Articles

Cómo hackear un banco

admin septiembre 23, 2021 0 Comment

Aunque la amenaza de ciberataques está aumentando, los bancos están siendo empujados a volver a los conceptos básicos de ciberseguridad, según un especialista en penetración.

El 31 de diciembre de 2019, un grupo de hackers llamado Sodinokibi lanzó un ciberataque en la red Travelex. El grupo pidió rescate a la compañía de divisas por 4,6 millones de libras según informó The Telegraph. El ataque causó trastornos en Lloyds, Barclays y el Royal Bank of Scotland.

Con un ciberataque que produce un efecto dominó en todos los servicios financieros, quería averiguar qué amenazas de ciberseguridad son específicas de la industria, así que tuve una conversación con Andrew Mabbitt, cofundador y director de Fidus Information Security, una empresa británica especializada en pruebas de penetración.

para llevar A cabo una prueba de penetración, es importante saber el tamaño del banco, dice Mabbitt.

» Hay algunas cosas que salen por la ventana de inmediato. Por lo general, la infraestructura externa, cualquier cosa que alojen públicamente, generalmente va a ser relativamente segura. Una vez más, los bancos gastan mucho dinero en seguridad, por lo que de inmediato sabe que habrá sido probado hasta la muerte y estadísticamente no encontrará nada importante allí.

» Ni siquiera nos molestaríamos en mirar la seguridad física de los bancos porque tienen todas esas cámaras, tienen mucho personal, tienen guardias de seguridad. Lo que empezaríamos a buscar es, ¿tienen alguna oficina satélite? Tienen una gran sede? Por lo general, van a tener menos seguridad porque no están protegiendo todo el dinero, pero ¿qué estamos tratando de lograr aquí?

«no Estamos tratando de obtener acceso a la caja fuerte y la gran pernos en los bancos, estamos tratando de obtener acceso a la red. Entonces, ¿dónde estaría el punto más débil de la red? Por lo general, se encuentran en las oficinas centrales, donde hay tanta gente, o en oficinas satélite.

» Cuando llevamos a cabo un compromiso físico, podemos pararnos afuera o sentarnos en un café local incluso y ver a las personas que trabajan para el banco entrar y salir. Por lo general, siempre llevan los mismos cordones, etc. Y si son genéricos como un cordón rojo, podemos poner un cordón rojo debajo de nuestro jersey, ir a caminar y, por lo general, si alguien ve un cordón, confiarán en usted.

» La otra cosa que solemos hacer es también filmar y tomar fotos de personas que trabajan en el banco e intentar clonar una insignia. Así que tomamos una foto, la simulamos en photoshop, la imprimimos en nuestra propia placa y luego tenemos el intento plausible de intentar entrar al edificio y nuestra placa no funciona en el escáner y pedimos a seguridad que la abra, porque de nuevo la gente quiere ayudar.

«Si no podemos hacer el descanso, buscaremos personas a las que creemos que podemos apuntar, por lo que nos alejamos del equipo de finanzas, nos alejamos del equipo de TI y miramos a personas que están en roles muy diferentes que la gente no asumiría que serían el objetivo de los ataques de phishing todo el tiempo. Así que, por ejemplo, la gente de los medios de comunicación no esperaría que fuera tan objetivo como la gente del equipo de finanzas, así que intentaríamos aprovecharlo.»

El juego de espera

En noviembre de 2018, HSBC notificó a sus clientes una violación de datos que se había producido el mes anterior. Un inicio de sesión no autorizado dejó accesible la información personal de algunos clientes.

Pero el tiempo que un hacker puede permanecer sin ser detectado depende completamente de lo que esté tratando de lograr, dice Mabbitt.

«Diría que normalmente las personas que tienen el talento y el respaldo para atacar un banco crítico en un país van a ser bastante sofisticadas. Uno esperaría que estuvieran en un alto nivel de ataques de crimen organizado o de bancos del estado nacional, de los cuales no solo están tratando de entrar y robar el dinero, sino que quieren obtener la mayor cantidad de datos posible. Por lo tanto, son el tipo de hacks en los que la gente se sienta en las redes durante al menos seis meses y más.

» Uno de los mayores problemas al transferir datos es que las personas aún los envían a través de un correo electrónico normal. En su mente, lo están enviando desde su correo electrónico y la única persona que lo verá es la otra persona en el otro extremo de ese correo electrónico. Si su bandeja de entrada de correo electrónico está comprometida, es posible que no tenga ni idea, y alguien podría estar viendo cada correo electrónico que está enviando. Otra cosa a tener en cuenta es que los correos electrónicos por defecto no tienen ningún cifrado en ellos, lo que significa que cualquier persona que pueda comprometer la conexión en el medio y ver el flujo de tráfico, por lo que tomaría mucho esfuerzo hacer algo así, si alguien está en la misma red wifi, si alguien puede interceptar datos en tránsito a través del cable, será completamente capaz de leer todo el contenido de ese correo electrónico sin ningún tipo de molestia.

» Una de las cosas que debe implementarse es el cifrado obligatorio al enviar datos. Sé que el gobierno del Reino Unido utiliza un esquema de clasificación de datos: hay clientes confidenciales, oficiales, esenciales, sensibles, de alto secreto, etc. Y hay pautas sobre cómo se debe manejar cada uno de ellos.»

Ir de phishing

Las empresas de servicios financieros siguen siendo las más atacadas por los hackers debido a los datos críticos que poseen, dice Mabbitt. Pero la falta de conciencia de los empleados y la seguridad física de los edificios siguen siendo los dos mayores escollos en la seguridad de las empresas.

«Digo físico y la gente asume que James Bond escala sobre una valla, pero en esencia, la mayor parte del tiempo es simplemente pararse afuera en una zona de fumadores y seguir a alguien porque mantienen la puerta abierta para ti. La razón es que las personas son inherentemente agradables y quieren ayudar. Nadie quiere darse la vuelta y ser esa persona para decir, ‘ hola, ¿quién eres?’

» Una vez que haya gastado millones en sus funciones de seguridad y todas las cosas que la gente pone en la red y las bonitas cajas brillantes que compran para protegerlas, todo se va por el desagüe si alguien puede entrar en su edificio y conectarse a su red.

» El segundo escollo que vemos, que no se limita solo al sector financiero, será el conocimiento de los empleados, y cuando digo conocimiento de los empleados, me refiero a cosas como ataques de phishing. La razón es que sé que muchas compañías financieras invierten mucho en capacitar al personal para que no abra correos electrónicos, etc.

» Es muy fácil adaptar las cosas para que atraigan a la persona específica, por ejemplo, si sabemos que alguien trabaja en una sala de correo, podemos enviarle algo que parezca que es de una compañía de entrega conocida y podemos hacerlo de inmediato desde los que se usan comúnmente, como finanzas y CEOs, no nos acercaremos a ellos. O podemos enviar algo a Recursos Humanos con un CV falso.

» Pero el problema con el phishing y ataques similares es que los bancos y los empleados tienen que hacerlo bien cada vez, no introducir sus credenciales y no abrir documentos, mientras que un atacante solo tiene que hacerlo bien una vez.”

admin

Related Posts

物理地質学

enero 7, 2022

Fysisk Geologi

enero 7, 2022

물리적 지질학

enero 7, 2022

fysisk Geologi

enero 7, 2022

Geología física

enero 7, 2022

Géologie physique

enero 7, 2022

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *