Kontakt
previous icon Zurück zum Blog
Jun 18, 2025
9 Minuten gelesen
Sicherheit

3 häufige Betrugsmaschen in der Finanzbranche und wie man sie bekämpft

Betrug ist und bleibt eine ernsthafte Bedrohung für die Finanzdienstleistungsbranche. Mit dem Wachstum von Digital Banking, Fintech-Plattformen und Online-Transaktionen nehmen auch die Taktiken von Cyberkriminellen zu, die Schwachstellen ausnutzen wollen. Bieten Sie Finanzdienstleistungen an? Dann ist es wichtig, wachsam zu bleiben – nicht nur, um Ihre eigenen Daten und Konten zu schützen, sondern auch die Ihrer Kunden. Eine klare, sichere und verifizierte Kommunikation kann ein wirksames Instrument im Kampf gegen Betrug sein.

Christel Brouwers
Christel Brouwers

Der Finanzsektor ist eine der Branchen, die am häufigsten Ziel von Betrugsversuchen sind. Von Spoofing- und Phishing-Angriffen bis hin zu künstlich erhöhtem Datenverkehr (AIT) und SIM-Swapping-Betrug – Kriminelle versuchen so ziemlich alles, um Unternehmen und deren Kunden um ihr Geld zu bringen. Um diese Betrüger daran zu hindern, erfolgreich zu sein, muss man zunächst die Betrugsmaschen erkennen und wissen, was zu tun ist, um die Risiken zu minimieren.

1. Spoofing und Phishing

Cyberkriminelle geben sich als Finanzdienstleister oder Unternehmen aus (Spoofing) und nutzen dazu E-Mails (Phishing), SMS (Smishing), soziale Medien wie WhatsApp und Messenger (Social-Media-Phishing) oder Sprachdienste (Vishing). Sie versenden gefälschte Rechnungen oder Zahlungslinks und versuchen, Kunden dieser Unternehmen dazu zu verleiten, ihre Anmeldedaten, Kartennummern oder persönlichen Daten preiszugeben, indem sie sie auf betrügerische Links umleiten. Diese Angriffe ahmen oft legitime Kommunikationskanäle nach und sind für Verbraucher oft schwer zu erkennen.

fraud-monitoring-compromised-accountSchrecklich, nicht wahr? Treue Kunden riskieren den Verlust ihrer persönlichen Daten – und möglicherweise viel Geld –, während sie glauben, mit einem seriösen Unternehmen zu kommunizieren. Das schadet ihnen nicht nur finanziell, sondern auch das Vertrauen zwischen dem Kunden und dem Unternehmen wird dadurch stark beeinträchtigt! Es kann sogar das Markenimage eines Unternehmens schädigen, wenn Kunden nicht zwischen seriösen Nachrichten und Phishing-Versuchen unterscheiden können. Was kann man also dagegen tun?

Bekämpfung von Spoofing und Phishing

Phishing-Betrüger haben es auf ahnungslose Kunden abgesehen, die oft nicht besonders technikaffin sind. Wer weiß, worauf er achten muss, erkennt gefälschte Nachrichten oft sofort, aber die Anzeichen sind leicht zu übersehen. Eine seltsame Telefonnummer oder ein merkwürdiger Kontoname werden oft übersehen, und wenn Ihre Kunden den falschen Nachrichten vertrauen, kann das böse enden. Es gibt bestimmte Maßnahmen, die ein Unternehmen ergreifen kann, um Kunden dabei zu helfen, zwischen legitimen Nachrichten und Nachrichten von Kriminellen zu unterscheiden, die versuchen, sich als dieses Unternehmen auszugeben.

Richtlinien für die Kommunikation

Es ist wichtig, dass Unternehmen klare Richtlinien und Erwartungen für ihre Kundenkommunikation festlegen. Informieren Sie Ihre Kunden darüber, welche Art von Nachrichten sie erwarten können – oder nicht erwarten können – und geben Sie ihnen Richtlinien, wie sie reagieren sollen, wenn sie den Verdacht haben, dass die Nachrichten betrügerischer Natur sind.

