chociaż zagrożenie cyberatakami rośnie, banki są zmuszane do powrotu do podstaw cyberbezpieczeństwa, według specjalisty od penetracji.

31 grudnia 2019 roku grupa hakerów o nazwie Sodinokibi rozpoczęła cyberatak w sieci Travelex. Grupa utrzymała spółkę dewizową na okup za 4,6 mln funtów-poinformował Telegraph. Atak wywołał zamieszanie w Lloyds, Barclays i Royal Bank Of Scotland.

z jednym cyberatakiem wywołującym efekt falowania w usługach finansowych chciałem dowiedzieć się, jakie zagrożenia cyberbezpieczeństwa są specyficzne dla branży, więc odbyłem rozmowę z Andrew Mabbittem, współzałożycielem i dyrektorem Fidus Information Security, brytyjskiej firmy specjalizującej się w testach penetracyjnych.

aby przeprowadzić test penetracyjny, ważne jest, aby znać wielkość banku, mówi Mabbitt.

„jest kilka rzeczy, które od razu wychodzą przez okno. Zazwyczaj zewnętrzna infrastruktura, wszystko, co są publicznie hostowane, zwykle będzie stosunkowo bezpieczna. Ponownie, banki wydają dużo pieniędzy na bezpieczeństwo, więc od razu wiesz, że zostaną przetestowane na śmierć i statystycznie nie znajdziesz tam nic poważnego.

„nie zastanawialibyśmy się nawet nad fizyczną ochroną banków, ponieważ mają wszystkie te kamery, mają dużo pracowników, mają ochroniarzy. Zaczniemy od tego, czy mają jakieś biura satelitarne? Mają dużą siedzibę? Zazwyczaj będą mieli mniejsze bezpieczeństwo, ponieważ nie pilnują wszystkich pieniędzy, ale co staramy się tutaj osiągnąć?

„nie staramy się uzyskać dostępu do sejfu i dużych rygli w bankach, staramy się uzyskać dostęp do sieci. Więc gdzie byłby najsłabszy punkt w sieci? Zazwyczaj są one albo w centrali, gdzie jest tak wiele osób, albo są w biurach satelitarnych.

„kiedy prowadzimy fizyczne zaangażowanie, możemy stać na zewnątrz lub siedzieć w lokalnej kawiarni nawet i oglądać ludzi, którzy pracują dla banku przychodzą i wychodzą. Zazwyczaj zawsze noszą te same smycze itp. A jeśli są ogólne jak czerwona smycz, możemy po prostu umieścić czerwoną smycz pod naszym swetrem, wejść i zazwyczaj jeśli ktoś zobaczy smycz, będzie Ci ufał.

„inną rzeczą, którą zwykle robimy, jest również filmowanie i robienie zdjęć ludziom, którzy pracują w banku i próbują sklonować odznakę. Więc zróbmy zdjęcie, zróbcie makietę w Photoshopie, wydrukujcie na naszej plakietce, a potem mamy prawdopodobną próbę wejścia do budynku, a nasza plakietka nie działa na skanerze i nie prosi ochrony o jej otwarcie, bo znowu ludzie chcą pomóc.

„jeśli nie możemy zrobić przerwy, będziemy szukać ludzi, których myślimy, że możemy namierzyć, więc zbaczamy z zespołu finansów, zbaczamy z zespołu IT i patrzymy na ludzi, którzy pełnią bardzo różne role, których ludzie nie zakładają, że będą atakowani przez cały czas. Ludzie w mediach, na przykład, nie spodziewali się, że będą tak celowani jak ludzie w dziale finansowym, więc spróbowaliśmy to wykorzystać.”

gra oczekująca

w listopadzie 2018 r.HSBC powiadomiło swoich klientów o naruszeniu danych, które miało miejsce miesiąc wcześniej. Nieautoryzowane logowanie umożliwiło dostęp do danych osobowych niektórych klientów.

ale to, jak długo haker może pozostać niezauważony, zależy od tego, co chce osiągnąć, mówi Mabbitt.

