Während SCA einige Cyberkriminelle vereiteln könnte, bieten Open Banking APIs eine neue Chance
Von Andy Still, CTO, Netacea
Credential Stuffing plagt die Finanzdienstleistungsbranche schon seit einiger Zeit. Es handelt sich um eine Technik, bei der Cyberkriminelle Trial-and-Error verwenden, um gestohlene Benutzernamen und Passwörter mit hoher Geschwindigkeit in Anmeldeseiten zu „stopfen“, um sich betrügerischen Zugang zu Konten zu verschaffen. Bankkonten sind der Jackpot für Cyberkriminelle. Sobald sie sich angemeldet haben, können sie Geld bewegen, Einkäufe tätigen und sogar Lastschriften einrichten, ohne dass dies entdeckt wird.
Doch das Aufkommen von PSD2 und die daraus resultierenden Anforderungen zur starken Kundenauthentifizierung (SCA), die bis zum 31st Dezember 2020 wird Credential Stuffing hoffentlich für viele in der Branche der Vergangenheit angehören. SCA verlangt, dass bestimmte Zahlungen eine Zwei-Faktor-Authentifizierung verwenden, was bedeutet, dass Cyberkriminelle viel härter arbeiten müssen, um zusätzliche Sicherheitsmaßnahmen zu umgehen. Ohne diesen zusätzlichen Schritt können Cyberkriminelle mithilfe von Bots jede Minute Tausende von gestohlenen Kartendaten und Passwörtern überprüfen. Diese Zugangsdaten, die durch Datenschutzverletzungen durchgesickert sind und dann im Dark Web verkauft werden, sind viel weniger effektiv, wenn Hacker auch versuchen müssen, Einmalpasswörter und andere Sicherheitsmethoden zu untergraben.
Die Erschwerung der Arbeit von Cyberkriminellen hat selten negative Auswirkungen. Aber das Problem, dem sich Banken und andere Finanzdienstleister stellen müssen, ist, dass Cyberkriminelle nicht einfach aufgeben, wenn eine Angriffsmethode vereitelt wird, sondern nach einem anderen Weg suchen. Und PSD2, die Verordnung, die SCA fordert, gibt ihnen eine Chance: APIs.
APIs: Hauptziele für Cyberkriminelle?
Großbritannien hat dank der Open-Banking-Initiative bereits Banking-APIs eingeführt. Mit dem Ziel, die Bankenbranche zu demokratisieren, verlangt Open Banking von den Banken, ihre APIs zu öffnen, um Dritten den Zugriff auf die Finanzinformationen zu ermöglichen, die für die Entwicklung neuer Apps und Dienste erforderlich sind, und den Kontoinhabern eine größere finanzielle Transparenz zu bieten. Diese APIs sind jedoch ein Hauptziel für Cyberkriminelle.
Der Zugriff auf APIs ist auf regulierte Drittanbieter (TPPs) beschränkt, die einer umfassenden Überprüfung ihrer Sicherheit, Betriebsführung und Risikomanagementkontrollen unterzogen wurden. Dies bedeutet jedoch nicht, dass sie vollständig vor Angriffen geschützt sind. Unternehmen haben drei Schwachstellen – den Browser, die mobilen Apps und den API-Server – und alle diese können ausgenutzt werden, um Angriffe zu initiieren.
Lesen Sie mehr: Bot-Betreiber erweitern ihren Anwendungsbereich: von Sneakerbots zu allgemeinen Sniperbots
Darüber hinaus scheinen viele Unternehmen die mit APIs verbundenen Risiken nicht vollständig zu verstehen. Unser neuere Forschungen zeigt, dass Unternehmen, einschließlich Finanzdienstleister, Mobilgeräte und Websites als ungefähr gleich wahrscheinlich einstufen, dass sie von einem Bot-Angriff betroffen sind, mit APIs auf einem entfernten Drittel. Dies könnte auf einen Mangel an verfügbaren APIs zurückzuführen sein, aber es ist viel wahrscheinlicher, dass es auf einen Mangel an Bewusstsein, Sichtbarkeit oder Nachdenken über Bots hinweist, die APIs als Integration verwenden.
Doch selbst wenn Banken alle Vorkehrungen treffen, um sicherzustellen, dass ihre APIs sicher sind, gibt es Möglichkeiten, sie anzugreifen, die außerhalb ihrer Kontrolle liegen. Ein Hacker mit Zugriff auf das System eines TPP könnte es verwenden, um persönliche Daten zu kratzen. Oder eine schlecht gestaltete Drittanbieter-App könnte von einem Hacker verwendet werden, um den Zugriff auf eine API zurückzuentwickeln und automatisierte Angriffe zu verwenden, um zu versuchen, Konten zu übernehmen und Betrug zu begehen.
Banken werden aufgefordert, ihre APIs zu sichern. Aber selbst wenn sie dies perfekt machen, sind sie immer noch anfällig, wenn die Drittparteien, die sich mit ihren APIs verbinden, nachlässig sind. Das Blockieren von IPs und das Blacklisting bestimmter TPPs wird eine Teillösung darstellen, aber ein weiteres Problem bleibt bestehen – Banken werden ihren Datenverkehr nicht mehr verstehen.
Derzeit interagieren neben Menschen auch gute und schlechte Bots mit Online- und Mobile-Banking. Es ist genügend Verlauf verfügbar, um gute und schlechte Absichten zu identifizieren und diejenigen zu blockieren, die Konten übernehmen oder ähnliche Angriffe durchführen möchten. APIs haben nicht die gleiche Geschichte, was die Unterscheidung zwischen den Guten und den Bösen noch schwieriger macht.
Stärkung der Position der Branche
Banken müssen nicht nur ihre APIs sichern, sie müssen sich auch schnell damit vertraut machen, wie ehrliche und böswillige Absichten aussehen. Und der beste Ausgangspunkt ist, sich alle API-Interaktionen anzusehen. Sobald sich ein Gesamtbild darüber gebildet hat, wie TPPs mit Banking-APIs interagieren, wird schlechtes Verhalten offensichtlicher.
Aber die Bot-Landschaft entwickelt sich so schnell, dass sich das, was vor sechs Monaten nach gutem und schlechtem Verhalten aussah, geändert haben wird. Eine regelmäßige Überprüfung der Aktivitäten, die auf APIs stattfinden, ist unerlässlich. Je mehr die Branche über APIs erfährt, desto stärker wird sie in der Lage sein, Angriffe in Zukunft zu bekämpfen.
Während Banken traditionell Informationen für sich behalten haben, hat Open Banking dies für immer geändert. Und die gleiche Offenheit sollte nun auch für die Cybersicherheit gelten. Banken müssen Gespräche mit Partnern, Wettbewerbern und Kunden führen, um das Verständnis der Branche für Angriffe zu stärken und sich im Kampf gegen Cyberkriminalität zu vereinen.
