Ein neuer Bericht Trustwave SpiderLabs bietet eine ausführliche Beschreibung der unzähligen Bedrohungen, denen Finanzdienstleistungsunternehmen ausgesetzt sind. Bedrohungslandschaft für den Finanzdienstleistungssektor 2023 deckt prominente Bedrohungsakteure und -taktiken ab, unterteilt den Angriffsablauf im Finanzdienstleistungssektor in Schritte und deckt mehrere gängige Einstiegspunkte für Hacker ab.

Finanzdienstleistungsunternehmen sind besonders anfällig für Datenlecks Generative KI und Large Language Models (LLMs) aufgrund der Arten von Daten, die sie speichern. Aufgrund ihrer zahlreichen Drittbeziehungen zu Unternehmen, die diese Tools zunehmend nutzen, sind sie anfällig dafür, die Kontrolle über ihre Daten zu verlieren. Da die Sicherheit dieser neuen Technologien noch bewertet wird, sollten Fiservs einen Risiko-Nutzen-Ansatz verfolgen und ihre Auswirkungen abwägen, bevor sie fortfahren.

Generative KI und LLMs helfen Kriminellen dabei, deutlich bessere Phishing-E-Mails zu erstellen. Die Zeiten grammatikalisch schlechter und leicht zu erkennender Botschaften sind weitgehend vorbei. Sie werden durch überzeugendere Einträge ersetzt, die von LLMs wie FraudGPT und Worm GPT erstellt wurden.

Die Gefahr eines Drittrisikos

KI und LLMs sind einer von vielen Bereichen, in denen Beziehungen zu Dritten Risiken mit sich bringen. Der globale Chief Information Security Officer von Trustwave Kory Daniels sagte, es sei für Institutionen von entscheidender Bedeutung, einen klaren Einblick in die Pläne ihrer Drittanbieter für die aktuelle und zukünftige Nutzung dieser Technologien zu haben. Angesichts der hohen Regulierungslast, die den Finanzinstituten auferlegt wird, müssen sie sicherstellen, dass auch ihre Drittpartner, die häufig weniger streng geprüft werden, die Vorschriften einhalten.

„Viele Sicherheitsprogramme wurden erst spät eingeführt“, sagte Daniels. „Viele Unternehmen erkannten den finanziellen Vorteil und den geschäftlichen Vorteil in der Geschwindigkeit der Skalierung und Elastizität, indem sie ihre Entwicklung verlagerten und schneller auf den Markt kamen. Und sie beeilten sich, dies zu tun, oder die Pandemie zwang sie aus der Not. Aber die Frage ist: Haben sie es sicher gemacht?

„Wir müssen messen, wie digital wir mit unseren Partnern verbunden sind. Wir müssen verstehen, wie sie sich mit uns verbinden. Ist es unsere API? Ist es ihre API? Wie viel kostet Open Source? Wie priorisieren Sie die kritischen Partner gegenüber den weniger kritischen Partnern und wie führen Sie diese Bemühungen durch?“

Für Daniels umfasst der Prozess das schrittweise Durchgehen von Beziehungen, um Risiken, Schutzniveaus, Fähigkeiten und Kontrollen zu identifizieren. Bestimmen Sie, wie Schutzmaßnahmen durchgesetzt werden. Wo können Schutzmaßnahmen nicht durchgesetzt werden und wo führen sie zu Reibungsverlusten? Sollten Erkennung und Reaktion fehlschlagen, wie fördern Sie die Ausfallsicherheit?

Berücksichtigen Sie bei der Durchführung von Bewertungen die KI. Arbeiten Sie mit Partnern zusammen, die nachweislich über Fähigkeiten bei der Erkennung von KI-generierten Bedrohungen verfügen. Entwickeln Sie strenge interne Richtlinien und Schulungen, um das Risiko von Verstößen zu minimieren. Erwägen Sie die Bildung von Arbeitsgruppen in relevanten Teams, um Bedenken hinsichtlich der Governance und des Datenaustauschs auszuräumen.

Ransomware-Bedrohungen

Im Jahr 2022 ergab eine Umfrage der US Commodity Futures Trading Commission, dass drei von vier globalen Finanzinstituten in diesem Jahr mindestens einen Ransomware-Angriff erlebten. Ransomware-as-a-Service-Tools senken die Eintrittsbarriere für Kriminelle und erhöhen das Angriffspotenzial. 

Clop, LockBit und Alphv/BlackCat gehören zu den berüchtigtsten Ransomware-Gruppen. Die Auswirkungen vervielfachen sich, wenn gestohlene Daten im Dark Web veröffentlicht werden, damit andere sie ausnutzen können. 

