bár a kibertámadások veszélye növekszik, a bankokat arra kényszerítik, hogy térjenek vissza a kiberbiztonság alapjaihoz, egy penetrációs szakember szerint.

2019.December 31-én a Sodinokibi nevű hackerek egy csoportja kibertámadást indított a Travelex hálózaton. A csoport 4,6 millió fontért váltságdíjat kért a Devizavállalattól-számolt be a Telegraph. A támadás a Lloyds, a Barclays és a Royal Bank Of Scotland területén is fennakadásokat okozott.

egy kibertámadással, amely hullámzó hatást fejt ki a pénzügyi szolgáltatásokra, meg akartam tudni, hogy milyen kiberbiztonsági fenyegetések specifikusak az iparágra, ezért beszéltem Andrew Mabbitt-rel, a Fidus Information Security társalapítójával és igazgatójával, egy brit céggel, amely a penetrációs tesztelésre szakosodott.

penetrációs teszt elvégzéséhez fontos tudni a bank méretét, mondja Mabbitt.

” van néhány dolog, hogy menjen ki az ablakon azonnal. Általában a külső infrastruktúra, bármi, amit nyilvánosan fogadnak, általában viszonylag biztonságos lesz. A bankok ismét sok pénzt költenek a biztonságra, így azonnal tudják, hogy ezt halálra tesztelték, és statisztikailag nem találnak ott semmi fontosat.

” még a bankok fizikai biztonságát sem zavarnánk, mert mindegyik kamerájuk van, sok személyzetük van, biztonsági őrük van. Amit elkezdenénk vizsgálni, hogy van-e műholdas irodájuk? Van egy nagy központjuk? Jellemzően kevesebb biztonságuk lesz, mert nem őrzik az összes pénzt, de mit próbálunk elérni itt?

” nem próbálunk hozzáférni a széfhez és a nagy csavarokhoz a bankokban, megpróbálunk hozzáférni a hálózathoz. Tehát hol lenne a hálózat leggyengébb pontja? Általában vagy a központi irodákban vannak, ahol olyan sok ember van, vagy műholdas irodákban vannak.

” amikor fizikai elkötelezettséget végzünk, akkor kint állhatunk, vagy ülhetünk egy helyi kávézóban, sőt figyelhetjük, hogy a banknál dolgozó emberek jönnek-mennek. Általában mindig ugyanazokat a rögzítőket viselik stb. És ha olyan általánosak, mint egy piros nyakpánt, akkor csak egy piros nyakpántot helyezhetünk az ugrónk alá, bemehetünk, és általában, ha valaki meglátja a nyakpántot, akkor megbíznak benned.

” a másik dolog, amit általában csinálunk, az is, hogy filmezzük és fényképezzük az embereket, ha a bankban dolgoznak, és megpróbálunk klónozni egy jelvényt. Szóval szerezz egy képet, gúnyolódj a Photoshopban, nyomtasd ki a saját jelvényünkre, aztán megpróbálunk bemenni az épületbe, és a jelvényünk nem működik a szkenneren, és megkérjük a biztonságiakat, hogy nyissák ki, mert megint az emberek segíteni akarnak.

“, Ha nem tudunk a szünet lesz az emberek azt hisszük, hogy lehet cél, így kóbor a pénzügyi csoport, kóbor a csapat, majd megnézzük, hogy az emberek, akik nagyon különböző fajta szerepek, hogy az emberek nem feltételezem lenne célzott adathalász támadások minden alkalommal. Így például a médiában az emberek nem várnák el, hogy olyan célpontok legyenek, mint a pénzügyi csapat emberei, ezért megpróbáljuk kihasználni ezt.”

a várakozó játék

2018 novemberében a HSBC értesítette ügyfeleit egy olyan adatszegésről, amely az előző hónapban történt. A jogosulatlan bejelentkezés egyes ügyfelek személyes adatait hozzáférhetővé tette.

de az, hogy mennyi ideig maradhat észrevétlenül egy hacker, teljesen attól függ, hogy mit próbálnak elérni-mondja Mabbitt.