„powiedziałbym, że zazwyczaj ludzie, którzy mają talent i wsparcie do ataku na krytyczny bank w kraju, będą dość wyrafinowani. Można by oczekiwać, że będą na wysokim poziomie przestępczości zorganizowanej lub ataków na banki państw narodowych, w których nie tylko próbują dostać się i ukraść pieniądze, ale chcą uzyskać jak najwięcej danych. Są to więc rodzaje hacków, w których ludzie będą siedzieć w sieciach przez co najmniej sześć miesięcy i więcej.

„jednym z największych problemów podczas przesyłania danych jest nadal wysyłanie ich za pośrednictwem zwykłej wiadomości e-mail. W ich umyśle wysyłają go ze swojego e-maila i jedyną osobą, która to zobaczy, jest druga osoba na drugim końcu tego e-maila. Jeśli Twoja skrzynka e-mail jest naruszona, możesz nie mieć pojęcia, a ktoś może po prostu obserwować każdy e-mail, który wysyłasz. Inną rzeczą, na którą należy zwrócić uwagę, jest to, że e-maile domyślnie nie mają żadnego szyfrowania, co oznacza, że każdy, kto jest w stanie zagrozić połączeniu w środku i obserwować przepływ ruchu – przyznając, że zrobienie czegoś takiego wymagałoby wiele wysiłku – jeśli ktoś jest w tej samej sieci Wi-Fi, jeśli ktoś może przechwytywać dane podczas przesyłania przez przewód, będzie całkowicie w stanie odczytać całą zawartość tego e-maila bez żadnych kłopotów.

„jedną z rzeczy, które należy zaimplementować, jest obowiązkowe szyfrowanie podczas wysyłania danych. Wiem, że rząd brytyjski stosuje schemat klasyfikacji danych-jest klient poufny, oficjalny, niezbędny, wrażliwy, ściśle tajny itp. I są wskazówki, jak każdy z nich ma być obsługiwany.”

phishing

firmy świadczące usługi finansowe nadal są najbardziej atakowane przez hakerów ze względu na krytyczne dane, które przechowują, mówi Mabbitt. Ale brak świadomości pracowników i fizyczne bezpieczeństwo budynków nadal są dwiema największymi pułapkami w bezpieczeństwie firm.

„mówię fizyczny i ludzie zakładają, że James Bond skaluje się przez płot, ale w istocie często jest to po prostu stanie na zewnątrz w strefie dla palących i śledzenie kogoś, ponieważ trzymają otwarte drzwi dla Ciebie. Powodem jest to, że ludzie są z natury mili i chcą pomóc. Nikt nie chce się odwrócić i być tą osobą, która mówi: „Cześć, kim jesteś?”

” gdy wydasz miliony na swoje zabezpieczenia i wszystkie rzeczy, które ludzie umieszczają w sieci i ładne błyszczące pudełka, które kupują, aby je chronić, wszystko pójdzie na marne, jeśli ktoś może po prostu wejść do Twojego budynku i podłączyć się do sieci.

„drugą pułapką, którą widzimy, która nie ogranicza się tylko do sektora finansowego, będzie świadomość pracowników, a kiedy mówię świadomość pracowników, mam na myśli ataki phishingowe. Powodem jest to, że wiem, że wiele firm finansowych inwestuje dużo w personel szkoleniowy, aby nie otwierać e-maili itp.

„bardzo łatwo jest dopasować rzeczy do konkretnej osoby, na przykład jeśli wiemy, że ktoś pracuje w firmie pocztowej, możemy wysłać mu coś, co wygląda jak pochodzi od znanej firmy kurierskiej i możemy od razu od powszechnie wymienionych, takich jak finanse i prezesi-nie będziemy się do nich zbliżać. Albo możemy wysłać coś do HR z fałszywym CV.

„ale problem z phishingiem i podobnymi atakami polega na tym, że banki i pracownicy muszą zrobić to dobrze za każdym razem – nie wpisywać swoich danych uwierzytelniających i nie otwierać dokumentów, podczas gdy atakujący musi zrobić to dobrze tylko raz.”