vaikka kyberhyökkäysten uhka kasvaa, pankkeja patistetaan tunkeutumisasiantuntijan mukaan palaamaan kyberturvallisuuden perusasioihin.

31.joulukuuta 2019 ryhmä hakkereita nimeltä Sodinokibi käynnisti kyberhyökkäyksen Travelex-verkkoon. Ryhmä vaati valuuttayhtiöltä 4,6 miljoonan punnan lunnaita The Telegraph-lehden mukaan. Hyökkäys aiheutti häiriöitä Lloydsissa, Barclaysissa ja Royal Bank of Scotlandissa.

yhden kyberhyökkäyksen tuottaessa heijastusvaikutuksen rahoituspalveluihin, halusin selvittää, mitkä kyberturvallisuusuhat ovat erityisiä alalle, joten keskustelin Andrew Mabbittin kanssa, joka on perustajajäsen ja johtaja, Fidus Information Security, brittiläinen yritys, joka on erikoistunut levinneisyystestaukseen.

penetraatiotestin suorittamiseksi on tärkeää tietää pankin koko, Mabbitt sanoo.

”muutama asia menee heti ikkunasta ulos. Tyypillisesti ulkoinen infrastruktuuri, kaikki ne ovat julkisesti hosting yleensä tulee olemaan suhteellisen turvallinen. Jälleen, pankit käyttävät paljon rahaa turvallisuuteen, joten heti tiedät, että se on testattu kuoliaaksi ja tilastollisesti et tule löytämään mitään suurta sieltä.

”emme viitsisi edes katsoa pankkien fyysistä turvallisuutta, koska niissä on kaikki ne kamerat, niissä on paljon henkilökuntaa, niissä on turvamiehiä. Alkaisimme tutkia, onko heillä satelliittitoimistoja. Onko heillä iso päämaja? Yleensä heillä on vähemmän turvallisuutta, koska he eivät vartioi kaikkia rahoja, mutta mitä me yritämme saavuttaa?

”emme yritä päästä käsiksi pankkien kassakaappiin ja isoihin pultteihin, vaan verkkoon. Missä olisi verkon heikoin kohta? Tyypillisesti ne ovat joko pääkonttoreissa, joissa on niin paljon ihmisiä, tai ne ovat satelliittitoimistoissa.

”kun teemme fyysistä sitoutumista, voimme seistä ulkona tai istua jopa paikallisessa kahvilassa ja katsella, kun Pankin palveluksessa olevat ihmiset tulevat sisään ja ulos. Tyypillisesti niillä on aina samat kaulanauhat jne. Ja jos ne ovat yleisiä, kuten punainen kaulanauha, voimme vain laittaa punaisen kaulanauhan kirpun alle, mennä kävelemään sisään ja Yleensä Jos joku näkee kaulanauhan, he luottavat sinuun.

”yleensä myös kuvaamme ja otamme kuvia ihmisistä, jotka työskentelevät pankissa ja yrittävät kloonata virkamerkin. Joten no ota kuva, kopioi se Photoshopilla, tulosta se omalle virkamerkkillemme ja sitten meillä on uskottava yritys yrittää kävellä rakennukseen ja meidän virkamerkkimme ei toimi skannerissa ja pyytää vartijoita avaamaan se, koska taas ihmiset haluavat auttaa.

”If we can’ t do the break in we will look for people we think we can target, so we stay from the finance team, we stay from the IT team and we look at people who are very different role that people wouldn ’ t oleta would be objected in phishing attacks all time. Joten ihmiset esimerkiksi mediassa, et odottaisi heidän olevan yhtä kohdennettuja kuin ihmiset finanssitiimissä, joten yrittäisimme hyödyntää sitä.”

odotuspeli

marraskuussa 2018 HSBC ilmoitti asiakkailleen tietomurrosta, joka oli tapahtunut kuukautta aiemmin. Luvaton sisäänkirjautuminen jätti joidenkin asiakkaiden henkilötietoja saataville.

mutta se, kuinka kauan hakkeri voi pysyä huomaamattomana, riippuu täysin siitä, mitä he yrittävät saavuttaa, Mabbitt sanoo.

