Finanzdienstleister werden besonders häufig Opfer von Phishing-Domains, die ihre Website imitieren. Das zeigen neu veröffentlichte Daten des Akamai „State of the Internet 2019“-Sicherheitsberichts „Angriffe auf Finanzdienstleister“. Neben raffinierten Phishing-Versuchen nutzen Kriminelle auch Credential Stuffing. In 18 Monaten kam es zu insgesamt 3,5 Milliarden Anmeldeversuchen.
Laut dem Bericht hat Akamai zwischen dem 2. Dezember 2018 und dem 4. Mai 2019 fast 200.000 Phishing-Domains entdeckt. Davon zielten 66 Prozent direkt auf Verbraucher. Betrachtet man nur diese Phishing-Domains, richteten sich 50 Prozent gegen Unternehmen in der Finanzdienstleistungsbranche.
„Im vergangenen Jahr haben wir einen stetigen Anstieg der Credential-Stuffing-Angriffen beobachtet, der zum Teil aus der Zunahme von Phishing-Angriffen gegen Verbraucher resultiert“, sagt Martin McKeay, Security Researcher bei Akamai und Editorial Director des „State of the Internet“- Sicherheitsberichts.
„Kriminelle ergänzen vorhandene gestohlene Anmeldedaten durch Phishing. Sie machen diese Daten zu Geld, indem sie Konten kompromittieren oder die von ihnen erstellten Listen weiterverkaufen. Wir beobachten, dass sich eine ganze Branche entwickelt, die Finanzdienstleister und ihre Kunden zum Ziel hat.“
Um gestohlene Daten und Geldmittel weiterzuverarbeiten, nutzen Kriminelle unter anderem „Bank Drops“. Dabei handelt es sich um Datenpakete, die zur betrügerischen Eröffnung von Konten bei einem Finanzinstitut verwendet werden können. Bank Drops umfassen in der Regel die gestohlene Identität einer Person, die von Kriminellen im Internet häufig als „Fullz“ bezeichnet wird, einschließlich Name, Adresse, Geburtsdatum, Sozialversicherungsdaten, Führerscheininformationen und Kreditwürdigkeit. Der sichere Zugriff auf die Konten erfolgt über Remote-Desktop-Server, die dem geografischen Standort der Bank und des „Fullz“ entsprechen.
Finanzinstitute untersuchen permanent, wie es Kriminellen gelingen kann, diese Konten zu eröffnen, und arbeiten unermüdlich daran, immer einen Schritt voraus zu sein. Den meisten Unternehmen ist jedoch nicht bewusst, dass Kriminelle bewährte Angriffsmethoden wiederverwenden. Die Ergebnisse von Akamai zeigen, dass 94 Prozent der beobachteten Angriffe auf den Finanzdienstleistungssektor eine von vier Methoden verwendet haben:
- SQL Injection (SQLi)
- Local File Inclusion (LFI)
- Cross-Site Scripting (XSS) und
- OGNL Java Injection
Letztere haben mehr als 8 Millionen Versuche im Berichtszeitraum ausgemacht. OGNL Java Injection, bekannt durch die Sicherheitslücke in Apache Struts, wird von Angreifern auch noch Jahre nach der Veröffentlichung von Patches verwendet.
In der Finanzdienstleistungsbranche haben Kriminelle auch begonnen, DDoS-Angriffe als Ablenkung zu starten, um Credential-Stuffing-Angriffe durchzuführen oder eine webbasierte Sicherheitslücke auszunutzen. Im Laufe von 18 Monaten hat Akamai allein gegen die Finanzdienstleistungs-Branche mehr als 800 DDoS-Attacken aufgedeckt.
So lässt sich folgendes Resümee ziehen:
Die kriminelle Wirtschaft floriert, und das teils auch, weil sie sich gegen die Finanzdienstleistungsbranche richtet. Zum Beispiel der Versuch, sensible Daten von Banken zu stehlen und diese Daten für gefälschte Konten und Kredite zu nutzen – ein kontinuierlicher Kreislauf von Straftaten, in dem Kriminelle ausgerechnet die Branche angreifen, die sie gleichzeitig brauchen, um zu überleben. Finanzinstitute können diese Angriffe zwar immer besser erkennen, aber die Angreifer sind weiterhin mit alten Tricks erfolgreich. Ein Problem, das es zu beheben gilt.