Anzeige
SECURITY23. Januar 2023

Neue IT-Gefahren für das Finanzwesen: So umgehen Hacker MFA und rüsten ihre Methoden um

Experte für Hacker-Angriffe: Frank Thias, Principal Solutions Engineer bei F5
Frank Thias, Principal Solutions Engineer bei F5F5

Von jeher steht die Finanzbranche im Fokus von Cyberkriminellen. Doch im vergangenen Jahr hat sich die Bedrohungslage nochmals deutlich verschärft. Hacker umgehen die Zwei-Faktor-Authentifizierung, nutzen legitime Zugangsdaten für Bankkonten und verändern ihre Methoden nach jeder neuen Sicherheitsmaßnahme. Was ist derzeit besonders zu beachten?

 von Frank Thias, Principal Solutions Engineer bei F5

Insgesamt 4,8 Milliarden Login-Versuche an 21 Tagen: Im vergangenen Jahr registrierten Sicherheitsexperten einen der größten bekannten Credential-Stuffing-Angriffe. Betroffen war eine der drei führenden Banken in den USA.

Obwohl die meisten Transaktionen automatisch generiert wurden, waren 941 Millionen von Menschen initiiert.”

Der Spitzenwert bei dieser Attacke betrug 17 Millionen Versuche pro Stunde für eine Kontoübernahme. Dieser Peak zog sich über 5 Tage hinweg.

Alleine diese Zahlen zeigen, dass die Aggressivität der Cyberkriminellen weiter steigt. Da traditionell das Finanzwesen aufgrund der dort gelagerten Gelder im Fokus steht, müssen sich Banken und Versicherungen noch stärker gegen Angriffe rüsten. Ein zentrales Thema ist dabei Credential Stuffing. Denn Hacker nutzen häufig legitime Zugangsdaten, die sie zuvor gestohlen oder über das Darknet erworben haben, um sich damit für ein Konto zu authentifizieren. Das Institut muss daher bei jeder Einwahl prüfen, ob tatsächlich der dazu berechtigte Kunde den Benutzernamen und das Kennwort eingibt. Dazu prüft es zusätzlich etwa den verwendeten Browser, das genutzte Gerät oder die IP-Adresse.

Der Genesis-Marktplatz

Doch das reicht heute nicht mehr aus. Denn inzwischen installieren Hacker Malware auf Geräten von Privatnutzern, um verschiedene Umgebungsattribute aus dem Browser zu sammeln. Dazu gehören Benutzernamen und Passwörter für Websites, die das Opfer besucht, sowie Browser-Historie, Cookies, Plugins, IP-Adresse oder Bildschirm- und Browser-Dimensionen. Diese und viele andere Attribute werden zur Erstellung von Browser-Fingerprints verwendet und zum Beispiel auf dem Online-Marktplatz Genesis zum Verkauf angeboten.

Cyberkriminelle können mit Hilfe dieser Fingerprints den Browser des realen Nutzers imitieren. Damit vermeiden sie die Zwei-Faktor-Authentifizierung, die häufig beim Einloggen mit einem unbekannten Gerät ausgelöst wird.”

Zudem lässt sich mit Hilfe der Angaben in der Regel auch die wahre Identität des Opfers ermitteln, um weitere sensible persönliche Daten abzugreifen.

Den zweiten Faktor stehlen

Bei modernen Methoden wie dem pushTAN-Verfahren funktioniert der Diebstahl des zweiten Faktors häufig durch klassisches Phishing. Im ersten Schritt finden Cyberkriminelle über soziale Medien wie LinkedIn oder Facebook persönliche Informationen über das Opfer heraus, zum Beispiel Interessen, Hobbies, die aktuelle Firma und Position. So erscheinen sie beim Opfer glaub- und vertrauenswürdig.

Beispiel eines Hacker angriffs: Beispiel für den Diebstahl des zweiten Faktors über Phishing
Beispiel für den Diebstahl des zweiten Faktors über Phishing F5

Beispiel für den Diebstahl des zweiten Faktors über Phishing

Alternativ gibt es Tools, mit denen Angreifer über einen Reverse Proxy den zweiten Faktor abfangen. Ein bekanntes Beispiel ist hier Modlishka. Zudem existieren Lösungen, die den eigentlichen Nutzer beziehungsweise die Browser-Umgebung in der aktuellen Session kopieren und imitieren. Sie nutzen unter anderem die Bequemlichkeit der Nutzer aus, indem sie durch gespeicherte Informationen wie Cookies den Zugang erhalten.

Dabei spielt es keine Rolle, welche Methode der Zwei-Faktor-Authentifizierung zum Einsatz kommt. Sobald der Nutzer sich erfolgreich an der Applikation anmeldet oder die Option zur automatischen Speicherung von Zugangsdaten verwendet, kann die Browser-Umgebung kopiert werden.”

Das setzt natürlich voraus, dass der Angreifer die zeitlich begrenzten Session-Informationen auch sofort nutzen kann. In der Regel geschieht dies durch Malware – entweder im Browser oder auf dem Client-System selbst. Der Nutzer bekommt das im Normalfall nicht mit.

