Cyberbedrohungen: Kenne Deinen Angreifer – Banken und Versicherer brauchen Kontextinformationen

Kaum eine andere Branche ist von Cyberangriffen so stark bedroht wie der Finanz­dienst­leistungs­sektor. Die Zahl der Attacken stieg 2015 weiter und umfasste Erpressung, Social Engineering, Malware zum Diebstahl von Zugangsdaten und andere komplexe Bedrohungen. Wenn sich Finanzinstitute besser gegen diese unablässigen und zunehmend böswilligeren Attacken schützen wollen, müssen sie sich laufend darum bemühen, die Angriffe und deren Hintermänner zu verstehen. Die Übersicht der gängigsten Angriffsarten.

von Alastair Paterson, CEO, Digital Shadows

Grundvoraussetzung für die Sicherheit ist die sogenannte Threat Intelligence. Dabei werden alle Informationen, die auf Schwachstellen, geplante Angriffe, Datenleaks, Viren oder andere unerwünschte Aktivitäten hindeuten, gesammelt und analysiert. Neben einer genauen Überprüfung der eigenen IT-Infrastruktur sollten aber auch Sites im sozialen Netz, cloudbasierte File-Sharing-Sites, Foren und Blogs sowie Brennpunkte in einer multilingualen, globalen Umgebung beobachtet werden – im sichtbaren Web ebenso wie im Dark und Deep Web. Eine solche Analyse gibt Aufschluss darüber, wer die Angreifer sind, welche Ziele sie mit welchen Methoden verfolgen. Damit gewinnen Banken und Versicherungen Kontextinformationen, um vorbeugende Maßnahmen zu ergreifen, Richtlinien aufzustellen und Bedrohungen besser einschätzen zu können.

Ein minutengenaues Lagebild der Risiken ist entscheidend. Denn nur wenn Unternehmen über relevante und kontextbezogene Erkenntnisse verfügen, können sich Sicherheitsteams ein besseres Bild vom Status ihrer aktuellen Netzwerksicherheit machen und Sicherheitsstrategien entsprechend anpassen. Um eine Übersicht neuer Bedrohungen zu erstellen, werden Branchendaten miteinander korreliert und Veränderungen Monat für Monat analysiert. Finanzdienstleister sollten dabei folgende Taktiken, Techniken und Prozeduren (TTPs) der Angreifer kennen:

1. Erpressung. Im Jahr 2015 gingen die Erpressungen im Zusammenhang mit Distributed Denial of Service (DDoS)-Attacken in der Hauptsache von zwei Gruppen aus, DD4BC (DDoS for BitCoins) und dem Armada Collective. Beide Akteure nutzen ähnliche TTPs, um Bitcoins von ihren Opfern zu erpressen: Zunächst erhalten die Betroffenen eine Benachrichtigung, die sie vor einer DDoS-Attacke warnt. Wird diese Warnung ignoriert, erhöhen die Angreifer Schritt für Schritt sowohl ihre Aktivitäten als auch die Lösegeldforderungen. Bis Anfang 2016 bedienten sich immer mehr Angreifer dieser Methode, unter ihnen auch eine Gruppe namens Hacker Buba, die nach erfolglosen Lösegeldforderungen private Finanzdaten von Kunden per Twitter verbreitete.

2. Social Media-Attacken. Es gibt einige nennenswerte Beispiele, bei denen Angreifer soziale Netzwerke missbrauchen und sich hinter gefälschten Profilen verstecken. Ziel ist es, das Vertrauen anderer Nutzer zu gewinnen und so an Informationen zu gelangen, die dann zur Manipulation genutzt werden können (Social Engineering). Sowohl Facebook als auch Twitter begannen gegen Ende 2015 proaktiv und gezielt nach verdächtigen Aktivitäten zu suchen. Im Anschluss informierten sie betroffene Nutzer, deren Profile ins Visier der Betrüger geraten oder bereits kompromittiert worden waren.

3. Spear Phishing und Whaling. Beim Spear Phishing werden Mails verschickt, deren Absender sich als vertrauenswürdige Person oder Unternehmen ausgeben. Das diesen Personen oder Institutionen entgegengebrachte Vertrauen wird dann ausgenutzt, um die Opfer zu erpressen und sie zur Herausgabe von vertraulichen Daten (z. B. Anmeldedaten) zu zwingen. Oft wird das Ziel dabei vorher ausgekundschaftet, um die Nachrichten möglichst authentisch wirken zu lassen. Beim Whaling, das 2015 geradezu eskalierte, erreicht diese Methode die nächste Stufe: Erpresst werden mehrere Opfer gleichzeitig, die Geldforderungen schießen in die Höhe. Dazu werden gefälschte Mails im Namen von Führungskräften – oft von CEOs – verschickt, die z. B. die Finanzabteilung anweisen, größere Beträge auf die Konten der Betrüger zu überweisen. Die Anweisung umfasst dabei in der Regel eine URL, die auf eine scheinbar legitime Webseite für Finanzdienstleistungen führt. In Wirklichkeit werden die Betroffenen jedoch auf eine andere Seite umgeleitet.

