Finanzdienstleister sind zunehmend anfällig für Authentifizierungs- und DDoS-Angriffe

22nd Mai 2020
Finanzieller Betrug

F5 Labs wertet die Daten des Security Incident Response Teams aus drei Jahren aus

Laut einer neuen Studie von F5 Labs haben Finanzdienstleistungsunternehmen in den letzten drei Jahren einen deutlichen Anstieg der Anzahl von Authentifizierungs- und DDoS-Angriffen (Distributed Denial of Service) erlebt1.

Das Gegenteil war jedoch bei Web-Angriffen der Fall, die im gleichen Zeitraum deutlich zurückgingen.

Die Analyse von F5 Labs, die SIRT-Daten (Customer Security Incident Response) von 2017 bis 2019 untersuchte, umfasste Banken, Kreditgenossenschaften, Makler, Versicherungen und die breite Palette von Organisationen, die sie bedienen, wie Zahlungsabwickler und Finanzsoftware als Service (SaaS).

„Der Finanzdienstleistungssektor ist ein stark reguliertes Umfeld, was bedeutet, dass die Sicherheitsbudgets hoch sind und die Risikobereitschaft gering ist. Sie bleiben jedoch aufgrund des Werts und der Bekanntheit der Informationen, auf die sie Zugriff haben, ein attraktives Ziel für Cyberkriminelle“, sagte Raymond Pompon, Direktor bei F5 Labs.

Authentifizierungsangriffe auf dem Vormarsch

Im Durchschnitt machten Brute Force und Credential Stuffing 41 % aller Angriffe auf Finanzdienstleistungsunternehmen über den gesamten Zeitraum von drei Jahren aus. Der Anteil der Angriffe stieg von 37 % im Jahr 2017 auf einen Höhepunkt von 42 % im Jahr 2019.

Brute-Force-Angriffe einen Angreifer einbeziehen, der versucht, große Mengen an Benutzernamen und Kennwörtern gegen einen Authentifizierungsendpunkt zu verwenden. Andere Formen von Brute-Force-Angriffen verwenden einfach gemeinsame Listen mit standardmäßigen Anmeldedatenpaaren (z. B. admin/admin), häufig verwendete Kennwörter oder sogar zufällig generierte Kennwortzeichenfolgen.

Die ersten Schritte in Richtung einer Hybrid-First-Cybersicherheitsumgebung unternehmen
Trending
Die ersten Schritte in Richtung einer Hybrid-First-Cybersicherheitsumgebung unternehmen

Gelegentlich nutzen Brute-Force-Angriffe Zugangsdaten, die aus anderen Sicherheitsverletzungen stammen. Diese werden dann verwendet, um den Dienst in einem Angriff anzugreifen, der als „Zeugnisfüllung"

Als das SIRT-Team von F5 tiefer eintauchte, stellte es fest, dass es deutliche regionale Unterschiede bei den Angriffstrends gab. In EMEA machten Brute-Force- und Credential-Stuffing-Angriffe nur 20 % der Gesamtzahl aus, was mehr ist als die 15 % im asiatisch-pazifischen Raum, aber deutlich weniger als die 64 % in Nordamerika. Letzteres wird wahrscheinlich durch eine große Menge bestehender gebrochener Anmeldeinformationen verursacht.

„Die ersten Hinweise auf einen Authentifizierungsangriff sind häufig Kundenbeschwerden über Kontosperrungen und keine automatisierte Erkennung“, sagte Pompon.

„Früherkennung ist der Schlüssel. Wenn Verteidiger in kurzer Zeit eine Zunahme fehlgeschlagener Anmeldeversuche feststellen können, haben sie die Möglichkeit zu handeln, bevor Kunden betroffen sind.“

DDOS-Angriffe: die am schnellsten wachsende Bedrohung

DDoS-Angriffe waren die zweitgrößte Bedrohung für Finanzdienstleister, Buchhaltung für 32 % aller gemeldeten Vorfälle zwischen 2017 und 2019. Es ist auch die am schnellsten wachsende Bedrohung. Im Jahr 2017 konzentrierten sich 26 % der Angriffe auf Finanzdienstleister auf DDoS. 42 stieg die Zahl auf 2019 %.

Auch hier gab es deutliche regionale Unterschiede. 50 % aller Angriffe, die in der EMEA-Region im Dreijahreszeitraum gemeldet wurden, standen im Zusammenhang mit DDoS. Der asiatisch-pazifische Raum war mit 55 % ähnlich betroffen, aber das Volumen ging in Nordamerika auf 22 % zurück.

Laut F5 Labs zielen Denial-of-Service-Angriffe gegen Finanzdienstleister in der Regel entweder auf die von Kunden genutzten Kerndienste (zB DNS) oder auf Anwendungen ab, die Nutzern den Zugriff auf Online-Dienste ermöglichen (zB Rechnungen einsehen oder Kredite beantragen). Angriffe stammen oft aus der ganzen Welt, wahrscheinlich über die Verwendung großer Botnets, die entweder von Angreifern gemietet oder speziell aus kompromittierten Computern gebaut wurden.

