Banken haben durch diese häufigen Angriffe Millionen verloren

Der Finanzsektor ist eine Goldmine für Cyberkriminelle, und jeder Kunde, jeder Mitarbeiter und jede Geschäftseinheit ist ein potenzielles Ziel. Online-Banking und mobile Apps haben die Möglichkeiten für Bedrohungsakteure aller Erfahrungsstufen erweitert. In diesem Blog werden drei gängige Angriffe beschrieben, mit denen Geld und Informationen eines Finanzinstituts gestohlen werden sollen.

Phishing-Angriffe

Bei jeder Debatte zum Thema Cyberangriffe muss auch das Phishing erwähnt werden. Dabei handelt es sich um einen böswilligen Versuch, sensible Daten zu stehlen, indem eine Person zu einer bestimmten Handlung verleitet wird. Der Angreifer gibt sich als vertrauenswürdige Instanz aus und fordert das potenzielle Opfer auf, Maßnahmen zu ergreifen, beispielsweise ein Passwort zurückzusetzen, Kreditkartendaten zu verifizieren usw. Manche Angriffe richten sich gegen Bankkunden, um sich Zugang zu Bankkonten zu verschaffen. In anderen Fällen werden Bankmitarbeiter ins Visier genommen, um sich Zugang zu den internen Systemen des Unternehmens zu verschaffen. Zum Beispiel:

Gefälschte Banking-Websites: Eine klassische Betrugsmasche, die immer raffinierter wird. Der Angreifer erstellt eine Website, die eine echte Bank-Website imitiert. Die meisten Opfer, die auf diese Website gelangen, haben eine E-Mail mit einer dringenden Warnung vor einer Sicherheitsverletzung, einem Systemupdate, einem abgelaufenen Passwort oder Ähnlichem erhalten. Der Link in der E-Mail führt sie dann zu dieser Phishing-Website, wo sie das Problem, das die Warnung ausgelöst hat, lösen können. Alle auf der Website eingegebenen Daten werden an den Angreifer gesendet.  

Schützen Sie sich vor diesem Betrug, indem Sie die URL einer Website überprüfen, bevor Sie Benutzerzugangsdaten und andere vertrauliche Informationen eingeben. Am besten navigieren Sie direkt zur Website Ihrer Bank, indem Sie die URL in Ihren Browser eingeben, anstatt auf einen Link in einer E-Mail zu klicken.

Mobile-Banking-Trojaner: Wir haben diese Angriffe bereits ausführlich besprochen und sie verdienen hier ebenfalls eine Erwähnung. Diese Angriffe gehören zu den gefährlichsten und am weitesten verbreiteten, und der Schaden, den sie anrichten, geht weit über Ihr Bankkonto hinaus. Schützen Sie sich vor diesen Angriffen, indem Sie verstehen, wie sie funktionieren, und bei der Installation einer App vorsichtig vorgehen.

Business Email Compromise (BEC)-Betrug: BEC-Angriffe sind besonders heimtückisch, weil sie sich auf kompromittierte E-Mail-Konten von echten Personen stützen. Angreifer nutzen das legitime E-Mail-Konto einer Führungskraft, um dringende Überweisungen oder vertrauliche Informationen anzufordern. Durch die Verwendung des echten E-Mail-Kontos der echten Führungskraft kann der Angreifer mit einer gewissen Autorität Anfragen stellen und alle Antworten der Empfänger abfangen.

Dieser Betrug basiert auf dem Fehlen von Geschäftsrichtlinien und Sicherheitsbewusstsein. Stellen Sie sicher, dass das Unternehmen strenge Kontrollen hat, um eine versehentliche Genehmigung gefälschter Rechnungen und Zahlungen sowie Überweisungen zu verhindern.

Ein erfolgreicher Phishing-Angriff markiert oft den Beginn einer weiteren Cyberattacke. Im Jahr 2019 infiltrierte die russische (Sprach-)Bande „Silence“ die Dutch-Bangla Bank mit einer mehrstufigen Phishing-Kampagne, die auf Bankmitarbeiter abzielte. Die Bande sammelte Informationen über die Ziele durch Nachrichten ohne Schadsoftware, die möglicherweise wie Massen-Marketingnachrichten oder Spam aussahen. Diese E-Mail-Nachrichten wurden verwendet, um die Sicherheit des E-Mail-Systems zu testen und zu bestätigen, dass die Ziel-E-Mail-Adressen gültig waren und funktionierten.

Diese Daten halfen der Gruppe bei der Erstellung der Phishing-Kampagne, die den mit Malware verseuchten Anhang lieferte. Mindestens ein Mitarbeiter öffnete diesen Anhang und installierte die Malware versehentlich im Netzwerk der Bank. Silence-Bedrohungsakteure konnten in den folgenden drei Monaten auf Banksysteme zugreifen und rund 3 Millionen US-Dollar stehlen.

