I laboratori di F5 Networks hanno esaminato tre anni di incidenti informatici subiti dalle organizzazioni del settore finanziario rivelando quali siano le tecniche oggi maggiormente utilizzate

f5

Secondo una nuova ricerca promossa dagli F5 Labs, i laboratori di ricerca di F5 Networks, le organizzazioni dei servizi finanziari hanno registrato un aumento significativo del numero di attacchi alle credenziali e di denial-of-service distribuito (DDoS) negli ultimi tre anni. Sul fronte opposto, nello stesso periodo esaminato sono notevolmente calati gli attacchi web.

Gli F5 Labs, che hanno preso in esame i dati di risposta sugli incidenti di sicurezza dei clienti F5 forniti dal F5 Security Incident Response Team (F5 SIRT) da gennaio 2017 a dicembre 2019, focalizzandosi su banche, cooperative di credito, broker, assicurazioni e organizzazioni legate ai servizi finanziari, come chi gestisce le transazioni dei pagamenti e il software finanziario come servizio (SaaS).

“Il settore dei servizi finanziari è un ambito altamente regolamentato, il che significa che i budget per la sicurezza sono in genere elevati e la propensione al rischio è molto limitata”, ha affermato Raymond Pompon, Direttore degli F5 Labs. “Tuttavia, le aziende di questo settore continuano a rappresentare un bersaglio di estremo interesse per i criminali informatici a causa del valore e del profitto che possono trarre dalle informazioni a cui esse hanno accesso”.

L’incremento degli attacchi alle credenziali

Gli attacchi brute force implicano da parte di chi attacca l’utilizzo di volumi ingenti di nomi utente e password contro un endpoint di autenticazione. Vi sono anche forme di attacchi brute force che utilizzano semplicemente elenchi comuni di coppie di credenziali predefinite (come ad esempio admin / admin), password comunemente utilizzate o persino stringhe di password generate casualmente. Occasionalmente, gli attacchi brute force sfruttano le credenziali ottenute a seguito di altre violazioni, che vengono utilizzate per indirizzare il servizio in un attacco noto come “credential stuffing”.

In media, queste due tipologie sono state utilizzate nel 41% degli attacchi registrati dalle organizzazioni di servizi finanziari nei tre anni esaminati, con una percentuale cresciuta dal 37% del 2017 al 42% del 2019. Approfondendo ulteriormente, il team SIRT di F5 ha scoperto variazioni significative a livello regionale nei trend degli attacchi.

In EMEA, nel periodo preso in esame, gli attacchi di brute force e di credential stuffing in realtà ammontavano solo al 20% del totale. Questo dato è superiore al 15% osservato nella regione Asia-Pacifico, ma significativamente inferiore al 64% registrato nel Nord America, un risultato, quest’ultimo, probabilmente influenzato dal gran volume di credenziali violate in precedenza che vengono riutilizzate.

“I primi segnali di un attacco alle credenziali sono spesso i reclami dei clienti legati al blocco degli account, prima di qualsiasi rilevamento automatico”, ha affermato Pompon. “La diagnosi precoce, invece, dovrebbe essere fondamentale. Se chi protegge l’azienda è in grado di identificare un aumento dei tentativi di accesso non riusciti in un breve periodo di tempo, potrà ottenere una finestra di opportunità per poter agire prima di subire delle ripercussioni sui servizi”.

Attacchi DDOS: la seconda minaccia che cresce di più

Gli attacchi DDoS si sono classificati al secondo posto tra le minacce maggiormente indirizzate al settore finanziario nel periodo preso in esame, rappresentando il 32% di tutti gli incidenti segnalati tra il 2017 e il 2019 e anche la minaccia in più rapida crescita. Nel 2017, il 26% degli attacchi alle organizzazioni di servizi finanziari era di tipo DDoS, una percentuale che ha raggiunto il 42% nel 2019.

Ancora una volta le differenze tra le varie regioni sono consistenti; il 50% di tutti gli attacchi segnalati in EMEA nel triennio è correlato ai DDoS, un volume che sale al 55% nell’area Asia-Pacifico per scendere al 22% in Nord America.

Secondo gli F5 Labs, gli attacchi denial-of-service contro i fornitori di servizi finanziari di solito prendono di mira sia i servizi principali utilizzati dai clienti (come il DNS) sia le applicazioni che consentono agli utenti di accedere ai servizi online (ad esempio quelle per la visualizzazione delle fatture o la richiesta di prestiti). Gli attacchi provengono spesso da tutto il mondo, sfruttando probabilmente l’utilizzo di grandi botnet che vengono noleggiate per l’occasione dagli aggressori o costruite appositamente a partire da macchine compromesse.

“La capacità di identificare rapidamente le caratteristiche del traffico in condizioni di attacco è di fondamentale importanza. È anche cruciale abilitare rapidamente un logging approfondito per i servizi applicativi al fine di identificare query insolite”, commenta Pompon.

Gli attacchi Web sono in calo

Mentre gli attacchi alle credenziali e DDoS continuano a diffondersi, gli attacchi Web contro il settore finanziario registrano un calo costante: nel 2017 e 2018 rappresentavano l’11% del totale degli incidenti registrati, e nel 2019 solo il 4%.

“Sebbene sia difficile determinare con certezza quale sia la causa di questa riduzione, un fattore che ha probabilmente influito molto è la crescente sofisticazione di controlli tecnici correttamente implementati, come i Web Application Firewall (WAF)”, spiega Pompon. “Un dato confermato dai risultati dell’ultima edizione del report degli F5 Labs sulla protezione delle applicazioni, che ha rilevato come, rispetto alla media in tutti i settori (26%), le organizzazioni finanziare tendano ad adottare maggiormente i WAF (31%)”.

La maggior parte degli attacchi Web registrati da F5 SIRT ha preso di mira le API, come quelle utilizzate per i portali di autenticazione mobile e Open Financial Exchange (OFX). Anche l’utilizzo delle tecniche di web scraping – copiare i contenuti allo scopo di creare pagine di phishing realistiche – è stato evidente.

Gli F5 Labs suggeriscono che gli attacchi web contro i servizi finanziari tendano a essere più persistenti rispetto ad altri settori, proprio a causa di un targeting più preciso da parte dei criminali informatici in ambito finanziario, con un potenziale alto valore di successo.

Salvaguardare il futuro

L’analisi degli F5 Labs giunge alla conclusione che, sebbene il settore dei servizi finanziari sia tra i più all’avanguardia dal punto di vista dell’adozione di programmi di sicurezza consistenti, non c’è spazio per l’autocompiacimento.

“Nonostante le risorse preziose in gioco, a volte si fa ancora fatica a convincere alcune organizzazioni della necessità di un’autenticazione a più fattori, che probabilmente rappresenta il modo più efficace per prevenire quasi tutti gli attacchi brute force o che prendono di mira gli accessi, il credential stuffing o il phishing”, conclude Pompon. “C’è ancora molto da fare, soprattutto dal punto di vista della prevenzione, ad esempio per il rafforzamento delle API e l’implementazione di un programma di gestione delle vulnerabilità che includa la scansione esterna e patch regolari. Dal punto di vista del rilevamento delle minacce è fondamentale monitorare continuamente il traffico per evidenziare tracce dell’utilizzo delle tecniche brute force e del credential stuffing e, come sempre, è essenziale sviluppare e mettere in pratica procedure corrette per la risposta agli incidenti che affrontino tutte le tipologie di rischi”.