Bedrohungsakteure in Untergrundforen und Chatgruppen entwickeln zunehmend strukturierte Betrugsmethoden, die darauf abzielen, Schwachstellen in den Arbeitsprozessen von Finanzinstituten auszunutzen. Anstatt isolierter oder opportunistischer Betrügereien spiegeln diese Diskussionen einen organisierten, prozessgesteuerten Ansatz wider, der gestohlene Identitätsdaten, **Social Engineering** und Kenntnisse über finanzielle Arbeitsabläufe kombiniert. Innerhalb dieser Gespräche werden kleinere Institute, insbesondere kleine bis mittelgroße Kreditgenossenschaften, oft als attraktivere Ziele genannt, da dort wahrgenommene Lücken in den Verifizierungssystemen und begrenzte Ressourcen zur Betrugsprävention bestehen. **Flare**-Forscher identifizierten kürzlich eine detaillierte Kreditbetrugsmethode, die innerhalb einer solchen Untergrundgruppe zirkuliert. Sie beschreibt, wie Angreifer Kreditprüfungen, Identitätsverifizierungen und Kreditgenehmigungsverfahren mit gestohlenen Identitäten durchlaufen können, ohne traditionelle Sicherheitsauslöser zu aktivieren. Der Ansatz beruht nicht auf der Ausnutzung von Software-Schwachstellen, sondern konzentriert sich darauf, legitime Onboarding- und Kreditvergabeprozesse so zu durchlaufen, als wäre der Antragsteller echt. Die Struktur des Beitrags spiegelt einen methodischen Ansatz wider, der den Prozess von der Identitätsnutzung bis zur Kreditgenehmigung so aufschlüsselt, dass er konsistent repliziert werden kann, was auf eine organisiertere Nutzung von Betrugstechniken hindeutet.  ## Ein Prozess, der auf Identität basiert, nicht auf Einbruch Im Kern beruht dieser Ansatz auf dem Erhalt ausreichender persönlicher Daten, um einen legitimen Kreditnehmer überzeugend zu imitieren. Dazu gehören Identifikatoren wie Namen, Adressen, Geburtsdaten und in einigen Fällen kreditbezogene Details. Der Prozess ist vollständig digitalisiert, und der Angreifer nutzt eine gefälschte Identität, um einen Kredit zu beantragen. Dieser Unterschied ist entscheidend: Der Angriff "bricht das System" nicht, sondern er nutzt die Schwächen in seinem Design aus. Ein zentraler Bestandteil der Methode ist die Fähigkeit, Identitätsüberprüfungen zu bestehen, insbesondere solche, die auf wissensbasierter Authentifizierung (KBA) beruhen. Diese Systeme stützen sich typischerweise auf Fragen, die sich aus folgenden Bereichen ergeben: * Frühere Adressen * Kredit- oder Darlehensverlauf * Beschäftigungs- oder Familienverbindungen In der Praxis kann ein Großteil dieser Informationen aus öffentlich zugänglichen Daten, Social-Media-Profilen, zuvor geleakten Datensätzen und aggregierten Identitätsdatensätzen rekonstruiert oder abgeleitet werden. Diese Methode verdeutlicht, wie Angreifer diese Prüfungen im Voraus antizipieren und vorbereiten können, wodurch die Verifizierung effektiv zu einem vorhersehbaren Schritt anstatt zu einer echten Barriere wird. Sie zeigt, wie eine einst starke Identitätskontrolle schnell erlernt, angepasst und letztendlich von Cyberkriminellen ausgenutzt werden kann, die ihre Identitätsdiebstahl-Tools speziell entwickeln, um diese Anforderungen zu sammeln und zu umgehen. ## Betrug beginnt, bevor das erste Formular ausgefüllt ist Bis ein betrügerischer Antrag in Ihrer Warteschlange landet, ist die harte Arbeit bereits erledigt. Angreifer beschaffen gestohlene Identitäten, KBA-Antworten und Finanzhistorien von Dark-Web-Foren und Untergrundmärkten – lange bevor sie überhaupt mit Ihrem Institut in Kontakt treten. **Flare** überwacht Tausende dieser Quellen kontinuierlich, sodass Sie exponierte Daten an der Quelle erkennen können, nicht erst, nachdem der Schaden angerichtet ist. ## Der Betrugs-Workflow – Schritt für Schritt 1. **Identitätsbeschaffung**: Gestohlene persönliche Daten werden beschafft, einschließlich vollständiger Identitätsdetails und Hintergrundinformationen, die ausreichen, um eine legitime Person zu imitieren. 