Sichern Sie regelmäßig Daten, um die Wiederherstellungsfähigkeit Ihres Unternehmens im Falle eines Angriffs zu erhöhen. Speichern Sie Backups extern und stellen Sie sicher, dass sie wiederhergestellt werden können. Sichern Sie exponierte Remote-Desktop-Protokolle, beheben Sie bekannte Schwachstellen und deaktivieren Sie sie, wenn sie nicht erforderlich sind.

Amerikanische Finanzdienstleistungsunternehmen machen 51 % der weltweiten Ransomware-Opfer aus. Kein anderes Land erreicht zweistellige Werte.

Die 5 Schritte eines Angriffs

Erster Halt

Der Bericht beschreibt die fünf Schritte eines Angriffsablaufs: anfänglicher Halt, anfängliche Nutzlast, Erweiterung/Pivotierung, Malware und Exfiltration/Post-Kompromittierung.

Phishing und die Kompromittierung geschäftlicher E-Mails sind die beliebtesten Methoden, mit denen sich Kriminelle in Institutionen einschleusen. Phisher wollen Zugangsdaten stehlen, Schadsoftware einschleusen und Aktionen wie das Senden von Geld an eine gestrandete Führungskraft auslösen. Fast 80 % der bösartigen Anhänge sind HTML. Weitere gemeinsame Funktionen sind ausführbare Dateien, PDFs, Excel- und Word-Dokumente. Zu den Nachrichten gehören häufig Voicemail-Benachrichtigungen, Zahlungsbelege, Bestellungen, Überweisungen, Bankeinzahlungen und Angebotsanfragen. 

Die am häufigsten in Phishing-E-Mails mit bösartigen Anhängen genannten Unternehmen sind American Express, DHL und Microsoft. Zusammen machen sie 60 % aus. Zu den Unternehmen, die bei reinen Phishing-Angriffen am häufigsten getäuscht werden, gehören Microsoft mit sage und schreibe 52 %, DocuSign mit 10 % und American Express mit 8 %. 

Institutionen können sich schützen, indem sie häufig Schein-Phishing-Tests durchführen und Wiederholungstäter umschulen. Sie sollten Anti-Spoofing-Maßnahmen hinzufügen, wie z. B. Technologien auf E-Mail-Gateways, mehrschichtiges E-Mail-Scannen mit einem Tool wie Mail Marshal von TrustWave einsetzen und Methoden zur Erkennung von Domain-Rechtschreibfehlern einführen, um Phishing- und BEC-Angriffe zu erkennen.

Anfängliche Nutzlast

Aufgrund erfolgreicher Phishing-Versuche und mangelnder Cybersicherheitshygiene verschaffen sich Kriminelle oft allein durch die Anmeldung Zutritt zu Institutionen. Bei 20 % der Angriffe wird der Anmeldedatenzugriff genutzt. 

Dies ist ein Bereich, in dem einfache Sorgfalt viele Angriffe verhindern kann. Viele Administrator- und High-Access-Konten haben alte oder gemeinsame Passwörter. Viele Unternehmen verfügen über ungesicherte Dateien mit Passwörtern und solche, deren Titel „Passwort“ enthält.

Daniels sagte, Fernarbeit habe das Problem verschlimmert.

„Die Trennung zwischen Unternehmen und Privat verschwimmt in dieser digitalen Arbeitswelt immer mehr“, stellte er fest. „Wir stellen sicher, dass wir nicht nur im Unternehmensumfeld für gute Hygiene sorgen, sondern dass die Benutzer diese auch mit nach Hause nehmen. Wir möchten jeden Benutzer im Unternehmen schulen … denn er ist die erste Verteidigungslinie.“

Zu den Sicherheitsstrategien gehören regelmäßige Passwortänderungen, Multi-Faktor-Authentifizierung und sichere, verschlüsselte Speicherung.

Lies auch:

Erweiterung schwenkbar

Angreifer gelangen oft über Software-Schwachstellen in Finanzinstitute, die durch Patches behoben werden können. Die häufigsten Exploits, die es auf Finanzdienstleistungsunternehmen abgesehen haben, sind:

• Apache Log4J (CVE-2021-44228)
• Cross-Site Scripting
• SQL Injection
• Verzeichnis Traversal
• ZeroLogon (CVE-2020-1472)
• Federkern RCE (CVE-2022-22965)
• MOVEit RCE (CVE-2023-34362)
• Exchange Server RCE (CVE-2022-41040, CVE-2022-41082) 
• Exchange Server SSRF
• MS Windows RDP RCE (CVE-2019-0708)
• NTPsec ntpd (CVE-2019-6443) 
• Missbrauch des Cloud Instance Metadata Service (IMDS). 
• Anfällige API-Anfrage für Samba ServerPasswordSet
• Weitere nicht näher bezeichnete RCE-Versuche 

Der Bericht stellt fest, dass Finanzinstitute auch mit einigen alten Schwachstellen zu kämpfen haben.