4. Point-of-Sale-Malware. Trotz der Einführung des Europay International, MasterCard und Visa-Standards (EMV) bleiben PoS-Systeme ein beliebtes Ziel Krimineller. Erst kürzlich wurden zahlreiche Varianten von PoS-Malware entdeckt, inklusive LusyPOS und BlackPOS. Ebenso gibt es bereits Fälle, in denen illegale Kopien von EMV-Kreditkarten erstellt werden konnten.

5. Malware in Geldautomaten. Im vergangenen Jahr wurden zahlreiche Malware-Bedrohungen entdeckt, die sich speziell gegen Geldautomaten richten. GreenDispenser infiziert Geldautomaten und ermöglicht Kriminellen, große Geldsummen abzuheben, ohne identifiziert zu werden. Aber auch eine umgekehrte Variante dieser Angriffe nimmt deutlich zu: Dabei wird eine Kombination aus infizierten PoS-Terminals und „Money Mules“ genutzt, um die Transaktionen rückgängig zu machen, z. B. das Abheben von Bargeld oder getätigte Überweisungen.

6. Andere nennenswerte Bedrohungen. Stark angestiegen sind Malware-Angriffe, die Zugangsdaten von Bankkunden stehlen. Dridex beispielweise war 2015 hochaktiv und ist in den Fokus der internationalen Strafverfolgung gerückt. Ebenfalls auf dem Vormarsch sind Exploit Kits. Für die Angreifer stellen sie eine einfache und effektive Methode dar, um potentielle Opfer mit Viren zu infizieren. Zu den beliebtesten Werkzeugen krimineller Hacker gehört das Angler Expoit Kit, mit dem neue Sicherheitsschwachstellen
sehr schnell erkannt und ausgenutzt werden können.

7. Komplexe Bedrohungen für Finanzdienstleister. Um in Unternehmensnetzwerke einzudringen und wertvolle Daten zu entwenden, setzen Angreifer auf komplexe TTPs. Zu dem häufigsten dieser TTPs zählen Social Engineering-Strategien wie Spear Phising, Angriffstechniken zum Eindringen in Netzwerke sowie Toolsets und Programme für benutzerdefinierte Malware. Bedrohungen dieser Art gehen von Gruppen wie „Desert Falcon“ oder der „Equation Group“ aus. Sie schlagen an vielen verschiedenen Orten und in unterschiedlichen Branchen zu – so auch im Finanzdienstleistungssektor. Eine Organisation namens Anunak/Carbanak konzentrierte ihre Angriffe speziell auf diesen Bereich. Die besonders raffiniert vorgehende Gruppe verschaffte sich Zugriff auf firmeninterne Netzwerke, in denen sie Schadsoftware installierte. Anschließend übernahm sie die Kontrolle über die Geräte und konnte so Geldautomaten komplett leeren und Geld über das SWIFT-Netzwerk stehlen.

Fazit: Kenne die Absichten der Angreifer

Welche TTPs auch immer von Angreifern genutzt werden, der Finanzdienstleistungssektor ist und bleibt eines der beliebtesten Angriffsziele von Cyberattacken. Dabei können die Angreifer auf eine große Auswahl unterschiedlicher Methoden zurückgreifen. Während Unternehmen und staatliche Behörden gleichermaßen an der Aufklärung und Abwendung von Angriffen arbeiten, finden Cyberkriminelle immer neue Wege, um ihre finanziell motivierten Ziele zu verfolgen.

Effektiver Schutz vor Bedrohungen und Risikominimierung sind deswegen Dauerthemen für die IT-Sicherheit von Unternehmen. Versicherungen und Banken, die wissen, welche Angreifer, welche Institutionen mit welchen Absichten und Mitteln attackieren, können die Lage im Hinblick auf ihre Cybersicherheit realistischer einschätzen und entsprechend verbessern. Zudem lassen sich anhand von Angreiferprofilen fundierte Entscheidungen treffen, wo, wie und wann Sicherheitsressourcen am besten eingesetzt werden können.aj