Sind die Konten erst einmal etabliert, wechseln die Angreifer laut IPQS von reiner Automatisierung zu langsameren, menschlich gesteuerten Sitzungen, um im normalen Nutzungsverhalten unterzugehen. An diesem Punkt erreicht die Kette die Phase der Kontoübernahme und Monetarisierung: Über Malware-Links, Phishing und die Ergebnisse von Credential-Stuffing-Kampagnen melden sich die Täter an, ändern Kontodaten und schleusen hochwertige Transaktionen durch.

Die Werkzeuge werden über den gesamten Lebenszyklus hinweg beliebig kombiniert. Ein einzelner Akteur kann bei der Registrierung mit einem Headless-Browser und einem Proxy arbeiten, beim Login auf einen Mobilgeräte-Emulator und einen anderen Proxy-Anbieter umsteigen und den Zugang anschließend an eine weitere Partei übergeben, die auf das Abschöpfen von Guthaben oder das Ausnutzen von Werbeaktionen spezialisiert ist.

Genau deshalb liefert eine punktuelle Prüfung anhand eines einzelnen Signals selten das vollständige Bild. Verlassen sich Teams auf ein dominantes Signal wie die IP-Reputation, werden Fehlalarme zum Alltagsproblem: Legitime Nutzer in geteilten WLANs, hinter dem NAT von Mobilfunkanbietern oder in Firmen-VPNs erben die schlechte Reputation einzelner Übeltäter im selben Adressbereich. Eine Sperre allein nach E-Mail-Adresse stößt auf ähnliche Grenzen, da kostenlose Webmail-Domains von raffinierten Angreifern wie von normalen Kunden genutzt werden.

Auch identitätszentrierte Kontrollen stoßen an eine Wand: Statische Abgleiche von Namen und Dokumenten lassen sich für synthetische Identitäten leicht fälschen, die aus echten Datenfragmenten zusammengesetzt sind. Gerätebezogene Prüfungen, die nur auf gerootete Telefone oder Emulatoren achten, übersehen Betrüger auf scheinbar normalen, aber zuvor kompromittierten Geräten. Selbst reine Bot-Lösungen erzeugen blinde Flecken: Endet eine Credential-Stuffing-Kampagne und gehen die Angreifer mit denselben gestohlenen Zugangsdaten zu manuellen Logins über, sehen solche Werkzeuge nur noch „menschlichen" Verkehr und winken ihn durch.

Wirksame Betrugsabwehr entsteht nach Darstellung von IPQS erst durch die Korrelation von IP-, Identitäts-, Geräte- und Verhaltenssignalen in jedem Schritt. Eine für sich genommen nur leicht verdächtige IP wird eindeutig missbräuchlich, sobald sie mit Dutzenden neuen Konten auf demselben Geräte-Fingerabdruck und ähnlichen Verhaltensmustern verknüpft ist. Umgekehrt kann ein Nutzer mit unauffälligem Gerät und sauberer E-Mail-Reputation dennoch riskant sein, wenn sein Login-Verhalten auf Credential Stuffing hindeutet oder der Zugriff bekannten Malware-Kampagnen folgt.

Moderne Entscheidungssysteme gewichten dafür Hunderte oder Tausende Datenpunkte gemeinsam, statt starre Regeln auf ein einzelnes Merkmal anzuwenden. Für Organisationen bedeutet das, bislang getrennte Sichten zusammenzuführen: IP-Intelligence, Geräte-Fingerprinting, Identitätsprüfung und Verhaltensanalyse sollten dasselbe Risikomodell speisen, damit jedes Ereignis im Kontext bewertet wird.

IPQS veranschaulicht dies an einer Self-Service-SaaS-Plattform mit großzügigem Gratis-Tarif, auf der mit wachsendem Erfolg Tausende Registrierungen zum Abgreifen von Daten, zum Testen gestohlener Karten oder zum verdeckten Weiterverkauf auftauchen. Frühe Gegenmaßnahmen wie das Blockieren bestimmter IP-Bereiche und offensichtlicher Wegwerf-E-Mail-Domains lindern das Problem nur und treffen zunehmend kleine Teams und Freelancer in geteilten Netzen. Mit einem Mehrsignal-Modell lassen sich Registrierungen stattdessen zu koordinierten Missbrauchs-Clustern gruppieren – etwa wenn derselbe Geräte-Fingerabdruck mit unterschiedlichen E-Mail-Adressen wiederkehrt – und gezielt mit zusätzlicher Verifizierung oder stiller Einschränkung beantworten, während unkritische Anmeldungen reibungslos durchlaufen.

Der Beitrag ist von IPQS gesponsert und verfasst. Das Unternehmen bezeichnet sich als gründergeführt und eigenfinanziert und wirbt damit, sein eigenes globales Datennetz, Honeypots und Fraud-Intelligence-Fachleute zu betreiben.