SECURITY21. Juli 2021

Hacker greifen zentrale FS‑Geschäftsprozesse an – drei Tipps gegen Angreifer

Angreifer
Dan Woods, F5F5

Sicherheit genießt in der Finanz­branche schon immer höchste Priorität. Doch bewährte IT-Schutzmechanismen wie Web Application Firewall, Zwei-Faktor-Authentifizierung oder CAPTCHAs können moderne Angriffsmethoden nicht mehr ausreichend abwehren. Denn cyberkriminelle Angreifer nutzen zunehmend inhärente Schwachstellen aus, die sich aus den aktuellen Geschäftsprozessen ergeben und nicht im klassischen Sinne gepatcht werden können. Dies erfordert neue Lösungsansätze.

von Dan Woods, Vice President des Shape Security Intelligence Centre bei F5

Finanzdienstleister gehören zu den weltweit am häufigsten attackierten Unternehmen. Als Verwalter von Konten und Transaktionen bilden sie eine besonders attraktive Zielscheibe für raffinierte und bestens ausgerüstete Cyberkriminelle. Um neuartige und zunehmend komplexe Angriffe zu identifizieren und abzuwehren, wird es immer wichtiger, dass das gesamte Unternehmen zusammenarbeitet.

Denn die Angreifer nutzen inhärente Schwachstellen aus, die sich nicht im herkömmlichen Sinne patchen lassen, weil sie durch zentrale und oft kritische Geschäftsprozesse entstehen.”

Credential Stuffing

Ein Beispiel dafür ist die Angriffsmethode des Credential Stuffing. Hier beschaffen sich Hacker im ersten Schritt mehrere hunderttausend bis hin zu Milliarden Login-Daten wie Benutzername und Passwort aus dem Dark Web oder von schlecht gesicherten Unternehmen. Anschließend probieren sie diese automatisiert bei Anmeldeseiten anderer Firmen aus. Da viele Konsumenten die gleichen Login-Daten für verschiedene Angebote verwenden, sind die Hacker mit dieser Methode häufig erfolgreich. Für eine Bank sieht die Eingabe der korrekten Daten als legitime Anmeldung des echten Kunden aus. Daher sind weitere Daten wie IP-Adresse, Geräte-ID oder der Einsatz eines Proxys zur Verschleierung zu analysieren, um den Identitätsdiebstahl durch Cyberkriminelle zu erkennen.

Angreifer
F5

Eine weitere Methode, die immer häufiger zum Einsatz kommt, ist der Angriff über Dritte. Dies funktioniert ähnlich wie bei den berüchtigten Ransomware-Attacken auf die IT-Dienstleister Kaseya und Solarwinds. Über deren Software-Systeme wurde die eingeschleuste Malware auf jeweils über 1.000 Kunden verteilt. Im Finanzwesen funktioniert dies oft über FinTech-Unternehmen wie Anbieter von Kundenbindungsprogrammen oder Bezahldienstleister.

Um deren oft kostenlose Dienste zu nutzen, müssen die Kunden zunächst ihr Bankkonto angeben. Anschließend wird der Account mit den Login-Daten bei anderen Anbietern wie Einzelhändler, Hotels, Fluggesellschaften oder TK-Anbieter verknüpft. Dazu teilen die Kunden dem FinTech ihren Benutzernamen und ihr Passwort für jedes Nutzerkonto mit. Die FinTechs versuchen dann, sich programmgesteuert in jedes Konto einzuloggen. Wenn der Abonnent den richtigen Benutzernamen und das richtige Passwort angegeben hat, wird die Verknüpfung fortgesetzt. Nachdem ein Konto verknüpft wurde, geschieht der Rest automatisiert:

Das Fintech loggt sich wiederholt in das Konto ein und ruft die Inhalte ab – und zwar manchmal mehr als tausendmal pro Tag.”

