Der Feind vor den Toren: Eine Analyse von Angriffen auf die Finanzdienstleistungsbranche

Der Finanzdienstleistungssektor gehört zu den Branchen, die schon immer am stärksten von Cyberkriminalität betroffen waren – von der Ära von Zeus und anderen Banking-Trojanern bis hin zu DDoS-Angriffen (Distributed Denial of Service),modernen Phishing-Angriffen und Ransomware. Finanzdienstleistungen sind eine kritische Branche, die nicht nur im Alltag der Menschen, sondern auch in der Weltwirtschaft eine zentrale Rolle spielen. 

Jede Unterbrechung oder Ausfallzeit hat bei Finanzdienstleistungen schwerwiegende Auswirkungen, und die sensiblen Daten, mit denen die Unternehmen arbeiten, können zu einer wertvollen Ware werden. Für Angreifer sind Finanzdienstleistungen daher ein lukratives Ziel, das sie auf verschiedenste Weise angreifen, von neu entdeckten Zero-Day- Schwachstellen bis hin zu bewährten Phishing-Angriffen. 

Enorme Zunahme von Cyberangriffen

Es ist also kein Geheimnis, dass Cyberangreifer die Finanzdienstleistungsbranche extrem fokussiert und motiviert ins Visier nehmen. In der Vergangenheit hat sich der SOTI-Bericht (State of the Internet) zum Thema Finanzdienstleistungen oft auf eine Vorgehensweise wie Phishing oder Betrug konzentriert, aber dieses Mal wollten wir einen breiteren Ansatz wählen und gleich eine ganze Reihe von Problemen behandeln, die diese häufig angegriffene Branche besonders betreffen.

Dank dieser erweiterten Perspektive trat die enorme Zunahme von Cyberangriffen auf die Finanzdienstleistungsbranche deutlich zutage – genau wie die alarmierende Geschwindigkeit, mit der Angreifer neu entdeckte Zero-Day-Schwachstellen ausnutzen. 

Auch Finanzdienstleistungskunden bleiben nicht verschont, denn ein großer Teil der Angreifer spart sich direkte Angriffe auf eine der sichersten Branchen der Weltund setzt stattdessen darauf, massenhaft ihre Kunden angreifen. 

Die zentralen Punkte des SOTI-Berichts 

Da dieser Feind unmittelbar vor den Toren steht, müssen die Sicherheitsexperten von Finanzdienstleistern verstehen, wie sich die Bedrohungslandschaft verändert. Unser Bericht enthält die folgenden zentralen Punkte: 

• Die Finanzdienstleister gehören bei Angriffen auf Webanwendungen und APIs sowie bei Zero-Day- und DDoS-Angriffen immer wieder zu den drei am häufigsten attackierten Branchen. 

• Angriffe auf Webanwendungen und APIs von Finanzdienstleistern sind im Jahresvergleich um das 3,5-Fache gestiegen – der größte Anstieg unter den wichtigen Branchen.

• Innerhalb von 24 Stunden verzeichnen neu entdeckte Zero-Day-Sicherheitslücken bei Finanzdienstleistungen mehrere Tausend Angriffe pro Stunde und erreichen schnell Spitzenwerte – so bleibt nur wenig Zeit für Patches und Reaktionen.

• Ein deutlicher Anstieg von Angriffen auf Local File Inclusion (LFI) und Cross-Site Scripting (XSS) zeigt, dass sich Angreifer zunehmend auf die Ausführung von Remotecode konzentrieren, wodurch die interne Netzwerksicherheit stärker belastet wird.

• Die Angriffe auf Kunden von Finanzdienstleistern nehmen rasant zu: Über 80 % der Angriffe gelten inzwischen nicht mehr dem Unternehmen selbst sondern den Kunden, seien es direkte Attacken oder Phishing-Versuche.

• Phishing-Kampagnen (wie Kr3pto) führen Techniken ein, mit denen 2FA-Lösungen mithilfe von Einmalpasswort-Token oder Push-Benachrichtigungen umgangen werden.

