Die Online-Nutzung steigt seit Jahren weltweit und damit auch der Online-Betrug. Auch die Marktplätze Ricardo, tutti.ch und anibis.ch der SMG Swiss Marketplace Group sind davon betroffen. Wie die SMG aktiv gegen Betrug auf ihren Online-Marktplätzen vorgeht und welche Sicherheitsmassnahmen am effektivsten sind, erläutert Mostafa Hassanin im Interview. Er ist seit 13 Jahren als Informatik-Sicherheitsexperte tätig, begann im Jahr 2019 als «Principal Security Engineer (Security Lead)» bei Ricardo und ist seit 2022 Group Chief Information Security Officer (CISO) bei der SMG Swiss Marketplace Group.
Online-Betrug nimmt weltweit zu. Wo Betrugsversuche früher eher von der Verkäufer-Seite ausgingen, geben sich Betrüger heute zunehmend als Käufer aus. Wie läuft diese Masche ab und weshalb ist sie so gefährlich?
Der Wandel hängt damit zusammen, dass Betrug auf Käuferseite für Betrüger günstiger und einfacher umzusetzen und letztendlich lohnenswerter ist. Wer sich als Käufer ausgibt, kann potenzielle Opfer über Phishing, Täuschung oder andere Betrugsmaschen manipulieren. Das geschieht oft mit dem Ziel, sie von der Plattform wegzulocken und damit ausserhalb der vorgesehenen Sicherheitsmassnahmen zu agieren. Wer hingegen als Verkäufer agiert, muss Angebote vorbereiten, hochladen und verschiedene Prüfprozesse durchlaufen. Das ist deutlich aufwändiger, als einfach ein Gespräch zu starten.
Im Allgemeinen wählen Betrüger immer den Weg des geringsten Widerstands. Wenn also eine Plattform starke Sicherheitsmechanismen auf der Verkäuferseite hat, weichen sie auf die Käuferseite aus und umgekehrt.
Eine besonders raffinierte und gefährliche Form des Käuferbetruges läuft meist wie folgt ab: Vermeintliche interessierte Käufer:innen drängen die Verkäufer:innen auf eine Kommunikation ausserhalb der Plattform, senden ihnen dann meistens per WhatsApp oder SMS Links oder QR-Codes für die Eingabe von Kreditkarten-, Bank- oder Twint-Daten, um angeblich eine Zahlung zu erhalten. Dabei werden die Verkäufer:innen oft auf täuschend echte, aber gefälschte Marktplatz-, Bank- oder Twint-Login-Seiten weitergeleitet. Geben sie dort ihre Zugangs- oder Kartendaten ein, haben die Betrüger leichtes Spiel, um auf Konten und Daten zuzugreifen. Bei dieser Betrugsmasche werden die Opfer vorab oft manipuliert und unter Druck gesetzt, um den gesunden Menschenverstand und jede Logik auszuschalten.
Viele Betrugsarten nehmen ihren Anfang also mit einer Kontaktaufnahme mit dem Ziel, Nutzer:innen weg von der Plattform zu leiten. Genau hier setzt das neu implementierte «Risk Score Model» an: Verdächtige Nachrichten werden frühzeitig erkannt und abgewehrt. Wie funktioniert dieses System und worin lag die grösste Hürde bei der Entwicklung und Implementierung?
Das System nutzt KI-unterstützte Technologien, um verschiedene Parameter von Nutzern und Nachrichten zu analysieren und Abweichungen vom Normalverhalten zu erkennen. Die Stärke des Systems liegt in seiner Fähigkeit, sich selbst laufend anzupassen und zu verbessern. Das funktioniert allerdings nur, solange die Kommunikation über die Plattform läuft. Wechselt ein Gespräch beispielsweise auf WhatsApp, kann das System nicht mehr greifen. Dann agieren die Nutzer ausserhalb des Sicherheitsrahmens und der Schutzmassnahmen unserer Plattformen. Daher appelliere ich eindringlich an alle Nutzer:innen, möglichst die Plattform nicht zu verlassen.
Wie bei allen KI-basierten Systemen besteht die grösste Herausforderung darin, das Modell anfangs und fortlaufend zu trainieren, um eine hohe Qualität bei gleichzeitig möglichst wenigen Fehlalarmen zu erreichen. Das ist eine Aufgabe, die mit zunehmender Komplexität immer anspruchsvoller wird.
Welche konkreten Erfolge gibt es seit der Einführung des Risk Score Modells?