Finanzinstitute sollten ihre Mitarbeiter kontinuierlich im Bereich Cybersicherheit schulen, um sie bei der Abwehr von Phishing-Angriffen zu unterstützen. Der E-Mail-Schutz mit KI-gesteuerter Posteingangssicherheit kann Phishing-Versuche erkennen, indem er die Kommunikationsmuster des Unternehmens lernt. Diese Art von System kann Phishing-Nachrichten von externen und internen Absendern abfangen oder kennzeichnen, auch wenn es keinen bösartigen Anhang oder Link gibt.

Finanzinstitute bieten in der Regel spezifische Informationen zur Erkennung und Bewältigung von Cyberbedrohungen an. Am Beispiel von Chase können Sie sehen, wie Sie verdächtige E-Mails erkennen, wie Sie Betrug melden können usw. Wenn Sie einen Phishing-Angriff vermuten oder Opfer eines Angriffs geworden sind, wenden Sie sich sofort an Ihr Finanzinstitut und melden Sie den Vorfall.

Ransomware-Angriffe

Ransomware ist eine dieser Bedrohungen, die Ihrem Unternehmen auf mehreren Ebenen Schaden zufügt. Nicht nur Ihren Daten oder Ihrem Computersystem, sondern auch Ihrer gesamten Marke:

Datenexfiltration: Ransomware sendet Kopien Ihrer Daten vor dem Verschlüsselungsereignis an den Angreifer. Das ermöglicht es dem Angreifer, eine Zahlung als Gegenleistung dafür zu verlangen, dass er die Daten nicht verkauft oder an Dritte weitergibt.

Datenverschlüsselung: Die Ransomware verschlüsselt alle gefundenen Daten, und der Angreifer verlangt ein Lösegeld im Austausch für die Entschlüsselung. Wie es weitergeht, hängt davon ab, wie gut sich das Unternehmen auf diese Art von Kriminalität vorbereitet hat.

Systemausfallzeiten: Wenn geschäftskritische Daten verschlüsselt werden, können Systeme deaktiviert und praktisch unbrauchbar werden. Manchmal stört die Ausfallzeit den Geschäftsbetrieb, manchmal ist sie nur ein Ärgernis im Hintergrund. In jedem Fall haben Ausfallzeiten immer ihren Preis.

Markenschaden: Es gibt immer Kollateralschäden, wenn ein erfolgreicher Ransomware-Angriff Partner, Lieferanten, Mitarbeiter oder Kunden betrifft. Möglicherweise werden ihre sensiblen Daten gestohlen, oder sie fragen sich einfach, ob sie dem Unternehmen je wieder vertrauen können. Manchmal kann dieser Schaden nicht rückgängig gemacht werden.

Jedes dieser Ereignisse verursacht Kosten für ein Unternehmen, entweder in Form von Lösegeldzahlungen, IT-Wiederherstellungskosten oder Geschäftseinbußen aufgrund von Ausfallzeiten und Markenschäden. 

Eine Bank muss nicht direkt von Ransomware betroffen sein, um durch einen Angriff beeinträchtigt zu werden. Mehr als ein Dutzend Finanzinstitute auf der ganzen Welt verloren ihre Online-Devisen-Dienstleistungen, als die Ransomware-Bande REvil am 31. Dezember 2019 bei Travelex zuschlug. Die Bande verlangte 6 Millionen US-Dollar als Gegenleistung für die Vernichtung der sensiblen Daten, die sie vor der Verschlüsselung von Travelex gestohlen hatte. Das Wall Street Journal berichtete später, dass Travelex beim Lösegeld verhandelt und 2,3 Millionen US-Dollar in Bitcoin gezahlt hat.  

Ein umfassendes Patch-Management-System ist eine Grundlage für Cybersicherheit und schützt Ihr Unternehmen vor mehr als nur Ransomware.

Advanced persistent threats (APTs)

APTs sind gezielte Angriffe, bei denen sich Bedrohungsakteure Zugang zu einem Netzwerk verschaffen und über einen langen Zeitraum unentdeckt bleiben. Potenzielle Opfer werden anhand des Angriffszwecks identifiziert und gezielt angegriffen. Dabei kann es sich um Spionage, finanziellen Gewinn oder eine Systemstörung aus ideologischen oder geopolitischen Motiven handeln. Die Fähigkeiten und Ressourcen, die für solche Angriffe erforderlich sind, sind für Kriminelle, die auf schnelle Zahlungen oder Abonnement-Malware setzen, unerreichbar. Dies sind langfristige, arbeitsintensive Angriffe, die in der Regel von nationalstaatlichen Akteuren und organisierten kriminellen Banden durchgeführt werden.

APTs infiltrieren ein System mit allen möglichen Mitteln, einschließlich Phishing-Angriffen, bösartigen Anhängen, Exploits und Schwachstellen sowie Insider-Bedrohungen. Ein erfolgreicher APT-Angriff führt mehrere Aufgaben durch:

Netzwerkerkundung: Die Erkundung und Untersuchung eines Netzwerks ist eine der wichtigsten Aufgaben der APTs, da der Angreifer diese Informationen nutzen kann, um den Angriff auszuweiten. Dies ist einer der Gründe, warum die Netzwerksegmentierung für die Sicherheit so wichtig ist. Die seitliche Bewegung durch das Netzwerk ist in kleinere Abschnitte unterteilt, die durch sichere Grenzen getrennt sind.

