Finanzdienstleister sind zunehmend Ziele von Internetkriminalität

Finanzinstitute sehen sich einer zunehmenden Zahl von Cyber-Angriffen ausgesetzt. Dabei spielt Phishing eine wichtige Rolle: Neuartige Kits machen es sogar Laien möglich, die Unternehmen ins Visier zu nehmen. Das zeigt eine aktuelle Studie.

Der Trend zur Digitalisierung hat unseren Alltag und die Unternehmenswelt nachhaltig verändert. Banken und Sparkassen werden später als andere Branchen erfasst, aber nicht weniger heftig. Im Bank Blog finden Sie aktuelle Studien zu diesem wichtigen Thema.

Partner des Bank Blogs

Hacker werden immer einfallsreicher, wenn es um Cyber-Kriminalität geht. Dabei zählt Phishing zu den besonders häufig eingesetzten Methoden und ist trotz aller Warnungen und Appelle immer noch hochwirksam, wie eine aktuelle Untersuchung von Akamai Technologies und WMC Global zeigt.

Beim sogenannten Credential Stuffing verwenden Cyber-Kriminelle erbeutete Anmeldeinformationen aus einem Dienst und versuchen, sich Zugang zu Konten anderer Dienste zu verschaffen. Die Studie verzeichnet während des Jahres 2020 rund 193 Milliarden solcher Angriffe. Davon zielten 3,4 Milliarden auf Finanzdienstleister. Dies entspricht einem Anstieg von mehr als 45 Prozent im Vergleich zum Vorjahr.

Darüber hinaus beobachtete man fast 6,3 Milliarden Webanwendungsangriffe. Von ihnen hatten mehr als 736 Millionen Finanzdienstleister zum Ziel. Dies entspricht einem Anstieg von 62 Prozent gegenüber dem Jahr 2019.

Zudem habe man in den vergangenen drei Jahren (2018–2020) festgestellt, dass es 93 Prozent mehr DDoS-Angriffen auf den Finanzdienstleistungssektor gab: Dies deute darauf hin, dass Kriminelle bei ihren Angriffen auf geschäftskritische Services und Anwendungen auf systemische Störungen setzen.

Neuartige Phishing-Kits sind beliebt

In der Untersuchung konzentrierten sich die Studienautoren auf Phishing-Kits. Speziell zwei Anwendungen lagen im Blick: Kr3pto und Ex-Robotos. Mit derlei Tools könne jeder, der über ein wenig technisches Know-how verfüge, einen Angriff starten.

Das Phishing-Kit Kr3pto, mit dem Finanzinstitute und ihre Kunden per SMS angegriffen wurden, hat seit Mai 2020 nachweislich tausende Domains im Bankenwesen vorgetäuscht. Im ersten Quartal 2021, über einen Zeitraum von 31 Tagen, haben die Studienautoren mehr als 4.000 Kr3pto-Kampagnen verfolgt.

Das Phishing-Mastermind

Ex-Robotos ist dagegen ein Phishing-Kit, das hauptsächlich auf Unternehmenskonten abzielt. Das Tool stamme von einem Entwickler, der in den vergangenen Monaten eine Reihe von Phishing-Kits für Angriffe auf Unternehmen veröffentlicht habe. Er setze im Phishing von Unternehmensdaten neue Maßstäbe, heißt es in der Untersuchung. Der Studie nach gab es über einen Zeitraum von 43 Tagen mehr als 220.000 Zugriffe auf die API-IP-Adresse von Ex-Robotos. Der Höchstwert lag bei mehreren zehntausend Zugriffen pro Tag.

Die Spitze des Eisbergs

Doch Phishing-Kits wie Ex-Robotos und Kr3pto seien nur die Spitze des Eisbergs, behaupten die Studienautoren: Das Modell Phishing wachse von Jahr zu Jahr. Entwickler nutzen demnach die gleichen Technologien und Techniken wie sie auch für digitale Schutzwälle der Unternehmen eingesetzt würden.

Kriminelle haben es dabei vor allem auf Unternehmen abgesehen, die keine Maßnahmen für den Authentifizierungsschutz wie MFA und 2FA nutzen. Denn mehrschichtige Verteidigungsmaßnahmen machen Webangriffe für Angreifer kostspielig. Finanzdienstleister sollten daher immer auf dem neusten Stand bleiben.

Infografik: Phishing zählt zu den häufigsten Methoden bei Cyber Crime.

Die folgende Infografik enthält wichtige Ergebnisse der Studie rund um das Thema Phishing:

Phishing zählt zu den häufigsten Methoden bei Cyber Crime.

Premium Abonnenten des Bank Blogs haben direkten kostenfreien Zugriff auf die Bezugsinformationen zu Studien und Whitepapern.