F5 Labs: crescono gli attacchi alle credenziali e i DDoS che prendono di mira il settore finanziario

Secondo una ricerca[1] promossa dagli F5 Labs le organizzazioni dei servizi finanziari hanno registrato un aumento significativo del numero di attacchi alle credenziali e di denial-of-service distribuito (DDoS) negli ultimi tre anni. Sul fronte opposto, nello stesso periodo esaminato sono notevolmente calati gli attacchi web.

Gli F5 Labs, che hanno preso in esame i dati di risposta sugli incidenti di sicurezza dei clienti F5 forniti dal F5 Security Incident Response Team (F5 SIRT) da gennaio 2017 a dicembre 2019, focalizzandosi su banche, cooperative di credito, broker, assicurazioni e organizzazioni legate ai servizi finanziari, come chi gestisce le transazioni dei pagamenti e il software finanziario come servizio (SaaS).

Gli attacchi brute force implicano da parte di chi attacca l’utilizzo di volumi ingenti di nomi utente e password contro un endpoint di autenticazione. Vi sono anche forme di attacchi brute force che utilizzano semplicemente elenchi comuni di coppie di credenziali predefinite (come ad esempio admin / admin), password comunemente utilizzate o persino stringhe di password generate casualmente. Occasionalmente, gli attacchi brute force sfruttano le credenziali ottenute a seguito di altre violazioni, che vengono utilizzate per indirizzare il servizio in un attacco noto come “credential stuffing”.

In media, queste due tipologie sono state utilizzate nel 41% degli attacchi registrati dalle organizzazioni di servizi finanziari nei tre anni esaminati, con una percentuale cresciuta dal 37% del 2017 al 42% del 2019. Approfondendo ulteriormente, il team SIRT di F5 ha scoperto variazioni significative a livello regionale nei trend degli attacchi.

In EMEA, nel periodo preso in esame, gli attacchi di brute force e di credential stuffing in realtà ammontavano solo al 20% del totale. Questo dato è superiore al 15% osservato nella regione Asia-Pacifico, ma significativamente inferiore al 64% registrato nel Nord America, un risultato, quest’ultimo, probabilmente influenzato dal gran volume di credenziali violate in precedenza che vengono riutilizzate.

Gli attacchi DDoS si sono classificati al secondo posto tra le minacce maggiormente indirizzate al settore finanziario nel periodo preso in esame, rappresentando il 32% di tutti gli incidenti segnalati tra il 2017 e il 2019 e anche la minaccia in più rapida crescita. Nel 2017, il 26% degli attacchi alle organizzazioni di servizi finanziari era di tipo DDoS, una percentuale che ha raggiunto il 42% nel 2019.

Ancora una volta le differenze tra le varie regioni sono consistenti; il 50% di tutti gli attacchi segnalati in EMEA nel triennio è correlato ai DDoS, un volume che sale al 55% nell’area Asia-Pacifico per scendere al 22% in Nord America.

Secondo gli F5 Labs, gli attacchi denial-of-service contro i fornitori di servizi finanziari di solito prendono di mira sia i servizi principali utilizzati dai clienti (come il DNS) sia le applicazioni che consentono agli utenti di accedere ai servizi online (ad esempio quelle per la visualizzazione delle fatture o la richiesta di prestiti). Gli attacchi provengono spesso da tutto il mondo, sfruttando probabilmente l’utilizzo di grandi botnet che vengono noleggiate per l’occasione dagli aggressori o costruite appositamente a partire da macchine compromesse.

Mentre gli attacchi alle credenziali e DDoS continuano a diffondersi, gli attacchi Web contro il settore finanziario registrano un calo costante: nel 2017 e 2018 rappresentavano l’11% del totale degli incidenti registrati, e nel 2019 solo il 4%.

La maggior parte degli attacchi Web registrati da F5 SIRT ha preso di mira le API, come quelle utilizzate per i portali di autenticazione mobile e Open Financial Exchange (OFX). Anche l’utilizzo delle tecniche di web scraping – copiare i contenuti allo scopo di creare pagine di phishing realistiche – è stato evidente.

Gli F5 Labs suggeriscono che gli attacchi web contro i servizi finanziari tendano a essere più persistenti rispetto ad altri settori, proprio a causa di un targeting più preciso da parte dei criminali informatici in ambito finanziario, con un potenziale alto valore di successo.

L’analisi degli F5 Labs giunge alla conclusione che, sebbene il settore dei servizi finanziari sia tra i più all’avanguardia dal punto di vista dell’adozione di programmi di sicurezza consistenti, non c’è spazio per l’autocompiacimento.

servizi finanziari



[1] 1Gli F5 Labs ha analizzato i dati del F5 Security Incident Response Team (F5 SIRT), esaminando in particolare gli incidenti registrati nel 2017, 2018 e 2019, come riportato dalle organizzazioni dei servizi finanziari. Questa categoria comprende banche, cooperative di credito, broker, assicurazioni e la vasta gamma di organizzazioni che li servono, come chi si occupa di processare le transazioni e il software finanziario come servizio (Saas).