neuer Zahlungsempfänger, das Aufgeben von Bestellungen an eine kontrollierte Lieferadresse oder die Nutzung des vertrauenswürdigen Kontos als Sprungbrett für weiteres Phishing. Die Historie und Reputation des kompromittierten Kontos lassen diese Handlungen für nachgelagerte Systeme legitim erscheinen.

Ausgefeilte ATO-Kampagnen versuchen, das normale Verhalten des Opfers nachzuahmen, um unter den Erkennungsschwellen zu bleiben, indem sie den üblichen Gerätetyp, den ungefähren Standort und das Anmelde-Timing nachbilden. Deshalb tun sich statische Regeln allein schwer: Die Anmeldedaten sind korrekt, und die einzelnen Handlungen können jeweils plausibel wirken.

Warum es wichtig ist

Warum Kontoübernahme (ATO) für die Betrugsprävention wichtig ist

Kontoübernahme ist eine der schädlichsten Kategorien von Online-Betrug, weil sie das Vertrauen ausnutzt, das das Unternehmen einem echten Kunden bereits entgegengebracht hat. Zu den direkten Verlusten zählen gestohlene Guthaben, betrügerische Käufe und missbrauchte Treueguthaben, doch die indirekten Kosten sind oft größer: Rückbuchungen, Aufwand für Support und Schadensbehebung, regulatorische Risiken beim Zugriff auf personenbezogene Daten sowie eine dauerhafte Erosion des Kundenvertrauens, wenn Menschen das Gefühl haben, dass ihre Konten nicht sicher sind. Da kompromittierte Konten die übliche Authentifizierung bestehen, umgeht ATO häufig Abwehrmaßnahmen, die nur offensichtlich gefälschte Registrierungen stoppen sollen.

Mit TRACIO

Wie TRACIO damit umgeht

TRACIO hilft, Kontoübernahmen zu erkennen, indem es das Gerät und die Umgebung hinter jeder Anmeldung erkennt, statt allein den Anmeldedaten zu vertrauen. Das Produkt Identification vergibt eine stabile Besucher-ID aus mehr als 130 Gerätesignalen, sodass eine Anmeldung von einem Gerät, das nie mit einem Konto verknüpft war, oder ein plötzlicher Wechsel von Gerät, Browser und Netzwerk bei einem zuvor stabilen Konto zu einem starken Risikoindikator wird. Bot Detection markiert die Automatisierungs-Frameworks und Headless-Browser hinter Credential-Stuffing-Läufen, und Smart Signals decken die Residential Proxies, VPNs und Tor-Exit-Nodes auf, mit denen Angreifer ihre Versuche verteilen. Velocity-Prüfungen über den Device Graph zeigen ein einzelnes Gerät, das viele verschiedene Konten zu erreichen versucht. Diese Signale lassen sich zum Zeitpunkt der Authentifizierung mit geringer Latenz bereitstellen, sodass eine zusätzliche Prüfung nur dann ausgelöst wird, wenn das Risiko real ist.

FAQ

Häufig gestellte Fragen

Identifizieren Sie jedes Gerät mit Sicherheit

Starten Sie mit einem kostenlosen Tarif von 2.500 API-Aufrufen pro Monat. Keine Kreditkarte erforderlich.