Il settore dei servizi finanziari è uno tra i più bersagliati dagli attacchi informatici, e non è difficile capire perché: qui, più che altrove, si intercettano dati più o meno direttamente monetizzabili o si realizzano truffe che assicurano un guadagno immediato. I metodi d’attacco in questo settore stanno cambiando, come evidenziato da un nuovo report di Akamai (“ SOTI Security report 2020- Hostile Takeover Attempts”), basato sull’osservazione di circa due anni di attività cybercriminale, da dicembre 2017 a novembre 2019.
Da maggio 2019 fino alla fine dell’anno si è verificato un netto cambiamento: i criminali sempre di più hanno preso di mira le Api, le interfacce di programmazione delle applicazioni, con l’obiettivo di bypassare i controlli di sicurezza. Secondo i dati di Akamai, è diretto verso le Api 75% degli attacchi di abuso di credenziali eseguiti negli ultimi mesi contro il settore dei servizi finanziari.
Considerando il periodo che va da dicembre 2017 fino a novembre 2019 in generale, in tutti settori verticali, Akamai ha rilevato oltre 85,4 miliardi di attacchi di abuso di credenziali, un quinto dei quali (16,5 miliardi circa) rivolti contro endpoint di Api. Tra questi, circa 473,5 milioni hanno avuto come obiettivo aziende del settore dei servizi finanziari.
Un caso degno è avvenuto il 7 agosto del 2019: il più grande attacco di credential stuffing mai osservato da Akamai tra quelli rivolti contro un singolo obiettivo (in questo caso un istituto finanziario). I criminali hanno realizzato oltre 55 milioni di tentativi di login malevolo, in parte prendendo di mira le Api e in parte impiegando altre metodologie. In un altro attacco verificatosi di lì a breve, il 25 agosto, gli autori hanno invece agito direttamente contro le Api con 19 milioni di tentativi di “sfondamento”.
Le tecniche di attacco
Quanto alle tecniche di attacco, la più sfruttata (47% degli attacchi rivolti al settore finanziario) è stata la Local File Inclusion (Lfi), in cui si sfruttano diversi script in esecuzione sui server e si tenta di mettere gli occhi su informazioni sensibili. La seconda tipologia più in uso è la SQL Injection (SQLi), rilevata nel 36% degli attacchi ai servizi finanziari; la terza è il Cross-Site Scripting (Xss), osservato nel 7,7% dei casi.
Anche gli attacchi DDoS (Distributed Denial of Service), benché numericamente inferiori, continuano a persistere nel settore dei servizi finanziari più che altrove. Le piattaforme di gaming e le aziende di servizi tecnologici sono, rispettivamente, al primo e secondo posto per numero di attacchi DDoS subiti, mentre i servizi finanziari sono al terzo.
“I criminali stanno diventando sempre più creativi, ma sono soprattutto molto focalizzati nel trovare sempre nuove modalità per ottenere gli accessi e mettere in atto i loro crimini”, ha commentato Steve Ragan, ricercatore di sicurezza di Akamai e principale autore del report. “Quando attaccano il settore dei servizi finanziari, i criminali fanno molta attenzione alle difese messe in atto da queste organizzazioni e adeguano di conseguenza i loro modelli di attacco”.