Phishing und Credential Stuffing bleiben größte Bedrohungen für Finanzdienstleister

Eine neue Studie von Akamai bringt umfassenden Einblick in die Sicherheitslage der Finanzbranche. So stellt der Sicherheitsbericht unter dem Titel „State of the Internet“ 3,5 Milliarden schädliche Anmeldeversuche fest und erklärt, warum Cyber-Kriminelle in den letzten Jahren trotz steigender Gegenwehr der Unternehmen immer noch so erfolgreich sind. Phishing und Credential Stuffing bleiben die wichtigsten Probleme.

Die Finanzdienstleister werden besonders häufig Opfer von Phishing-Domains, die ihre Website imitieren. Das zeigen neu veröffentlichte Daten des Akamai „State of the Internet 2019“-Sicherheitsberichts „Angriffe auf Finanzdienstleister“. Nach Aussage von Sicherheitsexperten stammen 50 Prozent aller Einzelunternehmen, die von beobachteten Phishing-Domains betroffen waren, aus dem Finanzdienstleistungssektor. Neben raffinierten Phishing-Versuchen nutzen Kriminelle auch Credential Stuffing, wie die vorliegenden Daten nachweisen: So kam es innerhalb von 18 Monaten zu insgesamt 3,5 Milliarden Anmeldeversuchen. Sie gefährden persönliche Daten und Bankdaten von Kunden im Finanzdienstleistungssektor. Ähnliche Erkenntnisse hatte bereits ein vergleichbarer Bericht 2018 ergeben.

Laut dem Bericht hat Akamai im Zeitraum zwischen Anfang September 2018 und Anfang Mai 2019 fast 200.000 Phishing-Domains entdeckt. 66 Prozent von ihnen zielten direkt auf Endkunden ab. Betrachtet man nur diese Phishing-Domains, richteten sich 50 Prozent davon gegen Unternehmen in der Finanzdienstleistungsbranche.

Im vergangenen Jahr haben wir einen stetigen Anstieg der Credential-Stuffing-Angriffe beobachtet, der zum Teil aus der Zunahme von Phishing-Angriffen gegen Verbraucher resultiert. Kriminelle ergänzen vorhandene gestohlene Anmeldedaten durch Phishing. Sie machen diese Daten zu Geld, indem sie Konten kompromittieren oder die von ihnen erstellten Listen weiterverkaufen.“

Martin McKeay, Security Researcher bei Akamai

McKaeay, der als Editorial Director den Sicherheitsbericht von Akamai verantwortet hat, beobachtet, dass sich eine ganze Branche entwickelt, die Finanzdienstleister und ihre Kunden zum Ziel hat.

Bank Drops als Grundlage für Betrug

Um gestohlene Daten und Geldmittel weiterzuverarbeiten, nutzen Kriminelle unter anderem „Bank Drops“, wie der Bericht von Akamai zeigt. Dabei handelt es sich um Datenpakete, die zur betrügerischen Eröffnung von Konten bei einem Finanzinstitut verwendet werden können. Bank Drops umfassen in der Regel zunächst einmal die gestohlene Identität einer Person, die von Kriminellen im Internet häufig als „Fullz“ bezeichnet wird. Dazu gehören neben Name, Adresse, Geburtsdatum auch die insbesondere im US-amerikanischen Raum wichtigen Sozialversicherungsdaten, Führerscheininformationen und die Kreditwürdigkeit. Der sichere Zugriff auf die Konten erfolgt über Remote-Desktop-Server, die dem geografischen Standort der Bank und des „Fullz“ entsprechen.

Finanzinstitute untersuchen permanent, wie es Kriminellen gelingen kann, diese Konten zu eröffnen, und arbeiten unermüdlich daran, immer einen Schritt voraus zu sein. Den meisten Unternehmen ist jedoch nicht bewusst, dass Kriminelle bewährte Angriffsmethoden wiederverwenden oder diese entsprechend anpassen. Die Ergebnisse von Akamai zeigen, dass 94 Prozent der beobachteten Angriffe auf den Finanzdienstleistungssektor eine von vier Methoden verwendet haben: SQL Injection (SQLi), Local File Inclusion (LFI), Cross-Site Scripting (XSS) und OGNL Java Injection. Letztere haben mehr als 8 Millionen Versuche im Berichtszeitraum ausgemacht. OGNL Java Injection, bekannt durch die Sicherheitslücke in Apache Struts, wird von Angreifern auch noch Jahre nach der Veröffentlichung von Patches verwendet.

Credential Stuffing mit Hilfe von DDoS-Attacken

In der Finanzdienstleistungsbranche haben Kriminelle auch begonnen, DDoS-Angriffe als Ablenkung zu starten, um Credential-Stuffing-Angriffe durchzuführen oder eine webbasierte Sicherheitslücke auszunutzen. Im Laufe von 18 Monaten entdeckte Akamai allein gegen die Finanzdienstleistungsbranche mehr als 800 DDoS-Attacken.

Angreifer zielen auf die verwundbaren Punkte von Finanzdienstleistungsunternehmen, auf Verbraucher, Webanwendungen und Verfügbarkeit – weil das funktioniert.

Unternehmen werden aber nach Aussagen von McKaey immer besser darin, diese Angriffe zu erkennen und abzuwehren. Doch punktuelle Abwehrmaßnahmen scheitern schnell. Um seine Kunden zu schützen, muss ein Unternehmen in der Lage sein, einen intelligenten Kriminellen, der verschiedene Tools nutzt, zu erkennen, zu analysieren und sich gegen ihn zu verteidigen.“

Martin McKeay, Security Researcher bei Akamai

Seit mehr als zwanzig Jahren, so erklärt McKaey, nutzt Akamai seine umfassenden Einblicke in das gesamte Spektrum an Angriffen, um Kunden vor diesen schädlichen Aktivitäten zu schützen, die sich ständig weiterentwickeln.

Digitales Verbrechen geht dahin, wo das Geld ist

Unterm Strich floriert die kriminelle Wirtschaft mehr denn je – und das teils auch, weil sie sich gegen die Finanzdienstleistungsbranche richtet. Zum Beispiel der Versuch, sensible Daten von Banken zu stehlen und diese Daten für gefälschte Konten und Kredite zu nutzen – ein kontinuierlicher Kreislauf von Straftaten, in dem Kriminelle ausgerechnet die Branche angreifen, die sie gleichzeitig brauchen, um zu überleben. Finanzinstitute können diese Angriffe zwar immer besser erkennen, aber die Angreifer sind weiterhin mit alten Tricks erfolgreich.

Der „State of the Internet“-Sicherheitsbericht 2019 von Akamai kann hier heruntergeladen werden. Weitere Informationen bietet der Threat Research Hub von Akamai. Er zeigt, wie die Sicherheits-Community sich mit den Sicherheitsforschern von Akamai austauscht, von ihnen lernen und von den Einblicken von Akamai profitieren kann.tw