Gibt es derzeit eine bekannte Welle oder Zunahme von Phishing-Betrugsfällen? Es schadet Unternehmen nicht, ihre Kommunikationsprotokolle gegenüber ihren Kunden zu wiederholen, um sicherzustellen, dass die Informationen im Vordergrund stehen!

Sehr geehrter Kunde, in letzter Zeit hat die Zahl betrügerischer Nachrichten unter unserem Firmennamen zugenommen. Wir möchten Sie daran erinnern, dass wir Sie niemals nach Ihren persönlichen Daten fragen oder Ihnen Zahlungslinks senden werden. Wenn Sie Nachrichten zu diesen Themen erhalten, markieren Sie diese bitte als Spam.

Verifizierte Unternehmensprofile

Die Wahl von Kommunikationskanälen, die verifizierte Absenderprofile bieten, wie beispielsweise RCS, kann dazu beitragen, das Vertrauen der Kunden zu stärken. Wie? Nun, Kunden sehen das Firmenlogo oben in der Nachrichtenkonversation sowie den offiziellen Firmennamen mit einem Verifizierungshäkchen, die Markenfarben und Unternehmensdetails wie Website, E-Mail-Adresse und Telefonnummer. Diese visuellen Elemente sind wichtige Hinweise für Kunden, um zu erkennen, dass die Nachrichten, die sie erhalten, echt sind und dass der Absender vertrauenswürdig ist – und ebenso wichtig ist, dass das Fehlen dieser Hinweise bedeutet, dass sie vorsichtig sein sollten.

rcs-personalized-and-branded

2. Kontoübernahmen (ATO)

Mit gestohlenen Zugangsdaten (die oft durch Datenlecks oder Phishing erlangt werden) verschaffen sich Betrüger unbefugten Zugriff auf Kundenkonten. Sobald sie Zugriff haben, leiten sie Geld über unbefugte Transaktionen auf ihre eigenen Konten um. Die Kontrolle über diese gehackten Konten zurückzugewinnen, kann mühsam sein, und je länger es dauert, den Betrug zu erkennen und alle Vermögenswerte zu sperren, desto mehr Geld geht verloren. Welche vorbeugenden Maßnahmen können also ergriffen werden?

Bekämpfung von Kontoübernahmen

Kriminelle hacken sich in Konten, indem sie sich Zugang zu Benutzer- oder Anmeldedaten verschaffen. Es lässt sich zwar nicht immer verhindern, dass Kunden (unwissentlich) sensible oder persönliche Daten an Betrüger weitergeben, aber wir können es den Kriminellen erschweren, diese Informationen zu nutzen. Wie? Indem wir die Anmelde- und Verifizierungsprozesse für Benutzerkonten verbessern.

Multi-Faktor-Authentifizierung (MFA) und Zwei-Faktor-Authentifizierung (2FA)

MFA (Multi-Faktor-Authentifizierung) oder 2FA (Zwei-Faktor-Authentifizierung) kann das Risiko von Kontoübernahme-Betrug erheblich verringern, da sich Benutzer durch mehrere Authentifizierungsmethoden identifizieren müssen. Während sich Kunden normalerweise über eine Ein-Faktor-Authentifizierung (nur ein Passwort) anmelden, erfordert die Multi-Faktor-Authentifizierung mindestens eine Kombination aus zwei oder mehr Authentifizierungsfaktoren:

  1. Etwas, das ein Benutzer weiß, wie ein Passwort oder eine PIN-Nummer.

  2. Etwas, das ein Benutzer besitzt, wie ein Mobiltelefon, das einen Bestätigungscode (z. B. Einmalpasswörter) oder physische Token wie USB-Sticks oder Produktnummern empfangen kann.