2. **Kreditprofilbewertung**: Der Angreifer prüft das Finanzprofil des Opfers, um die Kreditwürdigkeit und die Wahrscheinlichkeit einer Genehmigung zu ermitteln. 3. **Vorbereitung der Verifizierung (KBA-Bereitschaft)**: Zusätzliche persönliche Details werden gesammelt, um Identitätsprüfungsfragen zu antizipieren und korrekt zu beantworten. 4. **Zielauswahl**: Kleine bis mittelgroße Kreditgenossenschaften werden aufgrund wahrgenommener schwächerer Verifizierungsverfahren und geringerer Betrugserkennungsreife ausgewählt. 5. **Einreichung des Kreditantrags**: Ein Kreditantrag wird unter Verwendung der gestohlenen Identität eingereicht, wobei auf die Konsistenz aller bereitgestellten Daten geachtet wird. 6. **Identitätsverifizierung bestanden**: KBA- und Standardprüfungen werden erfolgreich abgeschlossen, wodurch die Legitimität hergestellt wird. 7. **Kreditgenehmigung und Auszahlung**: Das Institut genehmigt den Kredit und zahlt die Gelder über Standardkanäle aus. 8. **Geldtransfer und Cash-Out**: Gelder werden auf kontrollierte Konten transferiert, über Vermittler geleitet und abgehoben oder umgewandelt, um die Monetarisierung abzuschließen. ## Warum kleine/mittelgroße Kreditgenossenschaften stärker ins Visier genommen werden Einer der bemerkenswertesten Aspekte der Methode ist ihr Fokus auf kleinere Finanzinstitute. Anstatt große Banken oder hochsichere Fintech-Plattformen ins Visier zu nehmen, richtet sich der Ansatz explizit an kleine bis mittelgroße Kreditgenossenschaften, die als: * Stärker auf traditionelle Identitätsüberprüfungsmethoden angewiesen * Weniger mit fortschrittlicher Verhaltensbetrugserkennung ausgestattet * Eher bereit, Kundenzugänglichkeit über strenge Kontrollen zu stellen  Obwohl dies nicht universell zutrifft, reicht diese Wahrnehmung allein aus, um das Verhalten von Angreifern zu beeinflussen und die Zielauswahl auf Institute zu lenken, von denen angenommen wird, dass sie eine höhere Erfolgsquote bieten. Aktuelle Branchenberichte stützen diesen Trend. Allein im Autokreditgeschäft wird die Betrugsexposition bis 2025 voraussichtlich 9,2 Milliarden US-Dollar erreichen, wobei kleinere und regionale Kreditgeber zunehmendem Druck durch organisierte Betrugsmaschen ausgesetzt sind. ## Cash-Out und Monetarisierung Sobald ein Kredit genehmigt ist, verlagert sich die Operation in ihre kritischste Phase – die Umwandlung des Zugangs in Geld. Zu diesem Zeitpunkt hat der Angreifer bereits die schwierige Arbeit geleistet: Identitätsprüfungen zu bestehen und unter einer gestohlenen Identität Vertrauen aufzubauen. Aus Sicht des Instituts erscheint der Prozess legitim, und die Gelder werden über Standardkanäle ausgezahlt, genau wie bei einem echten Kunden. Der Fokus verschiebt sich dann auf Geschwindigkeit und Trennung. Anstatt die Gelder auf dem Konto zu belassen, werden sie schnell vom Ursprungskonto wegtransferiert, oft über Zwischenkonten, die Distanz zur Quelle schaffen. Diese Phase überschneidet sich mit breiteren Betrugsökosystemen, bei denen der Zugriff auf zusätzliche Konten und Finanzkanäle es ermöglicht, Gelder zu leiten, aufzuteilen oder neu zu positionieren, um die Rückverfolgbarkeit zu verringern. Was diese Phase besonders effektiv (und schwer zu erkennen) macht, ist, dass jeder Schritt normale Finanzverhalten widerspiegelt. Überweisungen, Abhebungen und Kontoaktivitäten sind für sich genommen nicht zwangsläufig verdächtig. Stattdessen liegt das Risiko darin, wie diese Aktionen in einem komprimierten Zeitrahmen miteinander verknüpft werden, was es Angreifern ermöglicht, den Cash-Out vor der Entdeckung abzuschließen.