Anche se la minaccia di attacchi informatici è in aumento, le banche vengono spinti a tornare alle basi della sicurezza informatica, secondo uno specialista di penetrazione.

Il 31 dicembre 2019 un gruppo di hacker chiamato Sodinokibi ha lanciato un attacco informatico sulla rete Travelex. Il gruppo ha tenuto la società di cambio a riscatto per £4.6 m il Telegraph ha riferito. L’attacco ha continuato a causare disagi a Lloyds, Barclays, e Royal Bank of Scotland.

Con un attacco informatico che produce un effetto a catena nei servizi finanziari, volevo scoprire quali minacce alla sicurezza informatica sono specifiche per il settore, quindi ho avuto una conversazione con Andrew Mabbitt, co-fondatore e direttore di Fidus Information Security, una società britannica specializzata in test di penetrazione.

Per effettuare un test di penetrazione, è importante conoscere le dimensioni della banca, dice Mabbitt.

“Ci sono alcune cose che vanno subito fuori dalla finestra. In genere, l’infrastruttura esterna, tutto ciò che di solito ospita pubblicamente, sarà relativamente sicura. Ancora una volta, le banche spendono un sacco di soldi per la sicurezza, così subito si sa che saranno stati testati a morte e statisticamente non si sta andando a trovare qualcosa di importante lì.

“Non ci preoccuperemmo nemmeno di guardare la sicurezza fisica delle banche perché hanno tutte quelle telecamere, hanno molto personale, hanno guardie di sicurezza. Quello che cominceremmo a vedere e’, hanno qualche ufficio satellitare? Hanno un grande quartier generale? In genere, avranno meno sicurezza perché non proteggono tutti i soldi, ma cosa stiamo cercando di ottenere qui?

“Non stiamo cercando di ottenere l’accesso alla cassaforte e ai grandi bulloni nelle banche, stiamo cercando di ottenere l’accesso alla rete. Quindi dove sarebbe il punto più debole della rete? In genere, si trovano negli uffici centrali dove ci sono così tante persone, o si trovano negli uffici satellitari.

“Quando stiamo conducendo un impegno fisico, possiamo stare fuori o sederci in un bar locale e guardare le persone che lavorano per la banca entrare ed uscire. In genere, indossano sempre gli stessi cordini ecc. E se sono generici come un cordino rosso, possiamo semplicemente mettere un cordino rosso sotto il nostro ponticello, andare a camminare e in genere se qualcuno vede un cordino, si fidano di te.

“L’altra cosa che facciamo di solito è anche filmare e scattare foto di persone se lavorano in banca e cercano di clonare un badge. Così bene ottenere una foto, prendere in giro in photoshop, stamparlo sul nostro badge e poi abbiamo il tentativo plausibile di cercare di entrare nell’edificio e il nostro badge non funziona sullo scanner e chiedere alla sicurezza di aprirlo, perché ancora una volta la gente vuole aiutare.

“Se non possiamo fare il break in cercheremo persone che pensiamo di poter prendere di mira, quindi ci allontaniamo dal team finanziario, ci allontaniamo dal team IT e guardiamo le persone che si trovano in ruoli molto diversi che la gente non assumerebbe sarebbero presi di mira in attacchi di phishing per tutto il tempo. Quindi le persone nei media, ad esempio, non ci si aspetterebbe che siano mirate come le persone nel team finanziario, quindi proveremmo a sfruttarlo.”

The waiting game

Nel novembre 2018, HSBC ha notificato ai propri clienti una violazione dei dati avvenuta il mese precedente. Un accesso non autorizzato ha reso accessibili le informazioni personali di alcuni clienti.

Ma per quanto tempo un hacker può rimanere inosservato dipende completamente da ciò che stanno cercando di ottenere, dice Mabbitt.

“Direi che di solito le persone che hanno il talento e il sostegno per attaccare una banca critica in un paese saranno piuttosto sofisticate. Ci si aspetterebbe che si trovino ad un alto livello di criminalità organizzata o di attacchi alle banche di stati nazionali di cui non stanno solo cercando di entrare e rubare il denaro, vogliono ottenere il maggior numero di dati possibile. Quindi, sono il tipo di hack in cui le persone si siederanno sulle reti per almeno sei mesi e oltre.

“Uno dei maggiori problemi durante il trasferimento dei dati è che le persone lo inviano ancora tramite una normale e-mail. Nella loro mente lo stanno inviando dalla loro e-mail e l’unica altra persona che sta per vedere che è l’altra persona dall’altra parte di quella e-mail. Se la tua casella di posta elettronica è compromessa, potresti non averne idea e qualcuno potrebbe semplicemente guardare ogni singola email che stai inviando. Un’altra cosa da notare è e-mail di default non hanno alcuna crittografia in loro che significa che chiunque sia in grado di compromettere la connessione nel mezzo, e guardare il flusso di traffico – concesso ci vorrebbe un grande sforzo per fare qualcosa di simile – se qualcuno è sulla stessa rete wifi, se qualcuno può intercettare i dati in transito sul filo, saranno completamente in grado di leggere l’intero contenuto di quella e-mail senza alcun problema a tutti.

“Una delle cose che devono essere implementate è la crittografia obbligatoria quando si inviano dati. So che il governo del Regno Unito utilizza uno schema di classificazione sui dati: esiste un client confidenziale, ufficiale, essenziale, sensibile, top secret ecc. E ci sono linee guida bastone su come ciascuno di essi deve essere gestito.”

Andare phishing

Società di servizi finanziari continuano ad essere il più pesantemente preso di mira dagli hacker a causa dei dati critici che detengono, dice Mabbitt. Ma la mancanza di consapevolezza dei dipendenti e la sicurezza fisica degli edifici continuano ad essere le due maggiori insidie nella sicurezza delle imprese.

“Dico fisico e la gente assume il ridimensionamento di James Bond su una recinzione, ma in sostanza un sacco di tempo è solo in piedi fuori in un’area fumatori e seguendo qualcuno perché tengono la porta aperta per te. Il motivo per cui le persone sono intrinsecamente belle e vogliono aiutare. Nessuno vuole girarsi ed essere quella persona per dire, ‘ ciao, chi sei?’

“Una volta che hai speso milioni per le tue funzionalità di sicurezza e tutte le cose che le persone mettono in rete e le belle scatole lucide che acquistano per proteggerle, tutto va in malora se qualcuno può semplicemente entrare nel tuo edificio e collegarsi alla tua rete.

“La seconda trappola che vediamo che non è solo limitata al settore finanziario sarà la consapevolezza dei dipendenti, e quando dico consapevolezza dei dipendenti, intendo cose come gli attacchi di phishing. Il motivo è che so che molte società finanziarie investono molto nella formazione del personale per non aprire le e-mail, ecc.

“È molto facile adattare le cose alla persona specifica, ad esempio se sappiamo che qualcuno lavora in una mailroom possiamo inviare loro qualcosa che sembra provenire da una nota azienda di consegna e possiamo immediatamente da quelli comunemente menzionati utilizzati come finanza e CEO-non ci avvicineremo a quelli. Oppure possiamo inviare qualcosa alle risorse umane con un CV falso.

“Ma il problema con il phishing e attacchi simili è che le banche e i dipendenti devono farlo bene ogni volta – non inserire le proprie credenziali e non aprire i documenti, mentre un utente malintenzionato deve farlo solo una volta.”