  3. Etwas, das ein Benutzer ist, wie Fingerabdrücke und Gesichtserkennung.

Es klingt komplizierter, als es ist. Tatsächlich sind die meisten Menschen in ihrem Alltag bereits bestens mit MFA vertraut! Denken Sie beispielsweise daran, wie Sie Ihr Passwort eingeben, um sich bei Ihren sozialen Medien anzumelden, und dann einen Bestätigungscode oder ein Einmalpasswort (OTP) per SMS erhalten, um die Anmeldung abzuschließen. Oder wie Sie nach der Anmeldung bei einem Online-Konto Ihren Fingerabdruck verwenden, um eine Zahlung zu bestätigen.

Selbst wenn Kriminelle also Passwörter abgreifen können, bedeutet das noch lange nicht, dass sie sich in die Online-Konten einloggen können. Und obendrein macht die zweite Verifizierungsanfrage oder das OTP den Kunden auf verdächtige Kontoaktivitäten aufmerksam.

Hallo Anna, dies ist Ihr Bestätigungscode für die Anmeldung bei Ihrer Bank: 1234. Haben Sie diesen Code nicht angefordert? Bitte klicken Sie hier und teilen Sie uns dies mit.

Stille Verifizierung

Die stille Verifizierung, auch bekannt als Mobile Identity Verification oder Number Verify, ist eine neue Verifizierungsmethode, die die einzigartigen Eigenschaften der SIM-Karte in Mobilgeräten nutzt, um Benutzer in mobilen Apps zu autorisieren und zu verifizieren.

Der Benutzer wird aufgefordert, seine Telefonnummer einzugeben, und nichts weiter. Die Authentifizierung erfolgt im Hintergrund über die Mobilfunkbetreiber, die die SIM-Verifizierung bereitstellen. Daher wird sie oft als „stille” Authentifizierungsmethode bezeichnet. Denn der größte Teil der Verifizierung findet im Hintergrund statt, ohne dass externe Maßnahmen erforderlich sind. Auf diese Weise können Unternehmen darauf vertrauen, dass die Person, mit der sie zu tun haben, der rechtmäßige Eigentümer der Mobilfunknummer ist, was zur Bekämpfung von ATO und Identitätsdiebstahl beiträgt.

SIM-Karten-Wechsel-Erkennung

Was aber, wenn Kriminelle mit SIM-Karten Betrug begehen? SIM-Swap-Betrug liegt vor, wenn ein Betrüger einen Mobilfunkanbieter dazu verleitet, die Telefonnummer eines Nutzers auf eine neue SIM-Karte zu übertragen. Dabei gibt er vor, die SIM-Karte oder das Telefon verloren zu haben, und bittet den Mobilfunkanbieter, die Telefonnummer auf eine neue SIM-Karte zu übertragen. Auf diese Weise können Kriminelle Zugriff auf das Konto erhalten.

Die SIM-Swap-Erkennung oder der Takeover Protection Service hilft, SIM-Swap-Betrug zu verhindern, indem Änderungen an der SIM-Karte überwacht und erkannt werden. Vor der Ausführung einer Transaktion können Unternehmen eine SIM-Swap-Prüfung durchführen, die das letzte Datum zurückgibt, an dem die SIM-Karte ausgetauscht oder aktiviert wurde. Anschließend kann das Unternehmen entsprechend handeln.

3. Artificially Inflated Traffic (AIT)

Versuchen Sie aktiv, Phishing und Kontoübernahme-Betrug mit 2FA durch das Versenden von Einmalpasswörtern (OTPs) zu verhindern? Dann achten Sie auf künstlich aufgeblähten Datenverkehr (AIT)!

AIT, SMS-Pumping oder Traffic-Pumping ist eine Art von Betrug, bei dem Kriminelle automatisierte Anmeldesysteme ausnutzen, um einen starken Anstieg des Datenverkehrs (Nachrichten oder Anrufe) zu Nummern auszulösen, die ihnen gehören, oder zu einer Reihe von Nummern, die von einem bestimmten Mobilfunknetzbetreiber (MNO) kontrolliert werden, mit dem sie zusammenarbeiten. Die Kriminellen erhalten einen Anteil der auf diese Weise erzielten Einnahmen, aber das Unternehmen muss die Rechnung bezahlen.

