även om hotet om cyberattacker ökar, drivs bankerna för att gå tillbaka till grunderna för cybersäkerhet, enligt en penetrationsspecialist.

den 31 December 2019 lanserade en grupp hackare som heter Sodinokibi en cyberattack på Travelex-nätverket. Gruppen höll valutabolaget för att lösen för 6,6 miljoner euro som telegrafen rapporterade. Attacken fortsatte att orsaka störningar vid Lloyds, Barclays och Royal Bank of Scotland.

med en cyberattack som producerar en krusningseffekt över finansiella tjänster ville jag ta reda på vilka cybersäkerhetshot som är specifika för branschen så jag hade ett samtal med Andrew Mabbitt, medgrundare och chef, Fidus Information Security, ett brittiskt företag som specialiserat sig på penetrationstestning.

för att utföra ett penetrationstest är det viktigt att veta bankens storlek, säger Mabbitt.

”det finns några saker som går ut genom fönstret direkt. Typiskt, den externa infrastrukturen, allt de är offentligt värd vanligtvis kommer att vara relativt säker. Återigen spenderar bankerna mycket pengar på säkerhet, så genast vet du att det kommer att ha testats till döds och statistiskt sett kommer du inte att hitta något stort där.

” vi skulle inte ens bry oss om att titta på bankernas fysiska säkerhet eftersom de har alla dessa kameror, de har mycket personal, de har säkerhetsvakter. Vad vi skulle börja titta på är, har de några satellitkontor? Har de ett stort huvudkontor? Vanligtvis kommer de att ha mindre säkerhet eftersom de inte bevakar alla pengar, men vad försöker vi uppnå här?

” vi försöker inte få tillgång till kassaskåpet och de stora bultarna i bankerna, vi försöker få tillgång till nätverket. Så var skulle den svagaste punkten i nätverket vara? Vanligtvis är de antingen i huvudkontor där det finns så många människor, eller de är i satellitkontor.

” när vi utför fysiskt engagemang kan vi stå utanför eller sitta i en lokal caf, även om vi ser människor som arbetar för banken komma in och ut. Vanligtvis bär de alltid samma nyckelband etc. Och om de är generiska som en röd snodd, vi kan bara sätta en röd snodd under vår bygel, gå och gå in och vanligtvis om någon ser en snodd, de kommer att lita på dig.

” det andra vi brukar göra är också att filma och ta bilder av människor om de arbetar på banken och försöker klona ett märke. Så väl få en bild, spotta upp den i photoshop, skriva ut den på vår egen badge och sedan har vi rimliga försök att försöka gå in i byggnaden och vår badge inte arbetar på skannern och be säkerhet för att öppna den, eftersom igen folk vill hjälpa.

” om vi inte kan göra pausen i vi kommer att leta efter människor som vi tror att vi kan rikta, så vi avviker från finansteamet, vi avviker från IT-teamet och vi tittar på människor som är i mycket olika typer av roller som människor inte skulle anta skulle vara riktade i phishing-attacker hela tiden. Så människor i media till exempel, Du skulle inte förvänta dem att vara lika riktade som människor i finansteamet, så vi skulle försöka utnyttja det.”

det väntande spelet

I November 2018 meddelade HSBC sina kunder ett dataintrång som hade inträffat månaden innan. En obehörig inloggning lämnade vissa kunders personuppgifter tillgängliga.

men hur länge en hackare kan förbli oupptäckt beror helt på vad de försöker uppnå, säger Mabbitt.

” jag skulle vanligtvis säga att de människor som har talang och stöd för att attackera en kritisk bank i ett land kommer att bli ganska sofistikerade. Du förväntar dig att de befinner sig på en hög nivå av organiserad brottslighet eller National State bank-attacker som de inte bara försöker komma in och stjäla pengarna, de vill få så mycket data som möjligt. Så, de är den typ av hack där människor kommer att sitta på nätverk i minst sex månader och uppåt.

” ett av de största problemen vid överföring av data är att människor fortfarande skickar det via ett normalt e-postmeddelande. I deras sinne skickar de det från sin e-post och den enda andra personen som kommer att se det är den andra personen i andra änden av det e-postmeddelandet. Om din e-postinkorg äventyras kanske du inte har någon aning, och någon kan bara titta på varje enskilt e-postmeddelande som du skickar. En annan sak att notera är e-postmeddelanden som standard inte har någon kryptering i dem som innebär att alla som kan kompromissa anslutningen i mitten, och titta på trafikflödet – beviljas det skulle ta en hel del ansträngning för att göra något liknande – om någon är på samma wifi-nätverk, om någon kan avlyssna data i transit över tråden, de kommer helt att kunna läsa hela innehållet i det e-post utan krångel alls.

” en av de saker som behöver implementeras är obligatorisk kryptering när data skickas. Jag vet att den brittiska regeringen använder ett klassificeringssystem på data – Det finns klient konfidentiell, officiell, väsentlig, känslig, topphemlig etc. Och det finns stick riktlinjer för hur var och en av dem måste hanteras.”

Going phishing

finansiella tjänster företag fortsätter att vara den mest riktade av hackare på grund av de kritiska data de håller, säger Mabbitt. Men bristen på anställdas medvetenhet och den fysiska byggsäkerheten fortsätter att vara de två största fallgroparna i företagens säkerhet.

” jag säger fysiskt och folk antar att James Bond skalar över ett staket, men i huvudsak står det bara ute i ett rökområde och följer någon In eftersom de håller dörren öppen för dig. Anledningen till att människor är i sig trevliga och vill hjälpa. Ingen vill vända sig om och vara den personen att säga, ’ hej, vem är du?’

”när du har spenderat miljoner på dina säkerhetsfunktioner och alla saker som människor lägger på nätverket och de fina glänsande lådorna de köper för att skydda dem, går allt ner i avloppet om någon bara kan gå in i din byggnad och ansluta till ditt nätverk.

” den andra fallgropen som vi ser som inte bara är begränsad till finanssektorn kommer att vara medarbetarnas medvetenhet, och när jag säger medarbetarnas medvetenhet menar jag saker som phishing-attacker. Anledningen är att jag vet att många finansiella företag investerar mycket i utbildning av personal för att inte öppna e-postmeddelanden etc.

” det är väldigt lätt att skräddarsy saker för att vädja till den specifika personen, till exempel om vi vet att någon arbetar i ett postrum kan vi skicka dem något som ser ut som det är från ett välkänt leveransföretag och vi kan genast från de allmänt nämnda som används som finans och VD-Vi kommer inte att gå nära dem. Eller så kan vi skicka något till HR med ett falskt CV.

”men problemet med phishing och liknande attacker är att bankerna och anställda måste få det rätt varje gång – inte ange sina referenser och inte öppna dokument, medan en angripare bara måste få det rätt en gång.”