有报道称,一家银行通过SWIFT电子信息系统遭到新的黑客攻击,类似于今年2月从孟加拉国央行窃取8100万美元的黑客攻击,这加剧了人们对金融机构易受网络犯罪攻击的担忧。
周五,SWIFT宣布,信被认为在越南的银行被黑客渗透到其计算机上的恶意软件。该攻击针对银行使用的PDF读者来检查资金通过SWIFT网络转移。
总部位于比利时的SWIFT在一份声明中表示,这两起攻击是“针对银行的更广泛、适应性很强的行动的一部分”。该公司的通信网络被世界各地的银行用来转移数十亿美元的资金。该公司没有说明在最近的事件中是否有资金被盗,但表示黑客“已经能够绕过受害者所设置的任何主要风险控制,从而能够启动不可撤销的资金转移过程。”第二步,他们找到了篡改报表和确认书的方法,而银行有时会将这些报表和确认书用作二级控制,从而延迟了受害者识别欺诈行为的能力。”
孟加拉国银行(Bangladesh Bank)的这起盗窃案是迄今为止已知的规模最大的银行抢劫案之一,自3月份披露以来,引起了金融业的关注。1100名网络安全专家聚集在一起讨论此案迈阿密海滩本月早些时候是金融服务信息共享和分析中心(FS-ISAC)的年会,这是行业领先的与网络犯罪合作的论坛。
专家说,欺诈始于所谓的矛网络钓鱼攻击,这是一个常见的骗局,它首先通过向银行雇员发送无辜的电子邮件,其中包含称为有效载荷的附件。如果附件的员工点击,它悄悄地下载恶意软件,提供犯罪分子后门进入银行的计算机系统。恶意软件使黑客能够利用中央银行的迅速连接,提高对国际支付系统的更广泛威胁的恐惧。
黑客向纽约联邦储备银行(Federal Reserve Bank of New York)发送虚假指令,从孟加拉国银行(Bangladesh Bank)在纽约联邦储备银行(New York Fed)的账户转移了总计9.51亿美元菲律宾并通过赌场倾斜。
美国银行家协会(ABA)负责支付和网络安全政策的高级副总裁道格拉斯·约翰逊(Douglas Johnson)是FS-ISAC的董事会成员,他说,央行显然已经将SWIFT转账系统整合到其常规计算机网络中,这是一个严重的错误。他说,大多数大银行都将自己的“线路室”与银行的其他部门分开,使用物理安全和隔离IT系统,以威慑欺诈的威胁。
“网络有连接,并且在机构中的SWIFT系统和其他系统之间没有隔离程度的程度,您将可能会损害机构以防止这些类型未经授权的交易的能力,”他说。
最近作为孟加拉国银行召开的盗窃州长的Fazle Kabir,在本周早些时候与纽约联储总统威廉·德利以及瑞士巴塞尔省Swift的代表讨论了可能的补救行动。会议结束后,缔约方发表了一份声明,希望“共同追求某些共同目标:恢复欺诈的全部收益,并将肇事者带到司法,保护全球金融体系免受这些类型的攻击。”与此同时,联邦调查局已经开始调查孟加拉国的要求。斯威夫特和纽约美联储表示,他们对损失负责。但是,Swift上周确实承认它意识到其他尝试将恶意软件放在几家银行的计算机系统上,其目的是使欺诈性资金转移,并且它发出了一个旨在消除这种脆弱性的强制性软件更新。“We have informed our customers that there are other instances in which customers’ internal vulnerabilities have been exploited, in order to stress the importance and urgency of customers’ securing their systems,” the outfit, formally called the Society for Worldwide Interbank Financial Telecommunication, said in a statement. “The key defense against such attack scenarios remains for users to implement appropriate security measures in their local environments to safeguard their systems — in particular those used to access SWIFT.”根据Kaspersky Lab,莫斯科总部网络安全公司的一份报告,俄罗斯的黑客在2013年在2013年攻击了100个小银行。虽然有些美国和欧洲银行被所谓的Carbanak Gang欺诈所捕获,但大多数钱估计的批准都可以超过10亿美元,来自俄罗斯机构。黑客控制了银行的视频系统,允许他们观看日常运营,并了解哪些员工在每个银行执行哪亚慱体育app些任务。
直到两年前,大多数矛网络钓鱼都是针对政府计算机系统,该公司Joseph Opaci表示,FBI的前网络安全专家现在正在威胁研究和分析Phishlabs,Charleston,South Carolina,Cybersecurity Company。然而,越来越多的网络迹象是针对金融机构的目标。2014年,报告的网络钓鱼袭击事位的22%有针对性银行,这是最大的受害者。
“我们已经看到了这类攻击的自然演变,”他说。“首先,他们瞄准了消费者。然后他们瞄准销售点终端,这让他们在交易过程中获取消费者信息。现在的最后一个阶段是他们直接把目标对准金融机构。”
在2103年,黑客窃取了4000万客户的信用卡信息目标公司。商店,使用鱼叉式网络钓鱼攻击空调承包商进入零售商的计算机网络。摩根大通(J.P. Morgan Chase & Co.)曾在2014年遭到鱼叉式网络钓鱼攻击。没有钱被偷,但黑客进入了一个奖励卡数据库,获得了数百万客户的姓名和地址;然后,他们利用盗用的名字进行低价股票出售,净赚了1亿多美元。美国政府指控两名以色列人和一名美国人对这起诈骗案负责。
美国律师协会的约翰逊表示,2014年,美国各银行阻止了110亿美元的客户账户欺诈行为,但仍有20亿美元的损失。奥帕奇说,没有针对银行本身的欺诈数据,他认为许多银行出于声誉原因没有披露这些损失。
许多银行在试图加强电脑抵御攻击时面临的一个问题是,它们使用了大量定制软件,在实施任何修复措施之前,这些软件必须经过重写和广泛测试几个月。他表示:“这类软件对银行的基础设施和产品有很大影响,无法快速更新。”
现在,许多银行向自己的员工发送钓鱼电子邮件,以测试他们是否会回复。约翰逊说:“他们把它当作一个教育的机会。”
Phishlabs进行培训计划,以帮助银行员工认识到网络钓鱼攻击,但甚至培训都有它的极限,说:“这些攻击在很大程度上是人们,问题是,你永远无法去除人类脆弱性。”