2024. október 15.
FinTechShow

2024. november 26.
BankTechShow

2024.07.18.

Adatszivárgási krízis: Wise és Affirm is érintett az Evolve Bank támadásában

Kategóriák:

Banki és fintech hírek | BankTech | Csalásmegelőzés és kibervédelem | Nemzetközi digitális bankolás | Összes hír

Az Evolve Bank & Trust friss bejelentése szerint május végén több mint 7,6 millió ügyfél adatait lopták el a LockBit támadása során. A fintech szektor felbolydult, hiszen olyan nemzetközi cégek, mint a Wise és az Affirm, megerősítették, hogy őket is érintette az Evolve Bankot ért támadás.

Az eset jelentőségéről és az esetleges kiberbiztonsági tanulságokról cikkünkben Lengré Tamást, az ASC Vezetői és Informatikai Tanácsadó Kft. ügyvezetőjét, a Budapesti Értéktőzsde egykori IT-igazgatóját kérdeztük.

Az Evolve Bank & Trust 2024 május végén egy zsarolóvírus támadást szenvedett el, amelyet a LockBit nevű bűnszervezet hajtott végre.

A támadók hozzáfértek és letöltöttek ügyféladatokat az Evolve adatbázisából és fájlmegosztó rendszeréből.

A Maine állam főügyészéhez benyújtott jelentés szerint 7 640 112 ügyfél adatait lopták el, beleértve társadalombiztosítási számokat, bankszámlaszámokat és kapcsolattartási adatokat.

Az Evolve hivatalos közleménye szerint a bank gyorsan reagált az incidensre, leállította a támadást és erősítette a biztonsági intézkedéseit.

Nézzünk a motorháztető alá!

2024 májusának végén az Evolve Bank & Trust észlelte, hogy néhány rendszere nem működik megfelelően. Kezdetben hardverhibának tűnt, de később kiderült, hogy jogosulatlan tevékenységről van szó.

Miután kibervédelmi szakértőket vontak be, hamar kiderült, hogy jogosulatlan tevékenység történt. Az Evolve azonnal elindította az incidensre válaszlépéseit és megállította a támadást.

Az Evolve közleménye szerint május 31. óta nem történt újabb jogosulatlan tevékenység, illetve külső szakértőket bíztak meg a történtek kivizsgálására és az adatok helyreállítására.

Bár a betörés dátuma ismert, az Evolve nyilatkozata alapján jelenleg nem egyértelmű, hogy pontosan mennyi ideig volt védtelen a Bank rendszere a kiberbűnözőkkel szemben.

Lengré Tamás az ASC Vezetői és Informatikai Tanácsadó Kft. ügyvezetője szerint bevett protokoll az ilyen esetek után, hogy a vállalatok ilyen esetben „csak” a támadás napját, esetleg a napszakot hozzák nyilvánosságra.

,,Megszokott, hogy ennél többet nem kommunikálnak. A helyreállítási időt sem szokták meghatározni, ahogy az sem szokott nyilvános lenni, hogy pontosan milyen szervereket, rendszereket érintett a támadás. Ezek az információk a hivatalos szervek felé történő bejelentésben kell, hogy szerepeljenek.”

– mondta Lengré Tamás.

Fontos kiemelni, hogy az eljárás nemcsak kommunikációs szempontból fontos, hanem az „áldozat” cég biztonsága is ezt indokolja.

Fotón: Lengré Tamás az ASC Vezetői és Informatikai Tanácsadó Kft. ügyvezetője

Milyen hatással van az ilyen adatok kiszivárgása az érintett ügyfelekre?

Az Evolve nyilatkozata alapján az ellopott adatok között szerepelnek nevek, társadalombiztosítási számok, születési dátumok, számlainformációk és személyazonosító okmányok.

Azonban ezek az adatszivárgások nem csak az Evolve közvetlen ügyfeleit, hanem az open banking partnereket is érinti.

,,Ha csak személyes adatok szivárognak ki (pl.: név, cím és TB szám), a támadók csak annyit tudnak következtetni, hogy kik a bank ügyfelei. A felhasználónév, társadalombiztosítási azonosító és jelszó azonban értékes kiindulási adat lehet további támadásokhoz.”

– mondta Lengré Tamás.