fraud-monitoring-sms-pumpingDiese betrügerischen Aktivitäten verursachen nicht nur höhere Kosten für Unternehmen, sondern untergraben auch den Ruf der Messaging-Kanäle als vertrauenswürdige Kommunikationsmittel. Laut Branchenstudien macht der OTP-Verkehr etwa 35 bis 40 % des gesamten SMS-Verkehrs aus, wobei jährlich schätzungsweise 1,5 Billionen OTP-Nachrichten versendet werden – eine Zahl, die bis 2028 voraussichtlich auf 2 Billionen ansteigen wird.

Bekämpfung von AIT

AIT lässt sich häufig an einer Häufung von Nachrichten erkennen, die an einen Block aufeinanderfolgender Nummern gesendet werden (z. B. +1234567890, +1234567891, +1234567892, +1234567893 usw.). Diese Nummern werden höchstwahrscheinlich vom selben Mobilfunknetzbetreiber kontrolliert. Ein eindeutiges Anzeichen für die betrügerische Verwendung von OTPs ist ein unvollständiger Verifizierungszyklus. Leider verfügen fortgeschrittene Betrüger sogar über Tools, um einen abgeschlossenen Verifizierungszyklus vorzutäuschen. Was kann ein Unternehmen also tun?

Verkehr überwachen und verwalten

Um das Problem des AIT anzugehen, ist es wichtig, den Nachrichtenverkehr zu überwachen und zu verwalten – CPaaS-Anbieter bieten manchmal Software-Suiten an, die dabei helfen, diese Art von Betrug zu bekämpfen.

CM.com hat seinen Kunden Safeguard vorgestellt, speziell zur Bekämpfung von AIT-Betrug. Safeguard gibt es in zwei Versionen, die beide auf die Prävention von AIT abzielen:

Sicherheitsvorkehrung:

  • Zielblockierung: Kunden können nun den Nachrichtenverkehr zu bestimmten Zielen, an denen sie keine geschäftlichen Aktivitäten oder Interessen haben, selektiv blockieren. Diese Funktion bietet Kunden eine detaillierte Kontrolle über ihren Nachrichtenverkehr und stellt sicher, dass Ressourcen effizient zugewiesen werden. Unsere CM.com-Experten helfen Ihnen dabei, die Risiken für jedes Ziel zu ermitteln, und beraten Sie entsprechend.

  • Allow-List: Für noch mehr Sicherheit können Kunden einen „Allow-List”-Ansatz implementieren, bei dem alle Nachrichtenziele standardmäßig blockiert sind, mit Ausnahme der Länder, die ausdrücklich zur Allow-List hinzugefügt wurden. Diese strenge Einstellung bietet einen zusätzlichen Schutz und schützt Kunden vor unerwünschtem Datenverkehr.

  • IP-Beschränkungen: Wenn Betrüger das geheime Token eines Kunden erhalten, versuchen sie, es über ihre eigenen Server zu missbrauchen. Durch die Festlegung von IP-Beschränkungen können Sie unbefugte Aktivitäten auf Servern verhindern, die nicht Ihnen gehören.

  • Ratenbegrenzung: Legen Sie Regeln für die maximale Anzahl von Nachrichten fest, die innerhalb eines bestimmten Zeitraums gesendet werden können. Dies hilft Ihnen, unerwartete Kosten, die durch AIT-Angriffe entstehen, zu verwalten und zu begrenzen.

safeguardSafeguard Plus:

  • Echtzeit-Traffic-Profiling: Mithilfe von maschinellem Lernen erstellt Safeguard Plus ein dynamisches Profil des Datenverkehrs jedes Kunden, sodass das System das Risiko jeder einzelnen Nachricht bewerten und klassifizieren kann.

  • Flexible Einsatzmöglichkeiten: Kunden können wählen, ob sie ihren Datenverkehr mit detaillierten Analysen überwachen oder als AIT identifizierte Nachrichten automatisch blockieren möchten.