”sanoisin, että yleensä ihmiset, joilla on kykyä ja tukea hyökätä maan kriittiseen pankkiin, tulevat olemaan varsin sivistyneitä. Luulisi, että ne ovat järjestäytyneen rikollisuuden tai kansallisvaltioiden pankkihyökkäysten korkealla tasolla ja että ne eivät vain yritä päästä sisään ja varastaa rahaa, vaan haluavat saada mahdollisimman paljon tietoa. Ne ovat siis sellaisia hakkerointeja, joissa ihmiset istuvat verkoissa vähintään puoli vuotta ja enemmänkin.

”yksi suurimmista ongelmista dataa siirrettäessä on se, että ihmiset lähettävät sitä edelleen normaalin sähköpostin välityksellä. Heidän mielessään he lähettävät sen sähköpostistaan ja ainoa toinen henkilö, joka tulee näkemään sen, on toinen henkilö tuon sähköpostin toisessa päässä. Jos sähköpostisi on vaarantunut, sinulla ei ehkä ole aavistustakaan, ja joku voisi vain katsella joka ikinen Sähköposti, että lähetät. Toinen asia huomata on sähköpostit oletusarvoisesti ei ole mitään salausta niitä, joka tarkoittaa kuka tahansa, joka pystyy vaarantamaan yhteyden keskellä, ja katsella liikenteen virtaus – myönnettäköön, että se vaatisi paljon vaivaa tehdä jotain – jos joku on samassa wifi-verkossa, jos joku voi siepata tietoja kauttakuljetuksessa Lanka, he täysin voi lukea, että koko sisältö kyseisen sähköpostin ilman mitään vaivaa ollenkaan.

”yksi toteutettavista asioista on pakollinen salaus dataa lähetettäessä. Tiedän, että Yhdistyneen kuningaskunnan hallitus käyttää tietojen luokittelujärjestelmää-on asiakkaiden luottamuksellisia, virallisia, olennaisia, arkaluonteisia, huippusalaisia jne. Ja on keppiohjeita siitä, miten kukin niistä pitää hoitaa.”

Going phishing

rahoituspalveluyritykset ovat edelleen eniten hakkereiden kohteena niiden hallussa olevan kriittisen datan vuoksi, Mabbitt sanoo. Työntekijöiden tunnettuuden puute ja rakennuksen fyysinen turvallisuus ovat kuitenkin edelleen kaksi suurinta sudenkuoppaa yritysten turvallisuudessa.

”sanon fyysinen ja ihmiset olettavat James Bondin skaalautuvan aidan yli, mutta pohjimmiltaan suuren osan ajasta se vain seisoo ulkona tupakointialueella ja seuraa jotakuta sisään, koska he pitävät ovea auki sinulle. Syy siihen, että ihmiset ovat luonnostaan mukavia ja haluavat auttaa. Kukaan ei halua kääntyä ja olla se henkilö, joka sanoo: ’Hei, kuka sinä olet?”

”kun on käyttänyt miljoonia tietoturvaominaisuuksiinsa ja kaikkeen siihen, mitä ihmiset laittavat verkkoon, ja kivoihin kiiltäviin laatikoihin, joita he ostavat suojellakseen heitä, kaikki menee hukkaan, jos joku voi vain kävellä rakennukseesi ja kytkeä verkkoosi.

”toinen sudenkuoppa, jonka näemme, joka ei rajoitu vain finanssisektorille, on työntekijöiden tietoisuus, ja kun sanon työntekijöiden tietoisuus, tarkoitan asioita, kuten tietojenkalasteluhyökkäyksiä. Syy on tiedän paljon rahoitusalan yritykset investoivat paljon koulutukseen henkilöstön ei avata sähköposteja jne.

”on erittäin helppo räätälöidä asioita, jotka vetoavat tiettyyn henkilöön, kuten Jos tiedämme, että joku työskentelee postitushuoneessa, voimme lähettää heille jotain, joka näyttää olevan tunnetulta postitusliikkeeltä, ja voimme heti lähteä yleisesti mainituista, joita käytetään, kuten rahoitus-ja Toimitusjohtajat – emme mene lähellekään niitä. Tai voimme lähettää HR: lle jotain väärennetyllä CV: llä.

”mutta ongelma tietojenkalastelussa ja vastaavissa hyökkäyksissä on se, että pankkien ja työntekijöiden täytyy saada se oikein joka ikinen kerta – ei syöttää tunnuksiaan, eikä avata asiakirjoja, kun taas hyökkääjän täytyy saada se oikein vain kerran.”