Ha már tranzakciós adatok is kiszivárognak, az eléggé nagy probléma, hiszen akkor a pénzügyi tranzakcióink alapján már nyitott könyv leszünk a támadók számára – ebben az esetben azonban a jelenlegi információk alapján erről nincs szó.

,,Bérelj zsarolóvírust szolgáltatásként!”

A jelenlegi bizonyítékok alapján a támadást elkövető bűnszervezet a LockBit kiberbűnözői csoport.

A LockBit ransomware-as-a-service (RaaS) szolgáltatást nyújt, tehát az alá tartozó leánycsoportok hajtják végre a piszkos munkát; kiszemelik a célpontokat és begyűjtik a kifizetéseket, miközben a szolgáltató a rendszerek zárolására bevetett kártevőt nyújtja számukra, a begyűjtött váltságdíjból pedig mind részesedést kapnak.

,,Gyakorlatilag „bérelj zsarolóvírust szolgáltatásként” elv alapján működnek ezek a bűnözői körök.”

– magyarázta Lengré Tamás.

Első lépésben általában egy már meglévő zsarolóvírus kódot fejlesztenek tovább, de a komolyabb bűnözői csapatnak saját fejlesztői vannak, akik újabb és újabb zsarolóvírust fejlesztenek.

Nyilván itt versenyfutás van a vírusirtó, tűzfalgyártó és egyéb biztonsági eszközöket gyártó szervezetek és ezen bűnözői kör között, hiszen egy zsarolóvírust körülbelül egyszer lehet elsütni, utána, ha lehet változtatni kell a kódon és a működésen is, hogy a védelmi eszközöket meg tudja kerülni.

,,Ha megvan a jól megírt zsarolóvírus, el lehet kezdeni a „reklámozását a szolgáltatásnak”. Ezt általában a dark weben teszik, és csak pénztárca szab határt a lehetőségeknek.”

– mondta Lengré Tamás.

Amikor másokat is magaddal rántasz esés közben…

A nemzetközi pénzátutalási szolgáltató, a Wise, valamint a BNPL szolgáltatást nyújtó Affirm is megerősítette az amerikai Értékpapír- és Tőzsdefelügyelet (SEC) felé benyújtott jelentéseiben, hogy jelentős mértékben érintette őket az Evolve támadása.

Ez az incidens rámutat a zsarolóvírus-támadások egyre növekvő veszélyére, és hangsúlyozza az erős kiberbiztonsági intézkedések fontosságát a banki és fintech iparágban egyaránt.

A digitális infrastruktúrára támaszkodó fintech szektornak prioritásként kell kezelnie a kiberbiztonságot az érzékeny adatok védelme és az ügyfelek bizalmának megőrzése érdekében.

Ez az incidens jól példázza, hogy a fintech cégek és a hagyományos bankok együttműködése kiberbiztonsági kockázattal is járhat, ezért szigorú protokollokat igényel a pénzügyi tranzakciók integritásának biztosítása.

Az Evolve Bank elleni támadás jól példázza az iparág előtt álló széleskörű kihívásokat, és rávilágít a folyamatos éberség és a biztonsági keretrendszer kritikus fontosságára. Az ASC ügyvezetője szerint azonban ez az incidens hosszútávon nem fogja akadályozni az inkumbens és fintech szereplők közötti együttműködést.

,,A fintech projektek, ha csatlakoznak is valamilyen módon a banki rendszerekhez, a PSD2 irányelv elég részletesen meghatározza a kapcsolódás információbiztonsági kérdéskörét, így ebben az esetben egyik félnek sincs félnivalója.”

– mondta az ASC ügyvezetője.

Fizetni vagy nem fizetni? Ez itt a kérdés

Nincs bizonyíték arra, hogy a támadók hozzáfértek volna az ügyfelek pénzéhez, de úgy tűnik, hogy a februári és májusi időszakokban hozzáfértek és letöltöttek ügyféladatokat adatbázisokból és fájlmegosztásból. A támadók néhány adatot titkosítottak, de az Evolve biztonsági másolatainak köszönhetően korlátozott adatvesztést tapasztaltak.

Az Evolve képviselői nem voltak hajlandóak kifizetni a váltságdíjat – ennek eredményeként a kiberbűnözők kiszivárogtatták a letöltött adatokat.