  • Skalierbare Tarife: Ab nur 199 € pro Monat verarbeitet Safeguard Plus bis zu 100.000 Nachrichten pro Monat. Für Top-Kunden ist ein Unlimited-Paket verfügbar, mit dem der gesamte Datenverkehr kontinuierlich überwacht werden kann.

Bleiben Sie sicher mit CM.com

CM.com ist ein führender Anbieter von Communication Platform as a Service (CPaaS)-Lösungen und bietet Lösungen zur Betrugsbekämpfung auf allen Ebenen – von Einmalpasswörtern bis hin zu den neuesten Verifizierungsmethoden, die in einer einfachen API kombiniert sind, sowie eine hochmoderne Traffic-Management-Suite namens Safeguard, die fortschrittliches maschinelles Lernen nutzt, um Echtzeitschutz vor AIT zu bieten.

Möchten Sie Ihre Dienste und Ihren Datenverkehr mit CM.com vor Betrug schützen? Oder möchten Sie mit unseren Experten sprechen, um zu erfahren, wie wir Ihrem Unternehmen helfen können? Hinterlassen Sie unten Ihre Kontaktdaten, wir helfen Ihnen gerne weiter!

War dieser Artikel interessant?
Teilen Sie ihn!
Tags
Christel Brouwers
Christel Brouwers
logo linkedin icon
Copywriter at CM.com. Passionate about language and getting CM.com’s message out there. Shares content about CPaaS, Payments and more.

Lassen Sie sich inspirieren

introducing-your-customizable-verification-solution-hero
Dec 18, 2024 • Sicherheit

Einführung in Ihre anpassbare Verifizierungslösung

In der digitalen Welt von heute ist es wichtiger denn je, sichere und bequeme Online-Interaktionen zu gewährleisten. Jedes Unternehmen hat eigene Bedürfnisse, wenn es um den Schutz seines digitalen Raums und seiner Kundeninteraktionen geht - und unterschiedliche Bedürfnisse erfordern unterschiedliche Lösungen. Aus diesem Grund führt CM.com die „Build Your Own Verification“ ein - eine flexible und anpassbare Verifizierung, die auf Ihre spezifischen Bedürfnisse zugeschnitten werden kann.
mobile-identity-service-hero
Nov 13, 2024 • Authentication

Mobile Identitätsdienste: Kennen Sie Ihre Nutzer

Die Überprüfung von Online-Benutzern und -Konten ist in der heutigen Unternehmenslandschaft unverzichtbar geworden. Sie wollen wissen, wer Zugang zu Ihren (Online-)Diensten und Daten hat, aber selbst wenn es Ihnen egal ist, die Regeln und Vorschriften sind es auf jeden Fall! Ob es darum geht, sich selbst und Ihre Kunden vor Schaden zu bewahren oder sicherzustellen, dass Sie sich an die örtlichen Gesetze halten - es ist von größter Bedeutung, dass Sie wissen, wer die Person am anderen Ende des Internets ist.
verification-services
Sep 25, 2024 • Sicherheit

Ihr One-Stop-Shop für Verifizierungsdienste

Die Sicherung von Online-Konten, -Daten und -Benutzern ist in der heutigen Geschäftswelt ein Muss. Zumindest, wenn man nicht als nächste Sicherheitslücke in den Schlagzeilen landen will. Aber es reicht nicht immer aus, einfach eine Reihe von Sicherheitsmaßnahmen zu implementieren. Lose Anwendungen und Dienste werden anfällig für Betrug und sind oft nicht kosteneffizient. Deshalb bieten wir jetzt einen One-Stop-Shop für die sichere Absicherung Ihres Unternehmens: die Verification API.
fraud-and-simplify-verification-processes-hero
Sep 11, 2024 • Sicherheit

Verhinderung von SMS-Betrug und Vereinfachung von Verifizierungsprozessen mit Number Verify