Die wachsende Bedrohungslandschaft verstehen

Angriffe auf Webanwendungen und APIs haben in den letzten 12 Monaten um 257 % zugenommen. Der Anstieg dieser Angriffe lässt sich auf mehrere Angriffsvektoren zurückführen, einschließlich LFI und XSS. Das ist entscheidend, denn Angreifer können solche Angriffsvektoren nutzen, um in Ihrem Netzwerk Fuß zu fassen oder es effektiver auszuspähen. 

Dadurch wird auch der effektive Schutz von Webanwendungen umso wichtiger, denn die darin enthaltenen Schwachstellen können als Einstiegspunkt für Angriffe auf Zielunternehmen dienen. Auch für Teams, die ihre Netzwerke effizienteren Penetrationstests unterziehen möchten, ist diese Information von großer Bedeutung.

Zero-Day-Sicherheitslücken schließen

Wie unsere Forschungen zeigen, wird der Finanzdienstleistungssektor zuerst und am heftigsten attackiert, sobald Schwachstellen oder neue Sicherheitslücken (Zero-Days) entdeckt werden. Oft dauert es nach der Aufdeckung neuer Schwachstellen und Sicherheitslücken nicht mehr als 24 Stunden, bis Exploits angewendet werden und ein Peak erreicht ist, wie im Fall der Confluence-Schwachstelle(CVE-2022-26134)zu beobachten war. Diese Sicherheitslücken zu beheben, bevor Angreifer sie ausnutzen können, entwickelt sich daher immer mehr zu einem Wettlauf gegen die Zeit. 

Unsere Untersuchungen haben auch ergeben, dass DDoS-Angriffe weiterhin ein großes Problem für Finanzdienstleister sind (die Branche ist weltweit am zweithäufigsten von DDoS-Angriffen betroffen). Ein effektiver DDoS-Angriff führt dazu, dass ein Unternehmen vom Internet abgeschnitten ist. Kunden können nicht mehr auf ihre Konten zugreifen, und Ausfallzeiten, Geschäftsunterbrechungen und die Wiederherstellung nach solchen Angriffen können schwerwiegende finanzielle Verluste für das Unternehmen bedeuten. 

Zwar ist die Gesamtzahl der DDoS-Angriffe auf die Finanzdienstleistungsbranche in diesem Jahr stabil geblieben, wir konnten jedoch einen „regionalen Wandel“ beobachten, da das Volumen der gegen die USA gerichteten DDoS-Angriffe abgenommen hat. Dafür ist die Zahl der Angriffe auf Ziele in der EMEA-Region gestiegen – trotz der insgesamt niedrigeren Anzahl von Zielen in diesem Raum. 

Finanzdienstleistungskunden im Fadenkreuz 

Eine Untersuchung der Angreifer ergab, dass mehr als 80 % von ihnen mit ihren Attacken direkt oder indirekt auf die Kunden von Finanzdienstleistern abzielen und nicht auf die Unternehmen selbst. Dabei spielen vor allem Angriffe mit Kontoübernahme (Account Takeover, ATO) und Web-Scraping-Angriffe eine wichtige Rolle. 

Angriffe durch Kontoübernahmen sind direkt gegen die Kunden gerichtet, während Website-Scraping-Angriffe hauptsächlich für Phishing-Betrug verwendet werden oder um Kits zu erstellen, die echten Websites täuschend ähnlich sehen. Hinzu kommt, dass wir auch eine Zunahme von Botnet-Aktivitäten um 81 % feststellen konnten, die direkt mit ATO- und Web-Scraping-Angriffen zusammenhängt. 

Unternehmen müssen verstehen, wie die Finanzdienstleistungsbranche und ihre Kunden angegriffen werden und mit welchen Angriffstypen sie konfrontiert sind. Nur so können die Unternehmen ihre Daten, ihr Netzwerk und ihre Kunden angemessen schützen. Wir empfehlen Ihnen, diese Informationen zur Überprüfung von kritischen Bereichen zu verwenden, um Risiken für Ihr Unternehmen neu zu bewerten, oder Ihre für Bedrohungsinformationen und -maßnahmen zuständigen IT-Teams darüber in Kenntnis zu setzen.