Lengré Tamás tapasztalata szerint nem meglepő, hogy az Evolve nem vállalta a váltságdíj kifizetését. Ökölszabály, hogy bűnözőknek nem fizetünk váltságdíjat, több okból sem. Az etikai érvek mellett a legfontosabb indok, hogy nincs semmilyen garancia arra, hogy a váltságdíj kifizetése után valóban megkapjuk a feloldó kulcsot.

Fontos kérdés, hogy egyáltalán vissza lehet-e állítani a titkosított állományokat, ugyanis vannak olyan zsarolóvírus típusok, amelyek törlik a titkosításhoz használt kulcspárt, és a zsarolóvírus fejlesztője sem fogja tudni visszaállítani az eredeti állapotot.

,,A kockázatot nem a váltságdíj kifizetése/nem kifizetése jelenti, hanem az, ha nem megfelelően átgondolt a mentési rendünk, és egy ilyen támadás után nem tudunk – akár elfogadható adatvesztéssel is – a meghatározott állásidőn belül visszaállni a normál működésre.”

– hívta fel a figyelmet az ASC ügyvezetője.

A munkatárs, mint örök gyenge láncszem a kiberbiztonság világában

A jelenlegi bizonyítékok szerint a támadás egy zsarolóvírus által történt. A bűnözők akkor fértek hozzá rendszerekhez, amikor egy alkalmazott véletlenül egy rosszindulatú linkre kattintott.

Az ASC ügyvezetője szerint ez az eset jól példázza, hogy milyen fontos azon munkatársak és a harmadik feles partnerek (pl. azon külső vállalkozók munkatársai) kiberbiztonsági oktatása, akik hozzáférést kapnak a vállalati informatikai környezethez (vagy egy részéhez).

Nem véletlenül írja elő minden szabvány (pl. ISO 27001, NIST 800.53) vagy akár Európai Uniós szinten a NIS2 az éves rendszerességgel megtartott, lehetőleg szerepkörök szerint különböző tartalmú információbiztonsági oktatások megtartását.

,,Ezek az oktatások akkor igazán hasznosak, ha utána vannak „visszamérések”, tudatosságot mérő tesztek, (pl.: e-learning felületen teszt kérdésekre válaszolnak a munkatársak), de nagyon jó a tervezett email phising kampányok, vagy social engineering tesztek is, amelyek éles helyzeteket szimulálnak, és elemzik a munkatársak viselkedését, reakcióit, a végén pedig részletes visszacsatolást és értékelést kapnak.”

– mondta Lengré Tamás.

Ugrott az ügyfélbizalom?

Egy ilyen adatszivárgás esetén joggal merülhetnek fel kétségek az ügyfelekben, de az ASC ügyvezetője szerint, ha a kommunikáció megfelelően nyílt egy ilyen támadás után, akkor nem fog az ügyfelek számottevő hányadában felmerülni a bankváltás gondolata.

,, Mit tudunk a másik bankról? Annyit, hogy tudomásunk szerint eddig még nem érte ilyen támadás, de ez nem jelenti azt, hogy akár már holnap ne válhatna a következő áldozattá.”

– mondta Lengré Tamás.

Az ASC ügyvezetője azonban kiemelte, hogy szerencsére ritkán szoktak banki rendszereket sikeresen megtámadni. Általában egy ilyen zsarolóvírusos támadás sikeréhez több tényező együttes fennállása szükséges.

[Forrás: Evolve, The Register] | Címlapfotó: stock.adobe.com | Licenc: FinTech Group Kft.

Címkék:

Affirm | Evolve Bank | kibertámadás | kibervédelem | Wise

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description

2024. október 15. FinTechShow

2024. november 26. BankTechShow

Adatszivárgási krízis: Wise és Affirm is érintett az Evolve Bank támadásában

Nézzünk a motorháztető alá!

Milyen hatással van az ilyen adatok kiszivárgása az érintett ügyfelekre?

,,Bérelj zsarolóvírust szolgáltatásként!”

Amikor másokat is magaddal rántasz esés közben…

Fizetni vagy nem fizetni? Ez itt a kérdés

A munkatárs, mint örök gyenge láncszem a kiberbiztonság világában

Ugrott az ügyfélbizalom?

2024. október 15.
FinTechShow

2024. november 26.
BankTechShow