selv om trusselen om cyberangrep er økende, bankene blir presset til å gå tilbake til det grunnleggende cybersecurity, ifølge en penetrasjon spesialist.
den 31. desember 2019 lanserte En gruppe hackere Kalt Sodinokibi et cyberangrep på Travelex-nettverket. Konsernet holdt valutaselskapet til løsepenger for £4.6 m The Telegraph rapporterte. Angrepet førte til forstyrrelser i Lloyds, Barclays og Royal Bank Of Scotland.
med ett cyberangrep som produserer ringvirkninger på tvers av finansielle tjenester, ønsket jeg å finne ut hvilke cybersikkerhetstrusler som er spesifikke for bransjen, så jeg hadde en samtale med Andrew Mabbitt, medstifter Og direktør, Fidus Information Security, ET britisk firma som spesialiserer seg på penetrasjonstesting.
for å utføre en penetrasjonstest er det viktig å vite størrelsen på banken, sier Mabbitt.
» det er noen ting som går ut av vinduet med en gang. Vanligvis vil den eksterne infrastrukturen, noe de er offentlig vert for, være relativt trygt. Igjen, banker bruker mye penger på sikkerhet, så straks du vet at vil ha blitt testet til døden og statistisk du ikke kommer til å finne noe stort der.
«Vi ville ikke engang bry å se på den fysiske sikkerheten til bankene fordi de har alle disse kameraene, de har mange ansatte, de har sikkerhetsvakter. Hva vi ville begynne å se på er, har de noen satellittkontorer? Har de et stort hovedkvarter? Vanligvis vil de ha mindre sikkerhet fordi de ikke vokter alle pengene, men hva prøver vi å oppnå her?
«vi prøver ikke å få tilgang til safeen og de store boltene i bankene, vi prøver å få tilgang til nettverket. Så hvor ville det svakeste punktet på nettverket være? Vanligvis er de enten i hovedkontorer hvor det er så mange mennesker, eller de er i satellittkontorer.
» når vi utfører fysisk engasjement, kan vi stå utenfor eller sitte i en lokal café selv og se folk som jobber for banken komme inn og ut. Vanligvis er de alltid iført de samme lanyards etc. Og hvis de er generiske som en rød snor, vi kan bare sette en rød snor under vår genser, gå å gå inn og vanligvis hvis noen ser en snor, de kommer til å stole på deg.
«den andre tingen vi vanligvis gjør er også film og ta bilder av folk hvis de jobber i banken og prøve å klone et merke. Så vel få et bilde, mock det opp i photoshop, skriv det ut på vårt eget merke, og så har vi det troverdige forsøket på å prøve å gå inn i bygningen og vårt merke fungerer ikke på skanneren og ber sikkerhet om å åpne den, fordi igjen folk vil hjelpe.
» hvis vi ikke kan gjøre innbruddet, vil vi se etter folk vi tror vi kan målrette, så vi går bort fra økonomi-teamet, vi går bort FRA IT-teamet og vi ser på folk som er i svært forskjellige slags roller som folk ikke ville anta ville bli målrettet i phishing-angrep hele tiden. Så folk i media for eksempel, ville du ikke forvente at de skulle være like målrettede som folk i økonomi-teamet, så vi ville prøve å utnytte det.»
ventespillet
i November 2018 varslet HSBC sine kunder om et datainnbrudd som hadde skjedd måneden før. En uautorisert pålogging gjorde noen kunders personlige opplysninger tilgjengelige.
men hvor lenge en hacker kan forbli uoppdaget, avhenger helt av hva De prøver å oppnå, Sier Mabbitt.
» jeg vil vanligvis si at folkene som har talentet og støtten til å angripe en kritisk bank i et land, kommer til å være ganske sofistikerte. Du forventer at de skal være på et høyt nivå av organisert kriminalitet eller national state bank angrep som de ikke bare prøver å komme inn og stjele penger, de ønsker å få så mye data som mulig. Så, de er den slags hacks hvor folk vil sitte på nettverk i minst seks måneder og over.
» en av de største problemene ved overføring av data er folk fortsatt sende den over en vanlig e-post. I deres sinn de sender det fra sin e-post og den eneste andre personen som kommer til å se det er den andre personen i den andre enden av e-posten. Hvis innboksen din er kompromittert, kan du ha ingen anelse, og noen kan bare være å se hver eneste e-post som du sender. En annen ting å merke seg er at e-post som standard ikke har noen kryptering i dem som betyr at alle som er i stand til å kompromittere forbindelsen i midten, og se trafikkflyten – gitt at det ville ta mye arbeid å gjøre noe sånt-hvis noen er på samme wifi-nettverk, hvis noen kan fange opp data i transitt over ledningen, vil de helt kunne lese hele innholdet i den e-posten uten problemer i det hele tatt.
» en av tingene som må implementeres er obligatorisk kryptering når du sender data. JEG vet AT DEN BRITISKE regjeringen bruker en klassifiseringsordning på data – det er klient konfidensiell – offisiell, viktig, sensitiv, topphemmelig etc. Og det er pinne retningslinjer for hvordan hver av dem må håndteres.»
Går phishing
Finansielle tjenester bedrifter fortsette å være den mest tungt målrettet av hackere på grunn av de kritiske dataene de holder, sier Mabbitt. Men mangel på ansattes bevissthet og den fysiske bygningssikkerheten fortsetter å være de to største fallgruvene i bedriftenes sikkerhet.
» jeg sier fysisk og folk antar At James Bond skalerer over et gjerde, men i hovedsak mye av tiden står det bare ute i et røykeområde og følger noen inn fordi de holder døren åpen for deg. Årsaken er at folk er iboende hyggelige og ønsker å hjelpe. Ingen ønsker å snu og være den personen til å si, ‘hei, hvem er du?’
» når du har brukt millioner på sikkerhetsfunksjonene dine og alle de tingene som folk legger på nettverket og de fine skinnende boksene de kjøper for å beskytte dem, går alt ned i avløpet hvis noen bare kan gå inn i bygningen og koble til nettverket ditt.
«den andre fallgruven som vi ser som ikke bare er begrenset til finanssektoren, vil være ansattes bevissthet, og når jeg sier ansattes bevissthet, mener jeg ting som phishing-angrep. Årsaken er at jeg vet at mange finansielle selskaper investerer mye i å trene ansatte for ikke å åpne e-post etc.
«det er veldig enkelt å skreddersy ting for å appellere til den bestemte personen, for eksempel hvis vi vet at noen jobber i et postrom, kan vi sende dem noe som ser ut som det er fra et kjent leveringsselskap, og vi kan straks fra de ofte nevnte som brukes som økonomi og Administrerende Direktører-vi vil ikke gå i nærheten av dem. Eller vi kan sende NOE TIL HR med en falsk CV.
«men problemet med phishing og lignende angrep er at bankene og ansatte må få det riktig hver eneste gang – ikke angi legitimasjonen, og ikke åpne dokumenter, mens en angriper bare må få det riktig en gang.”