Akamai hat den State of the Internet Sicherheitsbericht 2020 "Finanzdienstleistungen - Versuche einer feindlichen Übernahme" veröffentlicht. Der Bericht zeigt auf, dass sich die Angriffsstrategie von Cyberkriminellen im Zeitraum von Mai 2019 bis einschließlich Dezember 2019 deutlich geändert hat: Um Sicherheitskontrollen zu umgehen, zielen sie neuerdings verstärkt auf APIs ab.
Den Ergebnissen zufolge verzeichnete Akamai zwischen Dezember 2017 und November 2019 insgesamt 85,4 Milliarden Fälle von Anmeldedaten-Missbrauch. Fast 20 Prozent (16,5 Mrd. Fälle) davon betrafen Hostnamen, die eindeutig als API-Endpunkte identifiziert wurden. Von diesen zielten 473,5 Millionen Angriffe auf Unternehmen in der Finanzdienstleistungsbranche.
Aber nicht alle Angriffe waren auf APIs ausgerichtet. Am 7. August 2019 verzeichnete Akamai den größten Credential-Stuffing-Angriff seiner Geschichte gegen einen Finanzdienstleister. Dieser umfasste über 55 Millionen schädliche Anmeldeversuche. Während bei diesem Angriff neben APIs auch andere Ziele im Fokus standen, griffen Kriminelle bei einem weiteren Vorfall am 25. August APIs direkt an. Dabei wurden über 19 Millionen Versuche von Anmeldedatenmissbrauch verzeichnet.
„Cyberkriminelle gehen zunehmend kreativer und extrem zielgerichtet vor, um sich Zugriff auf die Ressourcen zu verschaffen, die sie für ihre Machenschaften benötigen“, sagt Steve Ragan, Security Researcher bei Akamai und Autor des „State of the Internet“-Sicherheitsberichts. „Hacker, die auf die Finanzdienstleistungsbranche abzielen, machen sich umfassend mit den Verteidigungsmaßnahmen dieser Unternehmen vertraut und passen ihre Angriffsmuster an.“
Der Bericht zeigt, dass Kriminelle auf dynamische Angriffsstrategien setzen: Sie nutzen verschiedene Methoden, um Daten abzugreifen, Unternehmens-Server möglichst umfassend einzunehmen und so erfolgreiche Angriffe auszuführen.
Innerhalb der 24 Monate, die der Bericht abdeckt, gingen mehr als 72 Prozent der Angriffe über alle Branchen hinweg auf SQL-Injection (SQLi) zurück. Betrachtet man allerdings nur die Cyberattacken auf Finanzdienstleister halbiert sich die Rate auf 36 Prozent. Der häufigste Angriffstyp im Finanzdienstleistungssektor war Local File Inclusion (LFI) mit 47 Prozent des beobachteten Traffics.
Bei LFI-Angriffen nutzen Hacker verschiedene Skripte aus, die auf Servern ausgeführt werden. Folglich lassen sich diese Angriffsarten für die Offenlegung von vertraulichen Informationen verwenden. LFI-Angriffe können auch für die clientseitige Befehlsausführung wie etwa eine anfällige JavaScript-Datei genutzt werden, was den Weg für Cross-Site-Scripting- (XSS) und Denial-of-Service-Angriffe (DoS) ebnet. Mit 50,7 Millionen erfassten Attacken beziehungsweise 7,7 Prozent des beobachteten Traffics war XSS die dritthäufigste Art von Angriffen auf Finanzdienstleister.
Aus dem Bericht geht außerdem hervor, dass DDoS-Angriffe (Distributed Denial of Service) für Cyberkriminelle weiterhin das wichtigste Instrument sind, vor allem bei Attacken auf den Finanzdienstleistungssektor. Die Beobachtungen von Akamai von November 2017 bis Oktober 2019 zeigen zudem, dass die Finanzdienstleistungsbranche auf Platz drei der Top-Ziele im Hinblick auf das Angriffsvolumen liegt.
Am häufigsten werden derzeit die Gaming- und die Hightech-Branche attackiert. Allerdings konnten mehr als vierzig Prozent der eindeutigen DDoS-Ziele dem Finanzdienstleistungssektor zugeordnet werden, der somit auf Rang eins bei zielgerichteten Angriffen rangiert.