Falls Cyberkriminelle die Sicherheitsmechanismen eines beliebigen Anbieters überwinden, können sie mit Hilfe der automatisierten Prozesse über das Benutzerkonto beim FinTech auch auf das Bankkonto des Nutzers zugreifen. Dazu dient etwa die Installation von entsprechender Malware wie Trojanern, um die Vorgänge zu manipulieren. Da der Zugriff wie eine legitime, automatisierte Anfrage vom Drittanbieter aussieht, lässt sich die Attacke nur durch spezielle Vorkehrungen erkennen.

Angriffe auf Konten

Eine weitere Angriffstechnik besteht darin, bei einer Anwendung nur auszuprobieren, ob für einen Benutzernamen ein gültiges Konto existiert. Ist das nicht der Fall, braucht der Angreifer gar nicht erst das zugehörige Passwort auszuprobieren. Ist der Benutzername zwar gültig, aber nicht das Passwort, erscheint häufig eine Eingabemaske nach dem Prinzip: „Neues Kennwort anfordern“.

Dann sorgt der Angreifer dafür, dass das neue Kennwort auf eine seiner Mail-Adressen umgeleitet wird.”

Cyberkriminelle nutzen aber auch die Möglichkeit aus, ein komplett neues Konto zu erstellen. Das gilt insbesondere für Finanzdienstleister, die zur Geldwäsche sowie zur Erstellung und Wartung synthetischer Identitäten missbraucht werden. Dabei handelt es sich um Fake-Accounts, die keinem realen Besitzer oder Unternehmen zugeordnet sind, um die wahren Inhaber zu verschleiern und damit den Strafverfolgungsbehörden zu entgehen.

Darum funktionieren herkömmliche Abwehrmaßnahmen nicht mehr

Autor Dan Woods, F5
Dan Woods ist Vice President des Shape Security Intelligence Center bei F5 (Website). Zuvor arbeitete er als Assistant Chief Special Agent of Special Investigations im Büro des Generalstaatsanwalts von Arizona, wo er Computerkriminalität und Cyber-Betrug untersuchte. Davor war er 20 Jahre lang bei lokalen, staatlichen und bundesstaatlichen Strafverfolgungsbehörden und Geheimdiensten tätig, unter anderem beim FBI als Special Agent, wo er gegen Cyber-Terrorismus ermittelte, und bei der CIA als Technical Operations Officer. Dort war er auf Cyber-Operationen spezialisiert.
Zu den üblichen Sicherheitsmaßnahmen bei Finanzdiensten zählen Vorkehrungen auf Layer 5 bis 7, zum Beispiel Web Application Firewalls (WAFs), die erzwungene Zwei-Faktor-Authentifizierung (2FA) bei der entsprechenden Anwendung oder auch Bot-Erkennungs- und -Präventionstools wie CAPTCHA.

WAFs betrachten jedoch in erster Linie die Anwendungsschicht, um die 10 größten Gefahren für Web-Anwendungen gemäß der OWASP-Liste (Open Web Application Security Project) abzuwehren. Die Application Layer liefert aber keine ausreichenden Signale, mit denen man ausgefeilte automatisierte Prozesse zuverlässig erkennen könnte. Hierfür sind zusätzliche Signale erforderlich. Dazu gehören beispielsweise solche, die durch die Erfassung verhaltensbiometrischer Daten und die Abfrage der Browser-/Geräteumgebung gewonnen werden.

Die 2FA wirkt gegen viele Angriffsmethoden. Allerdings ist der großflächige Einsatz teuer und schafft Hürden für Kunden. Außerdem kann sie Credential Stuffing nicht immer verhindern, auch wenn Kontoübernahmen erschwert werden. Bei den meisten 2FA-Implementierungen gibt ein Kunde einen Benutzernamen und ein Passwort ein. Sind diese korrekt, wird er aufgefordert, den zweiten Faktor einzugeben. Wenn Benutzername oder Passwort falsch sind, erhält der Kunde eine Fehlermeldung und wird nicht zur Eingabe des zweiten Authentifizierungsfaktors aufgefordert. Dieser Unterschied verrät dem Angreifer allerdings, ob die Anmeldedaten korrekt sind. Der Angreifer hat das Konto zwar nicht übernommen, kann aber die nun bekannten korrekten Anmeldedaten an einen anderen Angreifer verkaufen, der sich auf das Umgehen von 2FA spezialisiert hat. Dazu gehören zum Beispiel Port-out-Betrug mit Telefonnummer- und Anbieterwechsel, SIM-Swapping, SS7-Lücken, iOS/Android-Malware oder Social Engineering.