Ständig neue Angriffstools – wenn nötig

Autor Frank Thias, F5
Frank Thias arbeitet seit April 2006 im Presales-Team als Principal Solutions Engineer bei der F5 Networks GmbH (Website) in Deutsch­land. Er be­rät Kun­den im Ban­ken-, Ver­si­che­rungs- und In­dus­tri­e­um­feld. Thi­as ver­fügt über mehr als 25 Jah­re Er­fah­rung in der IT-Bran­che. Be­reits zu Be­ginn sei­ner Kar­rie­re spe­zia­li­sier­te er sich auf Netz­werk­si­cher­heit. Mit sei­nem Wech­sel zu F5 konn­te er sich wei­te­re um­fang­rei­che Kennt­nis­se in den Be­rei­chen Ap­p­li­ca­ti­on Se­cu­ri­ty, Cloud Se­cu­ri­ty, Fe­de­ra­ti­on und Sin­gle Sign-On an­eig­nen. Ne­ben ei­ner ho­hen Ex­per­ti­se im Be­reich der Netz­werk­si­cher­heit, die durch zahl­rei­che Zer­ti­fi­zie­run­gen do­ku­men­tiert ist, be­ste­hen sehr gu­te Kennt­nis­se im Be­reich der An­wen­dungs­si­cher­heit und An­wen­dungs­zu­ver­läs­sig­keit. Be­vor Frank Thi­as zu F5 wech­sel­te, ar­bei­te­te er als tech­ni­scher Trai­ner und Se­ni­or Con­sul­tant in ei­nem Si­cher­heits­sys­tem­haus. Sei­ne be­ruf­li­che Lauf­bahn in der IT be­gann er bei ei­nem Kun­den aus dem Ge­sund­heits­we­sen als Netzwerkadministrator.

Diese Beispiele zeigen, dass Hacker immer wieder neue Methoden entwickeln oder bekannte variieren, um Schutzmaßnahmen zu umgehen. Doch das geschieht nur, wenn sie auch müssen, da ihre Angriffe abgewehrt werden. Dies führt zum ewigen Wettrennen zwischen Angreifern und Security-Verantwortlichen. Dabei hat der Angreifer im Vorfeld grundsätzlich mehr Zeit und kann seine nächsten Schritte gut vorbereiten. Der Einsatz von Gegenmaßnahmen erfolgt dagegen meist unter Zeitdruck und erfordert oft eine kurzfristige Reaktion.

Ein Beispiel ist die vor kurzem veröffentlichte Möglichkeit zum Umgehen von WAF-Lösungen. Solche Schwachstellen können jederzeit auftreten und es dauert eine Weile, bis diese sicher behoben werden. Viele Angreifer nutzen dieses Zeitfenster aus oder attackieren schon vor Veröffentlichung die Sicherheitslücke. Sie platzieren Malware, stehlen Daten oder verschaffen sich auf andere Weise permanenten Zugang auf die Systeme. Schwachstellen in Web-Apps, Frameworks, Datenbanken oder selbst in Security-Lösungen wird es immer geben, so dass Angreifer mit genügend Motivation und Geduld auch fündig werden.

Doch sie müssen nicht immer gleich neue Tools einsetzen: Alternativ suchen die Angreifer das nächste, schwächer abgesicherte Unternehmen und attackieren dieses. Denn sie wissen auch, dass nicht alle Unternehmen aktuelle Schwachstellen zeitnah beheben – selbst wenn Patches verfügbar sind. So verwenden sie bewährte Methoden weiter, solange sie funktionieren.

Attacken über die Lieferkette

Doch selbst wenn alle Patches aufgespielt und die Sicherheitsmaßnahmen umfassend sind, ist die Gefahr für Finanzinstitute noch lange nicht vorbei. Denn wenn Cyberkriminelle die Bank selbst nicht mehr angreifen können, versuchen sie es über die Lieferkette.

Schließlich arbeiten viele Institute mit Partnern wie FinTechs zusammen, die zum Teil einen direkten und vergleichsweise wenig überprüften Zugang zu den Kundenkonten besitzen. Viele Banken gehen einfach davon aus, dass die FinTechs eigene strenge Sicherheitsmaßnahmen durchführen und daher ihre Anfragen nicht mehr intensiv zu prüfen sind.”

Aber auch Versicherungen können Opfer von Angriffen über ihre Lieferkette werden. Zum Beispiel nutzen sie externe Online-Dienste, um neue Verkaufskontakte zu erhalten und je nach Nachfrage ihre Preise anzupassen. Automatisierte Bots können auch hier jedoch Schwachstellen bei der Online-Anmeldung ausnutzen, um Konten zu fälschen. Wer diesen Betrug nicht erkennt, glaubt deutlich mehr Kunden oder Interessenten zu haben, als es tatsächlich sind. Schon vor einigen Jahren ermittelten Security-Spezialisten, dass bei einem US-amerikanischen sozialen Netzwerk sogar 99 Prozent des Anmeldeverkehrs automatisiert war. Auf ähnliche Weise legen gefälschte Verkaufskontakte und Preismanipulationen Versicherungen herein.

Fazit

Das Rennen zwischen Cyberkriminellen und Sicherheitsexperten geht immer weiter, gerade im Finanzwesen. Daher müssen Banken und Versicherungen ihre Sicherheitsansätze ständig modernisieren. Gleichzeitig wenden sich Hacker verstärkt der Lieferkette zu. So müssen Banken und Versicherungen auch die Security-Maßnahmen und Anfragen ihrer Partner streng überprüfen, bevor sie ihnen einen Systemzugang gewähren.Frank Thias, F5

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert