Financial Services — Hostile Takeover Attempts

Volume 6, 1ª edição

[state of the internet] / security

Resumo executivo:

Resumo executivoFeliz Ano Novo! Quando você estiver lendo isto, já teremos feito e desistido da maioria das resoluções de início de ano e retornado aos hábitos antigos. Enquanto aguardamos o próximo ano, a equipe que produz o relatório State of the Internet / Security tem apenas uma determinação: evoluir. Essa é uma missão interessante, pois não somos os únicos a evoluir. Os criminosos começaram a evoluir, e seus ataques estão ficando mais ambiciosos a cada dia.

Nesta edição do relatório State of the Internet / Security, começamos com um artigo da profissional de marketing de segurança Jennifer Leggio. Ela aborda um tipo de evolução autorreflexiva, incentivando colegas e a comunidade de segurança a evitar o FUD (medo, incerteza e dúvida) ao discutir produtos, serviços ou ameaças.

A partir daí, destacamos um ataque recorde a uma conhecida empresa financeira que incluiu 55.141.782 tentativas de login mal-intencionadas. O ataque ocorreu em 7 de agosto de 2019 e representa o maior caso de abuso de credenciais direcionado contra o setor de serviços financeiros desde que começamos a rastrear esses ataques.

As APIs (interfaces de programação de aplicações) estão em toda parte. Os funcionários e os clientes do setor de serviços financeiros são expostos a elas constantemente, especialmente REST, por serem usadas com frequência no desenvolvimento de aplicações móveis e para websites. No entanto, o SOAP é outra opção popular no espaço empresarial, principalmente no setor bancário.

De dezembro de 2017 a novembro de 2019, a Akamai observou 85.422.079.109 ataques de abuso de credenciais em toda a base de clientes. Quase 20%, ou 16.557.875.875, eram a nomes de host claramente identificados como pontos de extremidade de API. Dentre eles, 473.513.955 atacaram as organizações do setor de serviços financeiros.

Tentativas diárias de login mal-intencionado – nomes de host de API óbvios em destaque

Serviços financeiros

Todos os verticais

Janeiro de 2018 Março de 2018 Maio de 2018 Julho de 2018 Setembro de 2018 Novembro de 2018 Janeiro de 2019 Março de 2019 Maio de 2019 Julho de 2019 Setembro de 2019 Novembro de 2019

Janeiro de 2018 Março de 2018 Maio de 2018 Julho de 2018 Setembro de 2018 Novembro de 2018 Janeiro de 2019 Março de 2019 Maio de 2019 Julho de 2019 Setembro de 2019 Novembro de 20190 milhões

100 milhões

200 milhões

300 milhões

0 milhões

20 milhões

40 milhões

Log

ins

mal

-inte

ncio

nad

os

(milh

ões

)

Ponto de extremidade de API óbvio? Não Sim

25 de janeiro de 2018113.324.322

27 de outubro de 2018287.168.120

07 de agosto de 201955.141.782

25 de agosto de 201919.058.161

[state of the internet] / security

Financial Services — Hostile Takeover Attempts: Resumo executivo 2

0 milhões

10 milhões

20 milhões

30 milhões

40 milhões

50 milhões

Janeiro de 2018 Março de 2018 Maio de 2018 Julho de 2018 Setembro de 2018 Novembro de 2018 Janeiro de 2019 Março de 2019 Maio de 2019 Julho de 2019 Setembro de 2019 Novembro de 2019

Ata

ques

na

Web

(milh

ões)

Vertical Outros Serviços financeiros

17 de outubro de 201950.350.787

22 de novembro de 201840.376.035

23 de dezembro de 201823.771.753

28 de outubro de 201913.491.776

22 de novembro de 201942.248.675

Ataques diários a aplicações WebServiços financeiros e outros

A Akamai observou 662.556.776 ataques a aplicações Web contra o setor de serviços financeiros e 7.957.307.672 em todos os mercados verticais."

3

Neste relatório, também analisamos os ataques DDoS e a aplicações Web contra o setor de serviços financeiros, usando o mesmo período de 24 meses considerado para o abuso de credenciais.

Durante esse período, a Akamai observou 662.556.776 ataques a aplicações Web no setor de serviços financeiros e 7.957.307.672 em todos os mercados verticais.

Em geral, o ataque SQLi (Injeção de SQL) representou mais de 72% de todos os ataques ao observar todos os mercados verticais durante esse período. Essa taxa é reduzida a 36% quando considerados apenas os ataques a serviços financeiros. O principal tipo de ataque ao setor de serviços financeiros foi o de inclusão de arquivo local (LFI), com 47% do tráfego observado.

[state of the internet] / security

Financial Services — Hostile Takeover Attempts: Resumo executivo

A Akamai protege e entrega experiências digitais para as maiores empresas do mundo. A Akamai Intelligent Edge Platform engloba tudo, desde a empresa até a nuvem, para que os clientes e suas empresas possam ser rápidos e inteligentes e estar protegidos. As principais marcas mundiais contam com a Akamai para ajudá-las a obter vantagem competitiva por meio de soluções ágeis que estendem o poder de suas arquiteturas multinuvem. A Akamai mantém as decisões, aplicações e experiências mais próximas dos usuários e os ataques e as ameaças cada vez mais distantes. O portfólio de soluções Security Edge, desempenho na Web e em dispositivos móveis, acesso corporativo e entrega de vídeos da Akamai conta com um excepcional atendimento ao cliente e monitoramento 24 horas por dia, sete dias por semana, durante o ano todo. Para saber por que as principais marcas mundiais confiam na Akamai, acesse www.akamai.com, blogs.akamai.com, ou siga a @Akamai no Twitter. Encontre nossas informações de contato globais em www.akamai.com/locations. Publicado em 02/20.

State of the Internet / SecurityVolume 6, 1ª edição Financial Services – Hostile Takeover Attempts

Baixe o relatório State of the Internet completo

O setor de serviços financeiros foi o terceiro mais visado dos ataques DDoS durante o período do relatório; os setores de jogos e alta tecnologia foram os alvos mais comuns. No entanto, ao verificarmos o número de organizações atacadas, observamos que os serviços financeiros ficaram em primeiro lugar.

Por fim, falamos sobre o conceito Zero Trust e analisamos como alguns setores estão adotando esse modelo para defender seus usuários e redes contra as ameaças em evolução.

O Zero Trust substitui o princípio de "confiar, mas verificar" por "não confiar em nada nem em ninguém". No Zero Trust, a rede interrompe todo o acesso aos recursos até determinar quem é o usuário e se ele tem autorização. Absolutamente nada é confiável, seja dentro ou fora da rede. As arquiteturas de segurança ajudam ainda mais nessa abordagem, aplicando o conceito de privilégio mínimo aos usuários e recursos aos quais têm acesso.

O Zero Trust substitui o princípio de 'confiar, mas verificar' por 'não confiar em nada nem em ninguém'."

11 [state of the internet] / security Financial Services — Hostile Takeover Attempts: Volume 6, Issue 1

Web Attacks

Credential stuffing is just one attack type that the

financial service industry faces. Criminals aren’t

choosy when it comes to methodologies, and for

the most part, they’ll try different attack types until

they’re successful. This is why a solid, multilayered

approach to defense is key to stopping them.

Within the same 24-month period used to

examine credential abuse traffic, Akamai observed

662,556,776 web application attacks against the

financial services sector and 7,957,307,672 across

all verticals. The peak attack dates in 2018 and

2019 are highlighted in Figure 5.

Figure 6 shows a breakdown of web attack types

during the 24-month observation period. Overall,

SQL Injection (SQLi) accounted for more than 72%

of all attacks when looking at all verticals during this

period. That rate is halved to 36% when looking at

financial services attacks alone. The top attack type

against the financial services sector was Local File

Inclusion (LFI), with 47% of observed traffic.

LFI attacks exploit various scripts running on

servers, usually PHP, but LFI flaws have also

been known to exist in ASP, JSP, and other web

technologies. The consequence of these attacks

is usually the disclosure of sensitive information.

However, LFI attacks can also be leveraged

for client-side command execution (such as a

vulnerable JavaScript file), which could lead to

Cross-Site Scripting (XSS) and denial-of-service

(DoS) attacks.

Taking all of this into account, criminals conducting

the LFI attacks are looking to expose data that

could enable a stronger foothold on the server,

such as exposing a configuration file with

database credentials. If the database user has

write permissions, the criminal could use the

data exposed via LFI to remotely connect to the

database and compromise the server itself by

command execution.

XSS was the third-most common type of attack

against financial services, with a recorded 50.7

million attacks, or 7.7% of the observed attack

traffic. XSS accounted for 3.3% of the attacks in all

verticals. After that, PHP Injection (PHPi) came in

at just under 16 million attempts against financial

services. Finally, Command Injection, Remote

File Inclusion, OGNL Injection, and malicious file

uploads rounded out the final 5.7% of recorded

attacks against financial services.

Between 2018 and 2019, the most

common attack type against the financial

sector was Local File Inclusion (LFI).

12

Oct 17, 201950,350,787

Nov 22, 201942,248,675

Nov 22, 201840,376,035

Dec 23, 201823,771,753

Oct 28, 201913,491,776

0 M

10 M

20 M

30 M

40 M

50 M

Jan 2018 Mar 2018 May 2018 Jul 2018 Sep 2018 Nov 2018 Jan 2019 Mar 2019 May 2019 Jul 2019 Sep 2019 Nov 2019

Web

att

acks

(mill

ions

)

Vertical Other FinServFig. 5 – While the single-day peaks in attacks are concerning for individual organizations, the continued growth in web attacks

affects all organizations

FinancialServices

AllVerticals

0%10%

20%30%

40%50%

60%70%

80%90% 100%

% Attacks

Ver

tica

l

Attack Vector SQLi LFI XSS PHPi RFI CMDi Other

Fig. 6 – LFI was the top financial services attack type, but SQLi continues to dominate when looking at all verticals

Daily Web Application AttacksFinancial Services and Other

Web Application Attack VectorsDecember 2017 through November 2019

[state of the internet] / securityVolume 6, Issue 1

Financial Services — Hostile Takeover Attempts

BAIXAR AGORA