Sicherheitsforschung: Finanzdienstleister weiterhin beliebtes Ziel von Credential-Stuffing- und Webanwendungsangriffen

Forscher von Akamai und WMC haben mehrere Phishing-Kits untersucht, darunter „Kr3pto“

Akamai Technologies, Inc.  hat heute den „State of the Internet“-Sicherheitsbericht zum Thema Phishing im Finanzwesen veröffentlicht. Dieser enthält Traffic-Analysen von Webanwendungs- und Credential-Stuffing-Angriffen, die sowohl branchenübergreifende Zahlen als auch einen gezielten Blick auf die Finanzdienstleistungsbranche bieten. Dabei zeigt sich ein deutlicher Anstieg von Angriffen zwischen 2019 und 2020.

Für diesen Bericht haben sich die Forscher von Akamai zudem mit WMC Global zusammengetan, um zwei spezielle Phishing-Kits zu untersuchen: Kr3pto und Ex-Robotos. Kr3pto fielen Kunden von elf britischen Bankmarken zum Opfer und Ex-Robotos kam bei gezielten Angriffen auf Unternehmensmitarbeiter zum Einsatz.

In Zahlen

Im Jahr 2020 verzeichnete Akamai weltweit 193 Milliarden Credential-Stuffing-Angriffe, von denen 3,4 Milliarden auf Finanzdienstleister abzielten. Dies entspricht einem Anstieg in diesem Sektor von mehr als 45 Prozent im Vergleich zum Vorjahr.

Darüber hinaus beobachtete Akamai im Jahr 2020 fast 6,3 Milliarden Webanwendungsangriffe, von denen mehr als 736 Millionen auf Finanzdienstleister abzielten. Dies entspricht einem Anstieg von 62 Prozent gegenüber dem Jahr 2019.

SQLi-Angriffe (SQL Injection) blieben weltweit in allen Geschäftsbereichen an der Spitze und machten im Jahr 2020 68 Prozent aller Webanwendungsangriffe aus, wobei LFI-Angriffe (Local File Inclusion) mit 22 Prozent an zweiter Stelle kamen. Jedoch waren LFI-Angriffe 2020 in der Finanzdienstleistungsbranche mit 52 Prozent die Nummer eins bei Webanwendungsangriffen. SQLi und Cross-Site Scripting lagen jeweils bei 33 bzw. neun Prozent.

In den vergangenen drei Jahren (2018–2020) hat Akamai eine Zunahme von DDoS-Angriffen auf den Finanzdienstleistungssektor um 93 Prozent festgestellt. Dies deutet darauf hin, dass Kriminelle bei ihren Angriffen auf geschäftskritische Services und Anwendungen weiterhin auf systemische Störungen setzen.

Zusammenarbeit im Bereich Threat Intelligence

Für diesen Bericht hat Akamai mit dem Threat Intelligence-Unternehmen WMC Global zusammengearbeitet. Die Forscher bei WMC Global sind Experten für SMS-Phishing („Smishing“) und Toolkits, die von Kriminellen für Angriffe entwickelt werden. Im Rahmen dieser Zusammenarbeit wurden zwei spezielle Phishing-Kits untersucht: Kr3pto und Ex-Robotos.

„Die anhaltende, starke Zunahme von Credential Stuffing steht in direktem Zusammenhang mit dem Phishing in der Finanzdienstleistungsbranche“, so Steve Ragan, Sicherheitsforscher bei Akamai und Autor des „State of the Internet“-Sicherheitsberichts. „Kriminelle verwenden eine Vielzahl von Methoden, um ihren Bestand an Anmeldedaten zu erweitern, und Phishing ist eines der wichtigsten Tools in ihrem Arsenal. Durch gezielte Angriffe auf Bankkunden und Mitarbeiter in dieser Branche erhöhen Kriminelle den Pool ihrer potenziellen Opfer exponentiell.“

Das Phishing-Kit Kr3pto, mit dem Finanzinstitute und ihre Kunden per SMS angegriffen wurden, hat seit Mai 2020 nachweislich tausende Domains im Bankenwesen gespooft. WMC Global hat im ersten Quartal 2021 über einen Zeitraum von 31 Tagen mehr als 4.000 Kr3pto-Kampagnen verfolgt, bei denen die Opfer per SMS angegriffen wurden.

Ex-Robotos ist ein Phishing-Kit, das hauptsächlich auf Unternehmenskonten abzielt, während Kr3pto dafür bekannt ist, Verbraucher ins Visier zu nehmen. Ex-Robotos stammt von einem Bedrohungsakteur, der in den letzten Monaten eine Reihe von Phishing-Kits für Unternehmen entwickelt und veröffentlicht hat und in Sachen Phishing von Unternehmensdaten neue Maßstäbe setzt. Nach Daten der Akamai Intelligent Edge Platform gab es über einen Zeitraum von 43 Tagen mehr als 220.000 Zugriffe auf die API-IP-Adresse von Ex-Robotos. Tatsächlich erreichte der Traffic zu dieser Adresse zwischen dem 31. Januar und dem 5. Februar 2021 einen Höchstwert von Zehntausenden Zugriffen pro Tag.

„Kr3pto und Ex-Robotos sind nur zwei von vielen Kits, mit denen Unternehmen und Verbraucher aktuell angegriffen werden“, so Jake Sloane, Senior Threat Hunter bei WMC Global. „Wir müssen bedenken, dass Mitarbeiter auch Verbraucher sind. Im Zuge der Verbreitung von Homeoffice und der Nutzung von Mobilgeräten in Unternehmensumgebungen sind Kriminelle immer aktiver geworden. So lässt sich auch die jüngste Zunahme von SMS-basierten Phishing-Angriffen erklären.“

„Durch die Zusammenarbeit mit WMC Global konnten wir unsere Berichterstattung zur Finanzbranche ausbauen und noch mehr Details zu den Angriffen ausarbeiten, denen Finanzunternehmen täglich ausgesetzt sind“, so Ragan.

Bei ihren Beobachtungen stellen die Sicherheitsforscher von Akamai fest, dass Phishing-Kits wie Ex-Robotos und Kr3pto nur die Spitze des Eisbergs sind. Das Modell Phishing als Ganzes wächst von Jahr zu Jahr exponentiell, da Entwickler dieselben Web-Technologien und Techniken nutzen, die es Unternehmen ermöglichen, agil und den Angreifern voraus zu sein.

Kriminelle haben es dabei vor allem auf Unternehmen abgesehen, die keine Maßnahmen für den Authentifizierungsschutz wie MFA und 2FA nutzen. Mehrschichtige Verteidigungsmaßnahmen und Segmentierung machen Webangriffe für Angreifer kostspielig, was sie dazu veranlasst, sich andere Ziele zu suchen. Finanzdienstleister sollten die neuesten Technologien und Konzepte wie “Zero Trust” nutzen, um sicherzustellen, dass sie den Angreifern im Jahr 2021 einen Schritt voraus sind.

Lesen Sie den Akamai „State of the Internet“-Sicherheitsbericht 2021 zum Thema Phishing im Finanzwesen auf unserer „State of the Internet“-Seite.