deși amenințarea atacurilor cibernetice este în creștere, băncile sunt împinse să se întoarcă la elementele de bază ale securității cibernetice, potrivit unui specialist în penetrare.

la 31 decembrie 2019, un grup de hackeri numit Sodinokibi a lansat un atac cibernetic în rețeaua Travelex. Grupul a avut loc compania de schimb valutar pentru răscumpărare pentru 4,6 m de la Telegraph a raportat. Atacul a continuat să provoace perturbări la Lloyds, Barclays și Royal Bank of Scotland.

cu un atac cibernetic care produce un efect de undă în serviciile financiare, am vrut să aflu ce amenințări de securitate cibernetică sunt specifice industriei, așa că am avut o conversație cu Andrew Mabbitt, co-fondator și director, Fidus Information Security, o firmă din Marea Britanie specializată în testarea penetrării.

pentru a efectua un test de penetrare, este important să cunoașteți dimensiunea băncii, spune Mabbitt.

„există câteva lucruri care ies pe fereastră imediat. De obicei, infrastructura externă, tot ceea ce găzduiesc public, de obicei, va fi relativ sigură. Din nou, băncile cheltuiesc o mulțime de bani pe securitate, așa că imediat știți că va fi testat până la moarte și statistic nu veți găsi nimic major acolo.

„nici măcar nu ne-am deranja să ne uităm la securitatea fizică a băncilor pentru că au toate acele camere, au mult personal, au agenți de pază. Ceea ce am începe să ne uităm este, au birouri prin satelit? Au un sediu mare? De obicei, vor avea mai puțină securitate pentru că nu păzesc toți banii, dar ce încercăm să realizăm aici?

„nu încercăm să obținem acces la seif și la șuruburile mari din bănci, încercăm să obținem acces la rețea. Deci, unde ar fi cel mai slab punct din rețea? De obicei, acestea se află fie în sediile centrale unde există atât de mulți oameni, fie în birourile prin satelit.

„când desfășurăm un angajament fizic, putem să stăm afară sau să stăm într-un caf local, chiar și să privim oamenii care lucrează pentru bancă intrând și ieșind. De obicei, ele sunt întotdeauna poartă aceleași lanyards etc. Și dacă sunt generice ca un șnur roșu, putem pune doar un șnur roșu sub jumperul nostru, mergem să intrăm și, de obicei, dacă cineva vede un șnur, va avea încredere în tine.

„celălalt lucru pe care îl facem de obicei este să filmăm și să fotografiem oameni dacă lucrează la bancă și încearcă să cloneze o insignă. Deci, bine obține o imagine, bate joc de ea în photoshop, imprima pe propria noastră insignă și apoi avem încercarea plauzibilă de a încerca să meargă în clădire și insigna noastră nu funcționează pe scaner și cere securitate să-l deschidă, pentru că din nou oamenii doresc să ajute.

„dacă nu putem face pauza, vom căuta oameni pe care credem că îi putem viza, așa că ne îndepărtăm de echipa financiară, ne îndepărtăm de echipa IT și ne uităm la oameni care au roluri foarte diferite pe care oamenii nu și le-ar asuma ar fi vizați în atacuri de phishing tot timpul. Deci, oamenii din mass-media, de exemplu, nu te-ai aștepta să fie la fel de vizați ca oamenii din echipa financiară, așa că am încerca să exploatăm asta.”

Jocul de așteptare

în noiembrie 2018, HSBC și-a notificat clienții cu privire la o încălcare a datelor care a avut loc cu o lună înainte. O conectare neautorizată a lăsat accesibile informațiile personale ale unor clienți.

dar cât timp un hacker poate rămâne nedetectat complet depinde de ceea ce încearcă să realizeze, spune Mabbitt.

„aș spune că, de obicei, oamenii care au talentul și sprijinul pentru a ataca o bancă critică într-o țară vor fi destul de sofisticați. V-ați aștepta ca aceștia să fie la un nivel ridicat de crimă organizată sau atacuri ale băncilor de stat naționale din care nu încearcă doar să intre și să fure banii, ci vor să obțină cât mai multe date posibil. Deci, sunt genul de hacks în care oamenii vor sta pe rețele timp de cel puțin șase luni și mai mult.

„una dintre cele mai mari probleme la transferul de date este că oamenii încă o trimit printr-un e-mail normal. În mintea lor, ei îl trimit din e-mailul lor și singura persoană care va vedea că este cealaltă persoană de la celălalt capăt al acelui e-mail. Dacă căsuța de e-mail este compromisă, este posibil să nu aveți nicio idee și cineva ar putea urmări doar fiecare e-mail pe care îl trimiteți. Un alt lucru de remarcat este că e – mailurile în mod implicit nu au nicio criptare în ele, ceea ce înseamnă că oricine este capabil să compromită conexiunea la mijloc și să urmărească fluxul de trafic – acordat ar fi nevoie de mult efort pentru a face așa ceva-dacă cineva se află în aceeași rețea wifi, dacă cineva poate intercepta date în tranzit prin fir, vor putea citi complet întregul conținut al acelui e-mail fără nicio problemă.

„unul dintre lucrurile care trebuie implementate este criptarea obligatorie la trimiterea datelor. Știu că guvernul britanic utilizează o schemă de clasificare a datelor – există client confidențial, Oficial, esențial, sensibil, top secret etc. Și există linii directoare stick pe cum fiecare dintre ele trebuie să fie manipulate.”

merge phishing

firmele de servicii financiare continuă să fie cel mai puternic vizate de hackeri din cauza datelor critice pe care le dețin, spune Mabbitt. Dar lipsa de conștientizare a angajaților și securitatea fizică a clădirilor continuă să fie cele mai mari două capcane în securitatea firmelor.

„eu spun fizic și oamenii își asumă James Bond scalarea peste un gard, dar, în esență, o mulțime de timp este doar în picioare în afara într-o zonă de fumat și în urma pe cineva pentru că ei dețin ușa deschisă pentru tine. Motivul fiind oamenii sunt în mod inerent frumos și doresc să ajute. Nimeni nu vrea să se întoarcă și să fie acea persoană care să spună: ‘Bună, cine ești tu?’

„odată ce ați cheltuit milioane pe caracteristicile dvs. de securitate și toate lucrurile pe care oamenii le pun în rețea și cutiile frumoase strălucitoare pe care le cumpără pentru a le proteja, totul se duce în jos dacă cineva poate intra în clădirea dvs. și se conectează la rețeaua dvs.

„a doua capcană pe care o vedem, care nu se limitează doar la sectorul financiar, va fi conștientizarea angajaților, iar când spun conștientizarea angajaților, mă refer la lucruri precum atacurile de phishing. Motivul fiind că știu că o mulțime de companii financiare investesc foarte mult în instruirea personalului pentru a nu deschide e-mailuri etc.

„este foarte ușor să adaptăm lucrurile pentru a face apel la persoana specifică, cum ar fi dacă știm că cineva lucrează într-o cameră de corespondență, îi putem trimite ceva care pare că este de la o companie de livrare bine – cunoscută și putem imediat de cele menționate în mod obișnuit fiind utilizate ca finanțe și directori executivi-nu ne vom apropia de acestea. Sau putem trimite ceva la HR cu un CV fals.

„dar problema cu phishing – ul și atacurile similare este că băncile și angajații trebuie să-l corecteze de fiecare dată-să nu-și introducă acreditările și să nu deschidă documente, în timp ce un atacator trebuie să-l corecteze o singură dată.”