Unser Entwicklungsaufwand hat sich gelohnt: Innerhalb weniger Monate konnten wir die Betrugsrate um 90 % senken. Das bedeutet: Heute können wir 90 % der Käuferbetrugsversuche verhindern, bevor sie überhaupt stattfinden. Zusätzlich konnten wir mehrere Prozesse automatisieren, wodurch Betrüger ihren bisherigen Vorteil verloren, ausserhalb von Bürozeiten oder an Feiertagen aktiv zu sein.
Es ist jedoch wichtig zu betonen: Betrugsbekämpfung ist und bleibt eine Art Katz-und-Maus-Spiel. Und auch wenn wir momentan die «Wildkatze mit scharfen Zähnen» sind – Betrüger bleiben nicht untätig. Sie passen ihre Taktiken, Methoden und Techniken ständig an. Deshalb ist unsere Arbeit in der Sicherheitsbranche nie fertig. Sicherheit wird kontinuierlich überprüft, angepasst und verbessert. Solange Betrug für Angreifer profitabel bleibt, werden sie es immer weiter versuchen.
Die Betrugsbekämpfung beginnt bei der Prävention. Wie sensibilisiert ihr eure Nutzer:innen für Betrugsversuche und welche Massnahmen wirken am besten?
Das ist eine sehr gute Frage und hier meine ehrliche Antwort: Die Hauptursache für Betrug oder Phishing liegt in der mangelnden Vorsicht vieler Internetnutzer:innen und ist somit userbedingt.
Bei der SMG versuchen wir durch Kooperationen und Kampagnen, unsere Nutzer:innen so umfassend wie möglich über alle Sicherheitsthemen aufzuklären. Auf den Sicherheitsseiten sowie mit Bannern auf den Plattformen und durch Tipps während des Nutzererlebnisses informieren und warnen wir laufend über neue Tricks und Trends.
Am wirksamsten sind die Massnahmen, die den Nutzerflow kurz unterbrechen und gleichzeitig sicherstellen, dass die Nutzer:innen gut informiert sind, auch wenn dies oft zulasten der Benutzerfreundlichkeit geht. Aber manchmal ist das notwendig. Ein Beispiel: Wir erlauben keine Registrierung oder ein Login mit schwachen oder geleakten Passwörtern.
Aufgrund der Grösse und Vielfalt unserer Nutzerbasis ist es allerdings kaum möglich, alle Nutzer:innen gleichermassen zu erreichen. Betrüger zielen gezielt auf bestimmte Gruppen und manipulieren sie sehr raffiniert mit individuellen Angeboten. Es wird daher immer Menschen geben, die auf sehr offensichtliche Betrugsmaschen reinfallen: Diese lesen keine E-Mails, übersehen Banner, ignorieren Tipps oder glauben einfach, dieser «Deal» sei eine einmalige Chance.
Ein Blick in die Zukunft: Welche Massnahmen habt ihr bei SMG für die immer «kreativer» werdenden Betrugsarten geplant?
Wie gesagt, beginnt die Betrugsbekämpfung bei der Prävention. Wir werden weiterhin alles daransetzen, unsere Nutzer:innen zu sensibilisieren, zu informieren und zu warnen. Dabei werden wir neue, vielleicht unterhaltsamere und effektivere Wege finden, um das nötige Wissen zu vermitteln.
Darüber hinaus planen wir, unsere risikobasierten Modelle weiterzuentwickeln, auszubauen und zu skalieren. Wir prüfen auch den Einsatz Phishing-resistenter Login-Methoden wie Passkeys sowie die Verstärkung unserer KYC-Prozesse («Know your customer»).
Zu guter Letzt: Welche ultimative Sicherheitstipps gibst du unseren Leser:innen mit auf den Weg?
Ich selbst nutze Ricardo, tutti.ch und andere SMG-Plattformen und halte mich persönlich an folgende Regeln:
- Multi-Faktor-Authentifizierung (MFA) aktivieren.
- Niemals persönliche Daten über erhaltene Links eingeben, insbesondere keine Kreditkartendaten.
- Domains überprüfen und ggf. manuell eingeben, bevor man persönliche Daten eingibt (möglichst keine persönlichen Daten oder Kreditkartendaten).
- Insbesondere auf Ricardo gibt es keinen Grund, die Plattform für Verhandlungen zu verlassen.
Und schliesslich gilt: Wenn ein Angebot zu gut klingt, um wahr zu sein, dann ist es das wahrscheinlich auch. Zusätzlich zum gesunden Menschenverstand hilft es, auf das eigene Bauchgefühl zu hören.
Interview mit:
Mostafa Hassanin
Group CISO
SMG Swiss Marketplace Group