Embora a ameaça de atentados cibernéticos está a aumentar, os bancos estão sendo empurrados para ir de volta para o básico de segurança cibernética, de acordo com uma penetração de especialista.

Em 31 de dezembro de 2019, um grupo de hackers chamado Sodinokibi lançou um cibernético na Rota de rede. O grupo manteve a companhia de câmbio em resgate por £4,6 m que o Telegraph relatou. O ataque causou uma ruptura no Lloyds, Barclays e Royal Bank Of Scotland.

Com um cibernético produzindo um efeito cascata em toda a serviços financeiros, eu queria descobrir o que as ameaças de segurança cibernética são específicos para o setor, então eu tive uma conversa com André Mabbitt, co-fundador e diretor do Fidus de Segurança da Informação, uma empresa britânica especializada em testes de penetração.

Para realizar um teste de penetração, é importante saber o tamanho do banco, diz Mabbitt.

” há algumas coisas que saem pela janela imediatamente. Normalmente, a infra-estrutura externa, qualquer coisa que eles estão hospedando publicamente Geralmente vai ser relativamente seguro. Mais uma vez, os bancos gastam muito dinheiro em segurança, então imediatamente você sabe que terá sido testado até a morte e estatisticamente você não vai encontrar nada de importante lá.

“Nós não incomodar mesmo olhando para a segurança física dos bancos, porque eles têm todas essas câmeras, eles têm um monte de funcionários, eles têm guardas de segurança. O que nós começaríamos a ver era, eles têm algum escritório satélite? Eles têm uma grande sede? Normalmente, eles vão ter menos segurança porque eles não estão guardando todo o dinheiro, mas o que estamos tentando alcançar aqui?

“Nós não estamos tentando obter acesso seguro e o grande parafusos nos bancos, estamos tentando obter acesso à rede. Então, onde estaria o ponto mais fraco da rede? Normalmente, eles estão em escritórios centrais onde há tantas pessoas, ou eles estão em escritórios satélite.

” When we are conducting physical engagement, we can stand outside or sit in a local café even and watch people who work for the bank come in and out. Normalmente, eles estão sempre usando as mesmas varandas, etc. E se eles são genéricos como um cordão Vermelho, Nós podemos apenas colocar um cordão Vermelho sob o nosso jumper, ir para entrar e normalmente se alguém ver um cordão, eles vão confiar em você.

” the other thing we usually do is also film and take pictures of people if they work at the bank and try and clone a badge. Então tire uma foto, mock it up in photoshop, imprime-a em nosso próprio distintivo e então temos a tentativa plausível de tentar entrar no edifício e nosso distintivo não trabalhar no scanner e pedir segurança para abri-lo, porque novamente as pessoas querem ajudar.

“Se não podemos fazer o break, vamos olhar para as pessoas que nós achamos que podemos destino, então nós desviar-se da equipe de finanças, nós desviar-se da equipe de TI e de nós olhar para as pessoas que são muito diferentes de papéis que as pessoas não suponha que iria ser alvo de ataques de phishing em todo o tempo. Então as pessoas na mídia, por exemplo, você não esperaria que eles fossem tão alvos quanto as pessoas na equipe financeira, então nós tentaríamos explorar isso.”

the waiting game

In November 2018, HSBC notified their customers to a data breach which had occurred the month before. Um log-in não autorizado deixou as informações pessoais de alguns clientes acessíveis.

mas quanto tempo um hacker pode permanecer indetectado depende completamente do que eles estão tentando alcançar, diz Mabbitt.

” eu diria que geralmente as pessoas que têm o talento e o apoio para atacar um banco crítico em um país vão ser bastante sofisticados. Seria de esperar que se encontrassem a um nível elevado de criminalidade organizada ou de ataques dos bancos do Estado-nação, dos quais não estão apenas a tentar entrar e roubar o dinheiro, querem obter o máximo de dados possível. Então, eles são o tipo de hacks onde as pessoas vão se sentar em redes por pelo menos seis meses ou mais.

“One of the biggest issues when transfering data is people still send it over a normal email. Em sua mente eles estão enviando-o de seu e-mail e a única outra pessoa que vai ver que é a outra pessoa no outro extremo desse e-mail. Se a sua caixa de entrada de E-mail estiver comprometida, você pode não ter idéia, e alguém pode simplesmente estar assistindo cada e-mail que você está enviando. Outra coisa a notar é e-mails por padrão não tem qualquer criptografia que significa que qualquer pessoa que é capaz de comprometer a conexão no meio, e ver o fluxo de tráfego – concedido seria preciso um grande esforço para fazer algo assim, se alguém está na mesma rede wifi, se qualquer pessoa pode interceptar os dados em trânsito sobre o fio, eles irão ser completamente capaz de ler que todo o conteúdo desse e-mail, sem qualquer dificuldade.

“uma das coisas que precisa ser implementada é a criptografia obrigatória ao enviar dados. Sei que o governo do Reino Unido utiliza um sistema de classificação de dados – há clientes confidenciais, oficiais, essenciais, sensíveis, ultra-secretos, etc. E há regras específicas sobre como cada um deles tem de ser tratado.”

Going phishing

as empresas de serviços financeiros continuam a ser as mais visadas pelos hackers devido aos dados críticos que detêm, diz Mabbitt. Mas a falta de consciência dos empregados e a segurança física do edifício continuam a ser as duas maiores armadilhas na segurança das empresas.

” I say physical and people assumes James Bond scaling over a fence, but in essence a lot of the time it is just standing outside in a smoking area and following someone in because they hold the door open for you. A razão pela qual as pessoas são inerentemente simpáticas e querem ajudar. Ninguém quer virar-se e ser essa pessoa a dizer: “olá, quem és tu?’

“uma Vez que você gastou milhões em suas funcionalidades de segurança e todas as coisas que as pessoas colocam na rede, e o brilhante agradável caixas que comprar para protegê-los, vai tudo para o ralo se alguém pode simplesmente entrar em seu prédio e conectar-se à rede.

” The second pitfall that we see which isn’t just limited to the financial sector will be employee awareness, and when I say employee awareness, I mean things like phishing attacks. A razão é que eu sei que muitas empresas financeiras investem muito na formação de pessoal para não abrir e-mails etc.

“é muito fácil para as coisas sob medida para apelar para a pessoa específica, como se sabemos que alguém trabalha em uma sala de expedição nós podemos enviar-lhes algo que parece que é de uma conhecida empresa de entrega e podemos imediatamente daquele comumente mencionadas, sendo utilizado como finanças e CEOs – nós não vá perto daqueles. Ou podemos enviar algo aos RH com um CV falso.

“mas a questão com phishing e ataques semelhantes é que os bancos e funcionários têm que acertar cada vez – não digitar suas credenciais, e não documentos abertos, enquanto um atacante só tem que acertar uma vez.”