Vermeidung der Entdeckung: APTs können sich gut verstecken, weshalb sie eine „persistente“ Bedrohung darstellen. Sie können ihre Spuren verwischen, indem sie Protokolle löschen, Zeitstempel verändern und andere Techniken anwenden, die es ihnen erschweren, gefunden zu werden.

Eskalation von Berechtigungen: APTs versuchen immer, die höchstmögliche Berechtigungsstufe für das Netzwerk zu erhalten. Hierfür können verschiedene Methoden eingesetzt werden, darunter auch Social-Engineering-Taktiken, die auf Informationen aus der Netzwerkerkundung beruhen.

Einrichten von Hintertüren: Bedrohungsakteure schaffen zusätzliche Wege in ein Netzwerk, damit sie nach Belieben auf das System zugreifen können. Diese Hintertüren könnten noch Monate oder Jahre nach dem ursprünglichen Verstoß in einem Netzwerk bestehen bleiben.

Datenexfiltration: APTs entwenden Daten aus dem System eines Opfers, wenn der Bedrohungsakteur dies für sicher hält. Mithilfe der Netzwerkerkundung kann der Angreifer den Standort, den Wert und die beste Extraktionsmethode ermitteln.

Malware-Installation: APTs verwenden häufig zusätzliche Malware, um den Angriff zu unterstützen. Ein Infostealer könnte gerade lange genug eingesetzt werden, um einige Zugangsdaten zu erbeuten, oder es könnte Ransomware installiert werden, wenn der Angreifer das System wieder verlässt. Die Verwendung von Malware auf diese Weise ermöglicht es den Entwicklern, sich auf die Kernfunktionen ihrer APTs zu konzentrieren und keine Zeit damit zu verbringen, ein aufgeblähtes Stück Malware zu erstellen, das schwieriger zu verstecken wäre.

Ein ausgeklügelter Angriff kann viel mehr als das tun, oder er kann so lange wie möglich heimliche Erkundungen vornehmen. Es kommt auf den Zweck des Angriffs an.

Dutzende von Finanzinstituten wurden von APT-Bedrohungsakteuren angegriffen. Die französische (Sprach-)APT-Gruppe OPERA1ER steht im Verdacht, zwischen 2018 und 2022 mehr als 30 erfolgreiche Angriffe durchgeführt zu haben. Die Gesamtzahl der Diebstähle beläuft sich auf 11 Millionen US-Dollar, und der tatsächliche Schaden für die Unternehmen könnte bis zu 30 Millionen US-Dollar betragen. OPERA1ER zielt auf Banken, Finanzdienstleister und Telekommunikationsunternehmen ab.

Die staatlich geförderte nordkoreanische Lazarus Group verübte 2016 mit dem Angriff auf die Bangladesh Bank einen der größten Cyberraubzüge der Geschichte. Die APT-Malware wurde von der Lazarus-Group entwickelt und über Phishing-E-Mails mit bösartigen Anhängen zugestellt.  Nach der Installation ermöglichte die Malware der Lazarus Group, Hintertüren zu erstellen, Zugangsdaten zu stehlen, im Netzwerk der Bank zu navigieren und ihre Spuren zu verwischen, indem sie transaktionsbezogene Protokolleinträge änderte.  Bis Februar 2023 hat die Bank etwa 15 Millionen US-Dollar der 81 Millionen US-Dollar, die bei dem Angriff erbeutet wurden, zurückerhalten.

Zur vollständigen Abwehr von APT-Angriffen sind mehrere Sicherheitsebenen erforderlich. Netzwerk-, Anwendungs- und E-Mail-Bedrohungsvektoren sollten mit einem Schutz versehen werden, der Eindringlinge und Datenexfiltration abwehrt. Der Austausch von Signalen, aktuelle Bedrohungsdaten und umfassende Protokollierung können Administratoren dabei helfen, Sicherheitsrichtlinien zu erstellen, die auf aktuellen Angriffen beruhen. Auf diese Weise können IT-Teams Systemanomalien schneller erkennen und möglicherweise verhindern, dass eine APT im Netzwerk Fuß fassen kann.

Viele Angriffe beginnen mit einer Phishing-E-Mail. Ein KI-basiertes Anti-Phishing-System sollte eine Voraussetzung für jedes Finanzunternehmen sein.  Ordnungsgemäße Datensicherungen können den Diebstahl von Daten nicht verhindern, aber sie können Daten wiederherstellen, die möglicherweise bei einem Angriff zerstört wurden.

Wie bei jeder anderen Cyber-Bedrohung können APTs durch eine angemessene Patch-Verwaltung, Sicherheitsschulungen für Mitarbeiter und einen Incident Response-Plan abgewehrt oder minimiert werden.

Barracuda kann helfen

Barracuda verfügt über ein komplettes Portfolio an Lösungen, um Sie vor Phishing-, Ransomware- und APT-Angriffen zu schützen. Unter www.barracuda.com erfahren Sie, wie wir Ihnen beim Schutz Ihres Unternehmens helfen können.