Betrug bei der Registrierung, Credential Stuffing und Umgehung der MFA sind alltägliche Bedrohungen, die auf die Customer Identity abzielen.
Identity ist zu einem primären Sicherheitseinstiegspunkt für alle Verbraucheranwendungen geworden.
Vom Online-Blumenkauf bis zur Durchführung von Finanztransaktionen finden täglich Millionen von Authentifizierungen statt, um die digitalen Identitäten der Kunden zu verifizieren. Aber nicht nur legitime Benutzer interessieren sich für das, was sich hinter der Login-Box befindet. In den letzten Jahren haben das Volumen und die Komplexität der Angriffe auf Kundenidentitäts- und Zugriffsverwaltung (CIAM) (CIAM)-Systeme zugenommen, daher ist die Abwehr, Erkennung und der Schutz vor ihnen wichtiger denn je.
Die Herausforderung besteht darin, dass Kunden-Anwendungen eine Benutzerfreundliche und sichere Experience bieten müssen.
In unserem dritten jährlichen State of Secure Identity Report möchten wir das Bewusstsein für Bedrohungen von Customer Identity-Systemen und die Abwehrmaßnahmen erhöhen, die ergriffen werden sollten, um Vertrauen bei den Verbrauchern aufzubauen und zu erhalten. Wir teilen anonymisierte Plattformdaten aus der Okta Customer Identity Cloud, um Trends, Beispiele und Beobachtungen zu präsentieren, die dazu beitragen, fundierte Gespräche über die Sicherung Ihrer Login-Box zu führen.
Anmeldeabläufe sind von Betrug betroffen.
Angreifer werden die Anmeldeabläufe von B2C-Unternehmen missbrauchen, um Anreize für die Account-Erstellung auszunutzen oder die User Experience legitimer Kunden zu stören. Für das anvisierte Unternehmen verursachen gefälschte Anmeldungen Probleme, die bei großem Umfang zu unnötigen Ausgaben führen.
In der ersten Hälfte des Jahres 2023 wurden 13,9 % des Anmeldevolumens auf unserer Plattform als betrügerisch gekennzeichnet, was einem Rückgang von 23 % im Vergleich zum Vorjahr entspricht. Dieser positive Trend ist eine Folge von Verbesserungen an der Customer Identity Cloud-Produktsuite, sowohl vor als auch an der Login-Box, die darauf abzielen, Angreifer fernzuhalten.
Branchenübergreifend hatten Finanzdienstleistungen den höchsten Anteil an betrügerischen Anmeldeversuchen (28,8 %), dicht gefolgt von den Medien (28,4 %) und der verarbeitenden Industrie (25,1 %).
Credential Stuffing ist nach wie vor eine bevorzugte Methode.
Solange es Passwörter gibt, werden Angreifer Credential Stuffing für gehackte Accounts nutzen. In unserer Analyse bleibt es der häufigste Identitätsangriff, der auf der Plattform beobachtet wird. Insgesamt erfüllten 24,3 % der Sign-in in der Customer Identity Cloud die Kriterien für Credential Stuffing. Erneut ist diese Zahl im Vergleich zum Vorjahr gesunken, was auf Verbesserungen unserer Bot Detection-Fähigkeitenzurückzuführen ist.
Interessanterweise entfallen mehr als die Hälfte (51,3 %) aller Credential Stuffing Events auf Einzelhandels-/E-Commerce-Unternehmen, was wahrscheinlich auf den Wert der Accounts in dieser Branche zurückzuführen ist. Zum Beispiel können Cyberkriminelle das Guthaben eines Opfer-Treueprogramms zur persönlichen Bereicherung oder zum Weiterverkauf liquidieren. Geografisch gesehen weist die Region Amerika mit 28 % die höchste Rate an Credential Stuffing-Angriffen auf, was mit früheren Erkenntnissen übereinstimmt, da einige der größten Einzelhandels- und Medienunternehmen in den Vereinigten Staaten ansässig sind.