Die Kundenkommunikation über Textnachrichten ist zu einem festen Bestandteil der modernen Geschäftswelt geworden. In den letzten Jahren haben Kriminelle jedoch herausgefunden, dass sie die SMS-Kommunikation missbrauchen können, um sowohl Ihr Unternehmen als auch Ihre Kunden um Daten und Geld zu betrügen. Aber keine Sorge, es gibt eine neue, bequeme und schnelle Verifizierungsmethode, mit der Sie Ihre Online-Konten schützen können: Number Verify!
Protect Your Customers from Fraud With RCS Sender Verification
Jul 03, 2024 • RCS

Schützen Sie Ihre Kunden vor Betrug mit RCS Sender Verification

Cyberkriminalität und Spam-Nachrichten sind auf dem Vormarsch. Kriminelle versuchen, sich als vertrauenswürdige Unternehmen auszugeben, in der Hoffnung, treue Kunden um ihre persönlichen Daten, Anmeldeinformationen und sogar Bankdaten zu betrügen. Dadurch wird das Vertrauen zwischen Kunden und Unternehmen beschädigt. Wie können Sie erkennen, welche Nachrichten echt sind und welche nicht? RCS Business bietet verifizierte Absenderprofile, die Kunden dabei helfen, offizielle Geschäftskonten zu identifizieren, damit sie sich vertrauensvoll auf die Geschäftskommunikation einlassen können.
SMS Security
Apr 24, 2024 • Sicherheit

Sichern Sie Ihr Unternehmen mit SMS OTPs und Warnungen

Im gegenwärtigen digitalen Zeitalter wachsen die technologischen und Online-Fortschritte rasant und schaffen neue Möglichkeiten für Unternehmen, ihre Kunden anzusprechen. Leider gibt es dort, wo es Wachstum gibt, auch Kriminelle, die versuchen, einen Teil des Gewinns zu stehlen. Der Schutz von Geschäftsdaten, Kundeninformationen und Online-Konten ist eine Priorität für jedes moderne Unternehmen. SMS-Sicherheit kann dazu beitragen, Ihr Unternehmen und Ihre Kunden vor Online-Betrug und Internetkriminalität zu schützen.
messaging-fraud-and-prevention-for-businesses
Sep 20, 2023 • Sicherheit

A2P-Messaging-Betrug und Prävention für Unternehmen

Der Schutz von Unternehmensdaten vor Sicherheitsbedrohungen sollte für jedes moderne Unternehmen ganz oben auf der Prioritätenliste stehen. Vor allem, da der A2P-Betrug (Application-to-Person Messaging) immer mehr zunimmt. Lesen Sie alles über die verschiedenen Arten von A2P-Betrug und welche Schritte Sie unternehmen können, um nicht das nächste Opfer zu werden.
whatsapp-otp-security
Jun 21, 2023 • WhatsApp

WhatsApp Business One Time Passwörter: Was sie sind und wie man sie benutzt

Wahrscheinlich haben Sie schon einmal One Time Passwords (OTPs) erhalten, oft per SMS oder E-Mail. Aber wussten Sie, dass es eine noch bessere Plattform für den Versand von OTPs geben könnte? Mit der WhatsApp Business Platform können Sie One Time Passwords über den bevorzugten Messaging-Kanal Ihrer Kunden versenden und so das Kundenerlebnis und die Kundenbeziehungen verbessern.
CM.com logo phone icon +49 32 221 09 6288
f github icon image.icon.alt.f-instagram f linkedin icon image.icon.alt.f-rss f youtube icon

Choose Your Region

Select a region to show relevant information. This may change the language.

Our Suggestion
United States
English
Africa
next icon
South Africa
English
Asia
next icon
China
中文
India
English
Japan
日本語
Singapore
English
United Arab Emirates
English
United Arab Emirates
العربية
Europe
next icon
Belgium
Nederlands
Belgium
Français
Denmark
Dansk
Denmark
English
France
Français
Germany
Deutsch
Italy
Italiano
Netherlands
Nederlands
Spain
Español
Sweden
Svenska
United Kingdom
English
North America
next icon
United States
English
Is your region not there?
language icon
Global
English
Is this region a better fit for you?
Go
close icon