„…Größere Finanzdienstleistungsunternehmen mit älteren, veralteten Systemen zögern eher, Änderungen an ihrer Infrastruktur vorzunehmen, die möglicherweise den Betrieb stören könnten“, heißt es darin. „Eine weitere Herausforderung ist die schlechte Bestandsaufnahme der Vermögenswerte, insbesondere dort, wo kritische Daten gespeichert sind. Dies macht es schwieriger zu bestimmen, welche Prioritäten bei der Behebung von Sicherheitslücken zu setzen sind. 

„Darüber hinaus ergab eine aktuelle Suche von Trustwave SpiderLabs bei Shodan, das alle öffentlichen IP-Adressen im Internet scannt, mehr als 110,000 offene Ports, Service-Banner und/oder Anwendungs-Fingerprinting in Finanzdienstleistungsorganisationen, von denen 30,000 in den USA ansässig sind.“ 

Malware

Angreifer verschaffen sich den ersten Zugriff häufig über minderwertige Systeme. Aber sobald sie drin sind, nutzen sie ausgefeiltere Tools wie PowerShell und LOLBins, um ihre Reichweite zu vergrößern. 

Bei fast 30 % der Vorfälle im Finanzsektor handelt es sich um von Angreifern kontrollierten Code, der in lokalen oder Remote-Systemen ausgeführt wird. Kriminelle nutzen PowerShell aufgrund seiner Präsenz in Windows-Umgebungen häufig. Sie überreden die Leute auch dazu, schädliche Dateien zu öffnen.

Wenn Angreifer unentdeckt bleiben, greifen sie zu höherwertigen institutionellen Zielen wie Domänenadministratoren und Datenbankservern über. Remcom, Bloodhound, Lazagne und Sharphound sind häufig verwendete Werkzeuge. Angreifer implantieren sich darüber hinaus, indem sie neue Konten erstellen, bestehende ändern oder manipulieren und Betriebssysteme dazu veranlassen, verschiedene Aktionen einzuleiten.

Viele Kriminelle setzen eine bestimmte Art von Malware namens Infostealer ein, die häufig auf Daten wie Kontakte, Passwörter und Kryptowährungsinformationen abzielt. Beim Transport von Informationen stehlen Daten, die in ein System eingegeben, aber nicht dort gespeichert werden, beispielsweise Kontoinformationen, die dazu verwendet werden können, Geld von Konten abzuheben. 

Zu den beliebten Informationsdiebstahlern, die auf die Finanzdienstleistungsbranche abzielen, gehören FormBook, XLoader, Lokibot und Snake Keylogger. Zu den empfohlenen Abhilfemaßnahmen gehören hostbasierte Anti-Malware-Tools, Audit-Kontrollen und aktive Überwachung.

Remote Access Trojaner (RATs) verhelfen Kriminellen zum Zugriff auf Verwaltungsebenen. Damit können sie Webcams bedienen, Screenshots machen und Dateien herunterladen. Gängige RATs, die auf den Finanzdienstleistungssektor abzielen, sind Agent Tesla und Gigabud RAT.

Exfiltration/Post-Kompromittierung

Die letzte Phase ist die Exfiltration und Kompromittierung, in der die Angreifer ihren endgültigen Plan ausführen. Das kann bedeuten, dass sie so viele Informationen wie möglich stehlen, bevor sie weitermachen, bestimmte Quellen ins Visier nehmen oder Chaos anrichten. Zu den vorgeschlagenen Taktiken gehören die Dark-Web-Überwachung, die Durchführung regelmäßiger Penetrations- und Vorfallreaktionstests sowie die Minimierung des Zeitaufwands für die Behebung des Schadens.

Daniels sagte, Datenbroker seien ein großes Problem der Branche. Ihre Bedeutung wird in einer datenbasierten Wirtschaft nur noch zunehmen. Die Finanzdienstleistungsbranche muss sich auf eine erhöhte Anzahl von Bedrohungen vorbereiten, da KI die Eintrittsbarrieren senkt.

„Wir werden mehr davon und eine zusätzliche Vielfalt sehen“, sagte Daniels. „Ihre Reichweite über Organisationen hinweg wird einfach weiter zunehmen. 

„Wie helfen Sie als Unternehmensleiter Ihrem Sicherheitsteam, erfolgreich zu sein? Wie gut kennen Sie die Sicherheits- und Bedrohungsakteure? Haben Sie die gemeinsame Fähigkeit, dies mit Ihren Partnern zu teilen?“

.pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-radius: 5% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-size: 24px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { font-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-weight: normal !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a:hover { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-user_url-profile-data { color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { text-align: center !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-recent-posts-title { border-bottom-style: dotted !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { border-style: solid !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { color: #3c434a !important; }

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.fintechnexus.com/trustwave-threat-report-a-fiserv-must-read/