Secondo una nuova ricerca promossa dagli F5 Labs, i laboratori di ricerca di F5 Networks, le organizzazioni dei servizi finanziari hanno registrato un aumento significativo del numero di attacchi alle credenziali e di denial-of-service distribuito (DDoS) negli ultimi tre anni. Sul fronte opposto, nello stesso periodo esaminato sono notevolmente calati gli attacchi web.
"Il settore dei servizi finanziari è un ambito altamente regolamentato, il che significa che i budget per la sicurezza sono in genere elevati e la propensione al rischio è molto limitata”, ha affermato Raymond Pompon, Direttore degli F5 Labs. “Tuttavia, le aziende di questo settore continuano a rappresentare un bersaglio di estremo interesse per i criminali informatici a causa del valore e del profitto che possono trarre dalle informazioni a cui esse hanno accesso".
L’incremento degli attacchi alle credenziali
Gli attacchi brute force implicano da parte di chi attacca l’utilizzo di volumi ingenti di nomi utente e password contro un endpoint di autenticazione. Vi sono anche forme di attacchi brute force che utilizzano semplicemente elenchi comuni di coppie di credenziali predefinite (come ad esempio admin / admin), password comunemente utilizzate o persino stringhe di password generate casualmente. Occasionalmente, gli attacchi brute force sfruttano le credenziali ottenute a seguito di altre violazioni, che vengono utilizzate per indirizzare il servizio in un attacco noto come "credential stuffing".
In media, queste due tipologie sono state utilizzate nel 41% degli attacchi registrati dalle organizzazioni di servizi finanziari nei tre anni esaminati, con una percentuale cresciuta dal 37% del 2017 al 42% del 2019. Approfondendo ulteriormente, il team SIRT di F5 ha scoperto variazioni significative a livello regionale nei trend degli attacchi.
Tecnologie: le contraddizioni degli italiani
In EMEA, nel periodo preso in esame, gli attacchi di brute force e di credential stuffing in realtà ammontavano solo al 20% del totale. Questo dato è superiore al 15% osservato nella regione Asia-Pacifico, ma significativamente inferiore al 64% registrato nel Nord America, un risultato, quest'ultimo, probabilmente influenzato dal gran volume di credenziali violate in precedenza che vengono riutilizzate.
Attacchi DDOS: la seconda minaccia che cresce di più
Gli attacchi DDoS si sono classificati al secondo posto tra le minacce maggiormente indirizzate al settore finanziario nel periodo preso in esame, rappresentando il 32% di tutti gli incidenti segnalati tra il 2017 e il 2019 e anche la minaccia in più rapida crescita. Nel 2017, il 26% degli attacchi alle organizzazioni di servizi finanziari era di tipo DDoS, una percentuale che ha raggiunto il 42% nel 2019.
Ancora una volta le differenze tra le varie regioni sono consistenti; il 50% di tutti gli attacchi segnalati in EMEA nel triennio è correlato ai DDoS, un volume che sale al 55% nell’area Asia-Pacifico per scendere al 22% in Nord America.
Secondo gli F5 Labs, gli attacchi denial-of-service contro i fornitori di servizi finanziari di solito prendono di mira sia i servizi principali utilizzati dai clienti (come il DNS) sia le applicazioni che consentono agli utenti di accedere ai servizi online (ad esempio quelle per la visualizzazione delle fatture o la richiesta di prestiti). Gli attacchi provengono spesso da tutto il mondo, sfruttando probabilmente l’utilizzo di grandi botnet che vengono noleggiate per l’occasione dagli aggressori o costruite appositamente a partire da macchine compromesse.
Gli attacchi Web sono in calo
Mentre gli attacchi alle credenziali e DDoS continuano a diffondersi, gli attacchi Web contro il settore finanziario registrano un calo costante: nel 2017 e 2018 rappresentavano l’11% del totale degli incidenti registrati, e nel 2019 solo il 4%.
"Sebbene sia difficile determinare con certezza quale sia la causa di questa riduzione, un fattore che ha probabilmente influito molto è la crescente sofisticazione di controlli tecnici correttamente implementati, come i Web Application Firewall (WAF)”, spiega Pompon. “Un dato confermato dai risultati dell’ultima edizione del report degli F5 Labs sulla protezione delle applicazioni, che ha rilevato come, rispetto alla media in tutti i settori (26%), le organizzazioni finanziare tendano ad adottare maggiormente i WAF (31%)”.
La maggior parte degli attacchi Web registrati da F5 SIRT ha preso di mira le API, come quelle utilizzate per i portali di autenticazione mobile e Open Financial Exchange (OFX). Anche l’utilizzo delle tecniche di web scraping – copiare i contenuti allo scopo di creare pagine di phishing realistiche – è stato evidente.
Gli F5 Labs suggeriscono che gli attacchi web contro i servizi finanziari tendano a essere più persistenti rispetto ad altri settori, proprio a causa di un targeting più preciso da parte dei criminali informatici in ambito finanziario, con un potenziale alto valore di successo.