Angreifer nehmen MFA ins Visier
Während die Vorzüge der Multi-Faktor-Authentifizierung (MFA) bei der Verhinderung gehackter Accounts gut belegt sind, steht sie im Zusammenhang mit der Customer Identity vor besonderen Herausforderungen. Leider hat die mit traditionellen MFA-Techniken verbundene Reibung zu einer geringen Akzeptanz bei den Verbrauchern geführt; zudem sind viele ältere MFA-Techniken nun bedroht, da Angreifer skalierbare und kostengünstige Methoden finden, um diese kritische Barriere zu umgehen.
Wir haben festgestellt, dass 12,7 % der MFA-Versuche in der Customer Identity Cloud auf Angriffe durch Umgehung der MFA zurückzuführen waren. Dies ist besonders bei schwächeren Faktoren wie einmaligen SMS-Codes offensichtlich, die anfällig für Social-Engineering- und SIM-Swap-Angriffe sind. Da Knowledge-Base-Faktoren das Ziel von Umgehung der MFA-Angriffen sind, sollten Unternehmen die Einführung von besitzbasierten oder biometrischen Faktoren in Betracht ziehen, um die Wahrscheinlichkeit eines gehackten Accounts zu verringern. Als zusätzlichen Bonus verringern diese Arten von Faktoren, wie z. B. Passkeys, auch die Reibung bei der Anmeldung.
Ein mehrschichtiger Ansatz zur Sicherheit mit CIAM
Workforce Identity-Management kann vergleichsweise höhere Reibung in Kauf nehmen, mit dem zusätzlichen Vorteil, dass es sich auf eine Benutzerbasis stützt, die regelmäßig an Training zum Sicherheitsbewusstsein teilnimmt. Dieser Luxus wird von CIAM nicht geboten. Stattdessen muss Customer Identity auf subtile Sicherheitstechniken vertrauen, um eine starke Sicherheitslage zu erreichen und aufrechtzuerhalten, während gleichzeitig die Konversionen gefördert werden.
Lösungen wie Okta Customer Identity Cloud bieten Unternehmen einen mehrschichtigen Verteidigungsansatz zur Sicherheit. Eine Vielzahl von Risikoindikatoren wird verwendet, um die Reibung vor, während und nach der Login-Box automatisch zu erhöhen oder zu verringern.
Funktionen wie Bot Detection, Credential Guard und Passkeys zielen darauf ab, legitime Kunden hereinzulassen und gleichzeitig Angreifer fernzuhalten.
Für weitere Einblicke in die Bedrohungen von Customer Identity-Systemen und die Abwehrmaßnahmen, die Sie ergreifen sollten, um Ihre Login-Box zu schützen, lesen Sie unseren vollständigen Bericht hier.
Diese Materialien und alle darin enthaltenen Empfehlungen stellen keine Rechts-, Datenschutz-, Sicherheits-, Compliance- oder Geschäftsberatung dar. Diese Materialien sind nur für allgemeine Informationszwecke bestimmt und spiegeln möglicherweise nicht die aktuellsten Sicherheits-, Datenschutz- und Rechtsentwicklungen oder alle relevanten Themen wider. Sie sind dafür verantwortlich, Rechts-, Sicherheits-, Datenschutz-, Compliance- oder Geschäftsberatung von Ihrem eigenen Anwalt oder einem anderen professionellen Berater einzuholen und sollten sich nicht auf die hierin enthaltenen Empfehlungen verlassen. Okta haftet Ihnen gegenüber nicht für Verluste oder Schäden, die sich aus Ihrer Implementierung von Empfehlungen in diesen Materialien ergeben können. Okta übernimmt keine Zusicherungen, Gewährleistungen oder sonstigen Zusagen in Bezug auf den Inhalt dieser Materialien. Informationen zu den vertraglichen Zusicherungen von Okta gegenüber seinen Kunden finden Sie unter okta.com/agreements.