CAPTCHAs bilden eine unnötige Hürde für Kunden bei der Anmeldung und können zum Abbruch der Einwahl und zu Umsatzeinbußen führen. Außerdem halten sie, ähnlich wie 2FA, Bots nicht vollständig auf. Viele Angreifer umgehen CAPTCHAs durch optische Zeichenerkennung (OCR), maschinelles Lernen und sogar mithilfe billiger menschlicher Klickfarmen.

Wichtige Schutzmaßnahmen

Ein umfassender Schutz vor Angriffen gegen inhärente Schwachstellen gelingt daher nur mit folgenden Schritten:

1. Transparenz schaffen

Zunächst sind die Anwendungen zu ermitteln, die automatisiert angegriffen werden. Dazu dienen fundierte und objektive Antworten auf folgende Fragen: Warum würde jemand einen automatisierten Angriff gegen diese Anwendung starten? Wie könnte jemand damit an Geld oder Informationen kommen? Oder gibt es einen langfristigen, eher strategischen Grund? Um Antworten auf diese Fragen zu erhalten, müssen Finanzdienste ihre Anwendungen und Arbeitsabläufe genau kennen und ein umfassendes Verständnis der automatisierten Angriffe haben, die im Internet zu beobachten sind.

2. Geeignete Maßnahmen ergreifen

Für Finanzdienste ist es sehr wichtig, legitime von illegitimen automatisierten Prozessen zu unterscheiden. Legitime Automatisierung muss erlaubt, illegitime unterbunden werden. Folgende Punkte spielen hier eine entscheidende Rolle:

  • Transaktionen sollten nicht mit einem Attribut auf die Allow-Liste gesetzt werden, das sich leicht fälschen lässt. Dazu gehört beispielsweise ein User Agent String. Im besten Fall sind nur Transaktionen mit einem gemeinsamen Geheimnis (Shared Secret) im HTTP-Header zugelassen.
  • Finanzdienste sollten bei einem automatisierten Angriff nicht einfach die Sitzung beenden. Das könnte dem Hacker hilfreiche Rückmeldungen für die Überarbeitung seines Tools oder zur Fehlerursache wie falsches Passwort geben. Stattdessen sollten Angreifer erst mit größerer Verzögerung erkennen, dass sie gestoppt wurden. Das lässt sich zum Beispiel durch Umleitung oder Weiterleitung der Transaktion, Injections oder Änderungen an der Transaktion und Zurückweisung an den Ursprung oder die Antwort mit einer kompletten HTML-Seite erreichen.

3. Laufende retrospektive Analyse durchführen

Unternehmen müssen eine fortlaufende retrospektive Analyse der Transaktionen durchführen, die auf eine Anwendung zielen, um abgewandelte Angriffe oder andere unerwünschte Automatisierungen schnell identifizieren zu können. Am besten geschieht das mit künstlicher Intelligenz und Expertenhilfe sowie mit Machine-Learning-Systemen, die mit aggregierten Transaktionen umgehen können. Außerdem müssen Finanzdienste ihre Echtzeit-Abwehrmaßnahmen schnell aktualisieren, ohne dadurch legitime Kunden zu behindern.

Ausblick

Der oft wochen- oder monatelange Kampf gegen neuartige automatisierte Angriffe auf Web- und Mobilanwendungen ist selbst nach deren erfolgreicher Abwehr nicht zu Ende. Viele Angreifer setzen ihre Aktivitäten stattdessen mit abgewandelten Tools, Login-Daten oder manuellen Eingaben über Klickfarmen fort. Daher sollten Finanzdienste Security-Experten einbinden und Produkte nutzen, die ständig weiterentwickelt werden, um auch vor neuartigen Bedrohungen geschützt zu sein.Dan Woods, F5

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert