hoewel de dreiging van cyberaanvallen toeneemt, worden banken gedwongen om terug te gaan naar de basisprincipes van cybersecurity, volgens een penetratiespecialist.

Op 31 December 2019 lanceerde een groep hackers, Sodinokibi, een cyberaanval op het Travelex-netwerk. De groep hield de foreign exchange company om losgeld voor £ 4,6 m De Telegraaf gemeld. De aanval leidde tot verstoring bij Lloyds, Barclays en Royal Bank of Scotland.

met een cyberaanval die een rimpeleffect teweegbrengt in de financiële diensten, wilde ik weten welke cybersecurity-bedreigingen specifiek zijn voor de industrie, dus ik had een gesprek met Andrew Mabbitt, medeoprichter en directeur, Fidus Information Security, een Britse firma die gespecialiseerd is in penetratietesten.

om een penetratietest uit te voeren, is het belangrijk om de grootte van de bank te weten, zegt Mabbitt.

” er zijn een paar dingen die direct uit het venster gaan. Typisch, de externe infrastructuur, alles wat ze publiekelijk hosten meestal gaat relatief veilig zijn. Nogmaals, banken geven veel geld uit aan beveiliging, dus meteen Weet je dat dat tot de dood is getest en statistisch gezien ga je daar niets belangrijks vinden.

“we zouden niet eens de moeite nemen om naar de fysieke beveiliging van de banken te kijken omdat ze al die camera’ s hebben, ze hebben veel personeel, Ze hebben bewakers. Waar we naar zouden gaan kijken is, hebben ze satellietkantoren? Hebben ze een groot hoofdkwartier? Meestal zullen ze minder zekerheid hebben omdat ze niet al het geld bewaken, maar wat proberen we hier te bereiken?

“we proberen Geen toegang te krijgen tot de kluis en de grote bouten in de banken, we proberen toegang te krijgen tot het netwerk. Dus waar zou het zwakste punt op het netwerk zijn? Meestal, ze zijn ofwel in het hoofdkantoor waar er zo veel mensen, of ze zijn in satellietkantoren.

” wanneer we fysieke betrokkenheid uitvoeren, kunnen we buiten staan of zelfs in een lokaal café zitten en mensen die voor de bank werken in en uit zien komen. Meestal dragen ze altijd dezelfde lanyards enz. En als ze generiek zijn als een Rood koord, kunnen we gewoon een Rood koord onder onze jumper leggen, naar binnen gaan en als iemand een koord ziet, zullen ze je vertrouwen.

“het andere wat we meestal doen is ook filmen en foto’ s maken van mensen die bij de bank werken en proberen een badge te klonen. Dus maak een foto, maak het in photoshop, print het op onze eigen badge en dan hebben we de plausibele poging om het gebouw binnen te lopen en onze badge werkt niet aan de scanner en vraagt de beveiliging om het te openen, want weer willen mensen helpen.

” Als we de break in niet kunnen doen zullen we op zoek gaan naar mensen die we denken te kunnen richten, dus we dwalen af van het financiële team, we dwalen af van het IT-team en we kijken naar mensen die in zeer verschillende soorten rollen die mensen niet zouden aannemen zou worden gericht in phishing-aanvallen de hele tijd. Mensen in de media bijvoorbeeld, je zou niet verwachten dat ze zo doelgericht zijn als mensen in het financiële team, dus we zouden proberen dat uit te buiten.”

the waiting game

In November 2018 heeft HSBC haar klanten op de hoogte gebracht van een datalek die zich de maand ervoor had voorgedaan. Een ongeautoriseerde login liet de persoonlijke gegevens van sommige klanten toegankelijk.

maar hoe lang een hacker onopgemerkt kan blijven hangt volledig af van wat ze proberen te bereiken, zegt Mabbitt.

” ik zou zeggen dat meestal de mensen die het talent en de steun hebben om een kritieke bank in een land aan te vallen, behoorlijk geavanceerd zullen zijn. Je zou verwachten dat ze op een hoog niveau van georganiseerde misdaad of natiestaat bank aanvallen waarvan ze niet alleen proberen binnen te komen en het geld te stelen, ze willen zoveel mogelijk gegevens te krijgen. Dus, ze zijn het soort hacks waar mensen zullen zitten op netwerken voor ten minste zes maanden en meer.

” een van de grootste problemen bij het overbrengen van gegevens is dat mensen het nog steeds via een normale e-mail versturen. In hun gedachten sturen ze het vanuit hun e-mail en de enige andere persoon die dat gaat zien is de andere persoon aan de andere kant van die e-mail. Als uw e-mail inbox is gecompromitteerd, je misschien geen idee, en iemand kan gewoon kijken naar elke e-mail die u verzendt. Een ander ding om op te merken is e – mails standaard geen encryptie in hen dat betekent dat iedereen die in staat is om de verbinding in het midden compromitteren, en kijken naar de verkeersstroom – toegegeven zou het veel moeite om iets als dat te doen-als iemand op hetzelfde wifi-netwerk, als iemand kan onderscheppen van gegevens in doorvoer via de draad, zullen ze volledig in staat zijn om te lezen dat de volledige inhoud van die e-mail zonder enige moeite op alle.

” een van de dingen die moet worden geïmplementeerd is verplichte versleuteling bij het verzenden van gegevens. Ik weet dat de Britse regering gebruik maakt van een classificatieschema voor gegevens – er is cliënt vertrouwelijk, officieel, essentieel, gevoelig, top secret etc. En er zijn stok richtlijnen over hoe elk van hen moet worden behandeld.”

Going phishing

financiële dienstverleners zijn nog steeds het meest doelwit van hackers vanwege de kritische gegevens die ze hebben, zegt Mabbitt. Maar een gebrek aan werknemersbewustzijn en de fysieke beveiliging van gebouwen blijven de twee grootste valkuilen in de beveiliging van bedrijven.

” Ik zeg fysiek en mensen nemen aan dat James Bond over een hek schaalt, maar in wezen is het vaak gewoon buiten in een rokersruimte staan en iemand volgen omdat ze de deur voor je open houden. De reden dat mensen inherent aardig zijn en willen helpen. Niemand wil zich omdraaien en die persoon zijn om te zeggen: ‘hallo, wie ben jij?’

“zodra je miljoenen hebt uitgegeven aan je beveiligingsfuncties en alle dingen die mensen op het netwerk zetten en de mooie glanzende dozen die ze kopen om ze te beschermen, gaat het allemaal verloren als iemand gewoon je gebouw in kan lopen en in je netwerk kan aansluiten.

” de tweede valkuil die we zien, die niet alleen beperkt is tot de financiële sector, zal werknemersbewustzijn zijn, en als Ik zeg werknemersbewustzijn, bedoel ik dingen zoals phishing-aanvallen. De reden is dat ik weet dat veel financiële bedrijven investeren veel in de opleiding van personeel niet om e-mails te openen etc.

“Het is heel gemakkelijk om dingen aan te passen aan de specifieke persoon, zoals als we weten dat iemand in een postkamer werkt, kunnen we ze iets sturen dat eruit ziet alsof het van een bekend bezorgbedrijf is en we kunnen meteen van de vaak genoemde worden gebruikt, zoals financiën en CEO’ s-we zullen niet in de buurt komen van die. Of we kunnen iets naar HR sturen met een nep CV.

” maar het probleem met phishing en soortgelijke aanvallen is dat banken en werknemers het elke keer goed moeten doen – niet hun referenties invoeren en geen documenten openen, terwijl een aanvaller het maar één keer goed moet doen.”