„Die Fähigkeit, die Merkmale des Datenverkehrs unter Angriffsbedingungen schnell zu identifizieren, ist von entscheidender Bedeutung. Es ist auch wichtig, schnell eine detaillierte Protokollierung für Anwendungsdienste zu ermöglichen, um ungewöhnliche Abfragen zu identifizieren“, erklärte Pompon.

Web-Angriffe auf dem Rückzug

Während sich Authentifizierungs- und DDoS-Angriffe weiter ausbreiten, gab es gleichzeitig einen Rückgang bei Web-Angriffen auf Finanzdienstleistungsunternehmen. In den Jahren 2017 und 2018 machten sie 11 % aller Vorfälle aus. 2019 waren es gerade einmal 4 %. 

„Obwohl es schwierig ist, die Kausalität zu bestimmen, ist ein wahrscheinlicher Faktor, der diesen Trend vorantreibt, die wachsende Raffinesse richtig implementierter technischer Kontrollen wie Web Application Firewalls (WAFs)“, sagte Pompon.

F5 Labs 2018 Anwendungsschutzbericht fanden heraus, dass ein größerer Anteil der Finanzorganisationen dazu neigt, WAFs einzusetzen (31 %) als der Durchschnitt aller Branchen (26 %).

Die meisten der vom F5 SIRT aufgezeichneten Webangriffe konzentrierten sich auf APIs, einschließlich solcher im Zusammenhang mit mobilen Authentifizierungsportalen und Open Financial Exchange (OFX). Auch Web Scraping – das Kopieren von Inhalten zum Erstellen realistischer Phishing-Seiten – war nachweisbar.

F5 Labs weist darauf hin, dass Internetangriffe auf Finanzdienstleistungsziele im Vergleich zu anderen Sektoren tendenziell hartnäckiger sind – teilweise aufgrund der präzisen Ausrichtung der Cyberkriminellen und des potenziell hohen Erfolgswerts.

Zukunft sichern

Die Analyse von F5 Labs kommt zu dem Schluss, dass, obwohl die Finanzdienstleistungsbranche tendenziell weniger Überzeugungsarbeit in Bezug auf die Vorzüge wesentlicher Sicherheitsprogramme verlangt, es keinen Raum für Selbstzufriedenheit gibt.

„Trotz der wertvollen Vermögenswerte, die auf dem Spiel stehen, kann es immer noch eine Herausforderung sein, einige Organisationen von der Notwendigkeit einer Multifaktor-Authentifizierung zu überzeugen, die wahrscheinlich die wirksamste Methode darstellt, um fast alle Zugriffsangriffe wie Brute Force, Credential Stuffing und Phishing zu verhindern. “, sagte Pompon.

„Trotzdem ist noch viel zu tun. Auf der präventiven Seite umfasst dies das Härten von APIs und die Implementierung eines Vulnerability-Management-Programms, das externes Scannen und regelmäßiges Patchen umfasst. Auf der Seite der Detektive ist es entscheidend, den Datenverkehr kontinuierlich auf Spuren von Brute Force und Credential Stuffing zu überwachen. Wie immer ist es wichtig, Verfahren zur Reaktion auf Vorfälle zu entwickeln und regelmäßig zu praktizieren, die alle Risiken berücksichtigen.“

Wir glauben, dass Ihnen Folgendes gefallen wird:

Bekki Barnes

Mit 5 Jahren Erfahrung im Marketing verfügt Bekki über Kenntnisse sowohl im B2B- als auch im B2C-Marketing. Bekki hat mit einer Vielzahl von Marken zusammengearbeitet, darunter lokale und nationale Organisationen.

Neue Umfragen zur Beliebtheit von Programmiersprachen unterstreichen die Vorteile modernisierter...

Graham Morphew • 04. Mai 2023

Die Modernisierung von VxWorks bekräftigt unser Engagement, das zu liefern, was unsere Kunden am meisten wollen: die Fähigkeit, Innovationen zu beschleunigen, ohne Sicherheit, Zuverlässigkeit und Zertifizierbarkeit zu opfern. Wie auch immer Sie die digitale Transformation definieren, wo immer Sie sich auf Ihrem Weg zu modernen DevOps befinden, Geschwindigkeit ist von entscheidender Bedeutung.

Schalten Sie die Kraft von WiFi 6 frei: So nutzen Sie es ...

TBT-Newsroom • 01. März 2023

Sind Sie es leid, in der technologischen Welt zurückgelassen zu werden? Nun, keine Angst! WiFi 6 ist hier, um den Tag zu retten und Ihr Unternehmen in die Zukunft zu führen. Mit beispiellosen Geschwindigkeiten und einer Vielzahl neuer Funktionen ist WiFi 6 die unverzichtbare Technologie für jedes Unternehmen, das der Zeit voraus sein möchte.