Neben raffinierten Phishing-Versuchen wie imitierten Webseiten nutzen Kriminelle auch Credential Stuffing (dabei werden die einmal erbeuteten Daten auch zum Einloggen auf anderen Webseiten getestet). „Im vergangenen Jahr haben wir einen stetigen Anstieg der Credential-Stuffing-Angriffe beobachtet“, sagt Studiendirektor Martin McKeay. Innerhalb von 18 Monaten kam es zu insgesamt 3,5 Milliarden Anmeldeversuchen. „Kriminelle ergänzen vorhandene gestohlene Anmeldedaten durch Phishing. Sie machen diese Daten zu Geld, indem sie Konten kompromittieren oder die von ihnen erstellten Listen weiterverkaufen. Wir beobachten, dass sich eine ganze Branche entwickelt, die Finanzdienstleister und ihre Kunden zum Ziel hat.“

Um gestohlene Daten und Geldmittel weiterzuverarbeiten, nutzen Kriminelle unter anderem sogenannte „Bank Drops“: Datenpakete, die zur betrügerischen Eröffnung von Konten bei einem Finanzinstitut verwendet werden können. Bank Drops umfassen in der Regel die gestohlene Identität einer Person, mit Name, Adresse, Geburtsdatum, Sozialversicherungsdaten, Führerscheininformationen und Kreditwürdigkeit. Internet-Kriminelle reden dabei von „Fullz“. Der sichere Zugriff auf die Konten erfolgt über Remote-Desktop-Server, die dem geografischen Standort der Bank und des „Fullz“ entsprechen.

Die Banken ihrerseits untersuchen permanent, wie es Kriminellen gelingen kann, diese Konten zu eröffnen, und arbeiten unermüdlich daran, ihnen immer einen Schritt voraus zu sein. Dennoch verwenden Cyber-Gangster ihre bewährten Angriffsmethoden gerne weiter. Die Untersuchung belegt, dass 94 Prozent der beobachteten Angriffe auf den Finanzdienstleistungssektor eine von vier Methoden verwendet haben: SQL Injection (SQLi), Local File Inclusion (LFI), Cross-Site Scripting (XSS) und OGNL Java Injection, wobei Letztere mehr als 8 Millionen Versuche im Berichtszeitraum ausgemacht hätten. OGNL Java Injection, bekannt durch die Sicherheitslücke in Apache Struts, wird von Angreifern auch noch Jahre nach der Veröffentlichung von Patches verwendet.

In der Finanzdienstleistungsbranche hätten Kriminelle auch damit begonnen, DDoS-Angriffe als Ablenkung zu starten, um Credential-Stuffing-Angriffe durchzuführen oder eine webbasierte Sicherheitslücke auszunutzen, berichtet das Sicherheitsunternehmen. Im Berichtszeitraum seien allein gegen die Finanzdienstleistungsbranche mehr als 800 DDoS-Attacken gezählt worden. „Angreifer zielen auf die verwundbaren Punkte von Finanzdienstleistungsunternehmen, auf Verbraucher, Webanwendungen und Verfügbarkeit – weil das funktioniert“, so McKeay. Die Unternehmen würden zwar besser darin, diese Angriffe abzuwehren, aber rein punktuelle Abwehrmaßnahmen seien zum Scheitern verurteilt. Vielmehr müssten Unternehmen in der Lage sein, einen „intelligenten Kriminellen, der verschiedene Tools nutzt, zu erkennen, zu analysieren und sich gegen ihn zu verteidigen“.

Den vollständigen „State of the Internet“-Sicherheitsbericht 2019 finden Sie auf der Webseite Akamai.com.

Bildquelle: iStock.com/alexskopje