Finanzdienstleister sind – als Nummer zwei der Angriffsziele nach der High-Tech-Branche – besonders häufig Opfer von Phishing-Domains, die ihre Website imitieren, warnt Akamai in seinem SOTI-Sicherheitsbericht (State of the Internet) für 2019 mit dem Titel „Financial Services Attack Economy“. Neben raffinierten Phishing-Versuchen nutzen Kriminelle laut dem Report auch Credential Stuffing, also das automatisierte Durchprobieren von Nutzername/Passwort-Kombinationen, die der Angreifer auf dem Schwarzmarkt erworben hat: In 18 Monaten kam es nach Erkenntnissen Akamais zu 3,5 Milliarden bösartigen Anmeldeversuchen.

Laut dem Bericht hat Akamai zwischen dem 2. Dezember 2018 und dem 4. Mai 2019 fast 200.000 neue Phishing-Websites entdeckt. Davon richteten sich fast ein Viertel – über 45.000 – gegen Unternehmen in der Finanzbranche (siehe Bild oben). Ziel sind hier die Verbraucher – anders als in der High-Tech-Branche, wo sich ein Großteil der Phishing-Versuche gegen die Unternehmen selbst richtet.

„Im vergangenen Jahr haben wir einen stetigen Anstieg der Credential-Stuffing-Angriffen beobachtet, der zum Teil aus der Zunahme von Phishing-Angriffen gegen Verbraucher resultiert“, so Martin McKeay, Sicherheitsforscher bei Akamai und Redaktionsleiter des SOTI-Berichts. „Kriminelle ergänzen vorhandene gestohlene Anmeldedaten durch Phishing. Sie machen diese Daten zu Geld, indem sie Konten kompromittieren oder die von ihnen erstellten Listen weiterverkaufen.“

Bedenklich: „Wir beobachten, dass sich eine ganze Branche entwickelt, die Finanzdienstleister und ihre Kunden zum Ziel hat“, so McKeay. Um gestohlene Daten und Geldmittel weiterzuverarbeiten, nutzen Kriminelle laut dem Report unter anderem „Bank Drops“, also Datenpakete, die zur betrügerischen Eröffnung von Konten bei einem Finanzinstitut zum Einsatz kommen. Bank Drops umfassen in der Regel gestohlene Identitäten, von Kriminellen häufig als „Fullz“ bezeichnet. Gemeint ist damit ein vollständiger (englisch „full“) personenbezogener Datensatz, einschließlich Name, Adresse, Geburtsdatum, Sozialversicherungsnummer, Führerscheininformationen (die in den USA als Ersatz für den dort nicht vorhandenen Personalausweis dienen) und Angaben zur Kreditwürdigkeit. Der sichere Zugriff auf die Konten erfolge dabei über Remote-Desktop-Server, die dem geografischen Standort der Bank und des Angriffsopfers entsprechen.

Finanzinstitute untersuchen laufend, wie es Kriminellen gelingen kann, diese Konten zu eröffnen, und arbeiten daran, einen Schritt voraus zu sein, so Akamai. Zugleich aber stellt der Report fest, dass Kriminelle nach wie vor altbekannte Angriffsmethoden weiterverwenden. 94 Prozent der beobachteten Angriffe auf den Finanzsektor nutzten eine von vier Methoden: SQL Injection (SQLi), Local File Inclusion (LFI), Cross-Site Scripting (XSS) und OGNL Java Injection. Letztere haben im Berichtszeitraum mehr als acht Millionen Versuche ausgemacht. Die Angreiferseite, so Akamai, nutze damit OGNL Java Injection, bekannt durch die Sicherheitslücke in Apache Struts, auch noch Jahre nach der Veröffentlichung von Patches.

Laut dem Bericht haben Kriminelle begonnen, DDoS-Angriffe auf Geldinstitute als Ablenkung zu starten, um Credential-Stuffing-Angriffe durchzuführen oder eine Web-basierte Sicherheitslücke auszunutzen. Im Laufe von 18 Monaten entdeckte Akamai allein gegen die Finanzbranche mehr als 800 DDoS-Attacken.

„Angreifer zielen auf die verwundbaren Punkte von Finanzdienstleistungsunternehmen, auf Verbraucher, Web-Anwendungen und Verfügbarkeit – weil das funktioniert“, so McKeay. „Die Unternehmen werden besser darin, diese Angriffe zu erkennen und abzuwehren, aber punktuelle Abwehrmaßnahmen scheitern schnell.“ Um seine Kunden zu schützen, müsse ein Finanzunternehmen in der Lage sein, einen intelligenten Kriminellen, der verschiedene Tools nutzt, zu erkennen, zu analysieren und sich gegen ihn zu verteidigen.

Das Fazit des Reports: Die kriminelle Wirtschaft floriert, unter anderem dadurch, dass sie sich gegen die Finanzbranche richtet. Finanzinstitute können diese Angriffe laut Akamai zwar immer besser erkennen, die Angreifer seien aber nach wie vor mit alten Tricks erfolgreich.

Akamais „State of the Internet“-Sicherheitsbericht 2019 ist zum Download erhältlich unter www.akamai.com/us/en/multimedia/documents/state-of-the-internet/soti-security-financial-services-attack-economy-report-2019.pdf.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.