通过Swift电子消息系统对银行进行新的黑客尝试的报告,类似于2月份孟加拉国中央银行窃取了8100万美元的计算机黑客,对金融机构脆弱的网络犯罪的脆弱性提升了担忧。
上周五,斯威夫特宣布,一家据信位于越南的银行被黑客入侵,黑客在其电脑上秘密安装了恶意软件。这次攻击的目标是该银行用来检查通过SWIFT网络转账的PDF阅读器。
这两次攻击是“更广泛和高度自适应的运动目标银行”的一部分,即基于比利时的合作社,其通信网络被世界各地的银行使用,以转移数十亿美元的资金,在一份声明中表示。它没有说金钱在最新事件中被盗,但是说黑客“已经能够绕过受害者到位的主要风险控制,从而能够启动不可撤销的基金转移过程。在第二步中,他们找到了篡改银行有时用作二级控制的陈述和确认的方法,从而延迟了受害者承认欺诈的能力。“
孟加拉国银行的盗窃是最大的已知银行哈斯特,已经抓住了金融业的注意,因为它在3月披露。案件在收集的1,100个网络安全专家之间占据了讨论迈阿密滩本月早些时候,金融服务信息共享和分析中心(FS-ISAC)将举行年会,该中心是业界打击网络犯罪的主要合作论坛。
专家表示,欺诈行为始于一种所谓的鱼叉式网络钓鱼攻击,这是一种常见的欺诈行为,首先向一名银行员工发送一封外表无辜的电子邮件,邮件附件被称为有效负载。如果员工点击附件,它会偷偷下载恶意软件,为犯罪分子提供进入银行电脑系统的后门。这些恶意软件使黑客得以利用央行的快速连接,加剧了人们对国际支付系统面临更大威胁的担忧。
黑客向纽约美联储银行向美联储银行发出假说明,从纽约举行的孟加拉国银行账户转移了9.51亿美元。美联储员工设法阻止了大部分订单,但8100万美元有线账户菲律宾从赌场溜走。
中央银行显然将SWIFT货币转移系统纳入其常规电脑网络,这是一个严重的错误,Douglas Johnson是美国银行家协会(ABA)的金融和网络安全政策高级副总裁(ABA),他在FS-ISAC。他说,大多数大银行将他们的剩余物理安全性和分离,妨碍欺诈的威胁,将他们的剩余物理安全和分离分开。
他说:“网络具有连通性,如果SWIFT系统与金融机构的其他系统之间没有任何程度的隔离,就有可能损害金融机构防止此类未经授权交易的能力。”。
法兹勒·卡比尔(Fazle Kabir)最近接任孟加拉国银行行长一职,此前他的前任因盗窃案辞职。本周早些时候,他在瑞士巴塞尔会见了纽约联储主席威廉·达德利(William Dudley)和SWIFT的代表,讨论可能采取的补救措施。会后,双方发表声明,承诺“共同追求某些共同目标:追回诈骗所得,将行凶者绳之以法,保护全球金融体系免受此类袭击。”与此同时,美国联邦调查局(FBI)已开始调查孟加拉国首都的劫案请求。两者都是斯威夫特和纽约联储表示,他们对损失不负责任。但SWIFT上周承认,它意识到有人试图在数家银行的计算机系统上安装恶意软件,目的是进行欺诈性资金转账,并发布了一项强制性软件更新,旨在消除这一漏洞。“我们已经通知我们的客户,在其他情况下,客户的内部漏洞已被利用,以强调客户的重要性和紧迫性的系统安全,”该机构,正式称为世界银行间金融电信协会,在一份声明中说。“针对此类攻击场景的关键防御措施仍然是让用户在本地环境中实施适当的安全措施,以保护其系统,特别是用于访问SWIFT的系统。”总部位于莫斯科的网络安全公司卡巴斯基实验室(kasperskylab)的一份报告显示,2013年,俄罗斯黑客利用鱼叉式网络钓鱼攻击了100家小型银行。尽管一些美国和欧洲银行被所谓的卡巴纳克集团(carbank gang)的欺诈行为抓获,但大部分被盗资金(该公司估计总计可能为10亿美元)来自俄罗斯机构。黑客控制了银行的视频系统,让他们可以观看日常操作,了解哪些员工在每家银行执行哪些任务。亚慱体育app
前联邦调查局网络安全专家约瑟夫·奥帕基(Joseph Opacki)说,直到两年前,大多数鱼叉式网络钓鱼都是针对政府计算机系统的,他现在在南卡罗来纳州查尔斯顿的网络安全公司PhishLabs做威胁研究和分析。不过,越来越多的网络窃贼将目标对准了金融机构。2014年,22%的网络钓鱼攻击目标是最大的受害者群体银行。
“我们看到了这些类型的攻击的自然演变,”他说。“首先,他们去了消费者。然后他们针对销售点终端,让他们在交易期间获得消费者信息。现在最后阶段是他们直接瞄准金融机构。“
在2103年,黑客窃取了4000万客户的信用卡细节目标公司商店,使用矛网络钓鱼攻击在空调承包商上进入零售商的计算机网络。J.P. Morgan Chase&Co.于2014年瞄准了矛网络钓鱼攻击。没有钱被盗,但黑客进入了奖励卡数据库,并获得了数百万客户的姓名和地址;然后,他们在一分钱股票销售计划中使用了盗窃的名称,以超过1亿美元。美国政府收取了两名以色列人和一个负责欺诈的美国人。
阿巴的约翰逊表示,美国银行在2014年阻止了对欺诈行为的欺诈行为110亿美元,但仍有20亿美元的损失。Opacki表示,没有关于银行本身的欺诈统计数据,他认为许多人不透露这些损失的声誉原因。
许多问题很多银行都在尝试硬化他们的计算机反对攻击时,他们使用很多自定义软件,必须在任何修复程序实现之前要重写和广泛测试的。“这种软件对银行的基础设施和产品产生了很大影响,不能迅速更新,”他说。
许多银行现在向自己的员工发送网络钓鱼电子邮件,以测试他们是否会回应它们。“他们将其作为一个受教育的时刻,”约翰逊说。
PhishLabs开展培训项目,帮助银行员工识别网络钓鱼攻击,但即便是培训也有其局限性,Opacki说:“这些攻击主要针对人,问题是,你永远无法消除人的弱点。”