” azt mondanám, hogy általában azok az emberek, akiknek van tehetségük és támogatásuk egy ország kritikus bankjának megtámadására, meglehetősen kifinomultak lesznek. Azt várná el tőlük, hogy a szervezett bűnözés vagy a nemzetállami banki támadások magas szintjén legyenek, amelyek nem csak a pénzt próbálják megszerezni és ellopni, hanem a lehető legtöbb adatot akarják megszerezni. Tehát ezek olyan hackek, ahol az emberek legalább hat hónapig vagy annál hosszabb ideig ülnek a hálózatokon.

” az adatátvitel egyik legnagyobb problémája az, hogy az emberek továbbra is elküldik egy normál e-mailen. Az ő elméjükben küldik el az e-mail, az egyetlen másik személy, aki fogja látni, hogy a másik személy a másik végén, hogy az e-mail. Ha az e-mail postafiókja veszélybe kerül, lehet, hogy fogalma sincs, és valaki csak figyeli minden egyes e-mailt, amit küld. A másik dolog, hogy vegye figyelembe az e-maileket, alapértelmezés szerint nincs titkosítás, ami azt jelenti, hogy bárki, aki képes arra, hogy a kompromisszum a kapcsolatot a középső, figyeld meg a forgalom – nyújtott egy sok erőfeszítést tenni valamit, mint, hogy – ha valaki ugyanazon a wifi hálózat, ha bárki elfoghatja adatok árutovábbítási a vezeték, akkor teljesen képes lesz olvasni, hogy teljes tartalmát az e-mail szóváltás nélkül egyáltalán.

” az egyik végrehajtandó dolog az adatok küldésekor kötelező titkosítás. Tudom, hogy az Egyesült Királyság kormánya osztályozási rendszert használ az adatokra – van ügyfél bizalmas, hivatalos, alapvető, érzékeny, szigorúan titkos stb. És vannak útmutatások arra vonatkozóan, hogyan kell kezelni őket.”

adathalászat

A pénzügyi szolgáltató cégek továbbra is a hackerek által leginkább célzott, az általuk tárolt kritikus adatok miatt-mondja Mabbitt. De a munkavállalói tudatosság hiánya és a fizikai épületbiztonság továbbra is a cégek biztonságának két legnagyobb buktatója.

” azt mondom, a fizikai és az emberek feltételezik, James Bond méretezés egy kerítés, de lényegében egy csomó időt, hogy csak állt kívül egy dohányzó területen, és követi valakit, mert tartsa nyitva az ajtót az Ön számára. Az ok, hogy az emberek természetüknél fogva kedvesek és segíteni akarnak. Senki sem akar megfordulni, hogy az a személy, hogy azt mondják, ” Szia, ki vagy te?’

“, ha Egyszer már milliókat a biztonsági funkciókat, valamint a dolgokat, hogy az emberek a hálózaton, illetve a szép fényes dobozok veszik, hogy megvédje őket, minden megy a lefolyóba, ha valaki tud bejutni az épületbe, majd csatlakoztassa a hálózathoz.

” a második bukás, amelyet látunk, amely nem csak a pénzügyi szektorra korlátozódik, munkavállalói tudatosság lesz, és amikor azt mondom, hogy a munkavállalói tudatosság, olyan dolgokra gondolok, mint az adathalász támadások. Ennek oka, hogy tudom, hogy sok pénzügyi vállalat sokat fektet be a képzési személyzetbe, hogy ne nyisson e-maileket stb.

“nagyon könnyű alakítani a dolgokat, hogy fellebbezni a konkrét személy, például, ha tudjuk, hogy valaki dolgozik, a postázóban küldhetünk nekik valamit, ami úgy néz ki, mintha egy jól ismert szállító cég, mi pedig azonnal a leggyakrabban említett azok használják, mint a pénzügyi Vezérigazgató – nem megyünk közel azokat. Vagy küldhetünk valamit a HR-nek egy hamis önéletrajzzal.

” de a probléma adathalász és hasonló támadások a bankok és a munkavállalók, hogy ez jobb minden egyes alkalommal – nem adja meg a hitelesítő, és nem nyitott dokumentumok, míg a támadó csak, hogy ez jobb egyszer.”