A zsarolóvírusokkal és az ellátási láncot célzó támadásokkal együtt a generatív mesterséges intelligenciával szintet lépő adathalász kampányok fenyegetik a leginkább a pénzügyi szektor kiberbiztonságát.
Miközben a támadások intenzitása és kifinomultsága is növekszik, a digitálisan átalakuló bankok, biztosítók és más szervezetek kibervédelmét a szakemberhiány is nehezíti – mutatott rá blogbejegyzésében (Top 3 Cyberthreats Facing the Financial Sector) az ISACA.
Az informatikai irányítással foglalkozó nemzetközi szakmai szövetség éves jelentése (State of Cybersecurity 2023, Global Update on Workforce Efforts, Resources and Cyberoperations) szerint ugyanis a világszerte megkérdezett, több mint 2 ezer biztonsági vezető 59 százaléka mondta, hogy a toborzás nehézsége miatt csapata létszámhiányos.
Így bár a vezetők közel fele a támadások növekvő számát tapasztalja vállalatánál, csupán 42 százalékuk biztos abban, hogy a kiberfenyegetéseket képesek időben észlelni és megválaszolni.
Előadás: IT kontrollok a csalások megelőzésére és felderítésére
Erős Tamás, Magyar Nemzeti Bank, felügyeleti tanácsadó
BankTechShow 1.0: Hogyan épül a jövő digitális bankja? | 2023. november 23.
Duplán zsarolnak a támadók
A pénzügyi szektort érő zsarolóvírus-támadások növekvő intenzitását állapította meg idén júliusban közreadott tanulmányában a Comparitech is. A kiberbiztonsági kutatással és teszteléssel foglalkozó, egyesült királyságbeli cég 2018-tól kezdve idén júniusig 225 jelentett ransomware támadást azonosított, amelyek a pénzügyi szervezetek működését megbénítva összesen mintegy 32,3 milliárd dollár kárt okoztak.
Az átlagos állásidő következetesen magas – az évek során 10 és 14 nap között – maradt, a zsarolók pedig átlagosan 6,9 millió dollár – együttvéve mintegy 2,14 milliárd dollár – váltságdíjat követeltek áldozataiktól, akik azonban csupán öt esetben fizettek.
Több mint 32,3 millió egyedi adatsor is illetéktelen kezekbe került az incidensek során.
A zsarolóvírussal támadó bűnözők mindinkább a nagy adatzsákmánnyal kecsegetető szervezetekre utaznak, mert a lopott adatok kiberalvilági értékesítésével akkor is kárpótolhatják magukat, ha áldozatuk nem fizet.
Bár a 86 támadással csúcsévnek számító 2021 után tavaly felére csökkent a jelentett incidensek száma, az idei év első hat hónapjában regisztrált 24 zsarolóvírus-támadás – a kettős zsarolás trendjével együtt – figyelmeztető jel a pénzügyi szektor számára. Védelmük erősítéséhez az ISACA ransomware-kitettségük felmérését és a feltárt kockázatok kezelését, a kiberhigiénia és az adatvédelem jó gyakorlatának követését, valamint a támadások megválaszolására kidolgozott terv tesztelését tanácsolja az iparág szereplőinek.
Gyenge szem az ellátási láncban
Három éve, a SolarWinds platform feltörésével kerültek az ellátási láncon végigfutó támadások a figyelem középpontjába. Az IT felügyeleti és szolgáltatáskezelő platformot megfertőző és rajta keresztül a gyanútlan ügyfelek rendszereibe rosszindulatú kódot juttató, kifinomult támadás olyan sokáig rejtve maradt, hogy pusztítását a mai napig sem sikerült teljes egészében felmérni, emlékeztetett rá az ISACA.
Nem sok időbe telt, és a menedzselt szolgáltatásokat kínáló vállalatok körében népszerű szoftver nulladik napi sérülékenységét kihasználva a Kaseya hasonló módon vette célba a szolgáltatók ügyfélkörét.
Idén pedig legutóbb a fájlok átviteléhez használt MOVEit szoftver nulladik napi sérülékenységét kihasználó támadás borzolta a kedélyeket. A megfertőzött szervezetek listáján szereplő, több mint 400 cég közül sok a pénzügyi szektor szereplője, de egyes becslések szerint az – ellátási láncokban egymással bonyolult kapcsolatrendszerben álló – áldozatok tényleges száma elérheti a 73 ezret.
Az ellátási láncokat célba vevő támadások a szigorú biztonsági és tesztelési szabványokat nem mindenben követő szoftverfejlesztési gyakorlat törékenységére és veszélyeire irányítják a figyelmet.
Ha nem akarnak még kiszolgáltatottabbá válni, a vállalatoknak mindent meg kell tenniük fejlesztési infrastruktúrájuk biztonságáért és a sérülékenységek proaktív felkutatásáért.
Az ISACA emellett a külső szoftverszállítók kockázati kiértékelését, felelősségük részletes szerződésbe foglalását, teljesítményük rendszeres kiértékelését, valamint hálózati hozzáférésük szabályozását és monitorozását tanácsolja a pénzügyi szervezeteknek.
Megtévesztés és manipuláció a generatív AI képességeivel
Az adathalászok támadásai azért járnak sikerrel, mert módszereik – amelyeket gyakran a social engineering elemeivel ötvöznek – alkalmasak az elfoglalt, egyszerre több feladaton dolgozó alkalmazottak megtévesztésére, mutatott rá jelentésében (2023 Data Breach Investigations Report) a Verizon.
Bár a szervezetek a kritikusan fontos infrastruktúra védelme mellett a biztonságtudatosság fokozásához az oktatásba is beruháznak, a biztonsági incidensek 74 százalékában az emberi tényező – hibázás, visszaélés, lopás vagy félrevezetés formájában – továbbra is döntő szerepet játszik. A manipulatív módszereket bevető adathalászat ennek az egyik leggyakoribb példája.
A jelentés szerint a social engineering támadások 50 százalékában az elkövetők valamilyen kitalált ürüggyel vagy történettel veszik rá a felhasználókat, hogy rosszindulatú kódot tartalmazó oldalra mutató linkre kattintsanak, vagy ilyen mellékletet nyissanak meg, és ezzel érzékeny információkat szolgáltassanak ki – és ez az adat a tavalyi érték közel kétszerese.
Az Anti-Phishing Working Group jelentése (APWG Phishing Activity Trends Report) szerint pedig 4,7 millió regisztrált támadással 2022 az adathalászat eddigi legerősebb éve volt – amelyben a kampányok több mint negyede (27,7 százaléka) a pénzügyi szektor szereplőit célozta.
A generatív mesterséges intelligencia képességeivel a támadók ráadásul minden eddiginél jobb minőségű – helyesírási hibáktól, idegenül ható fordulatoktól mentes –, még nehezebben kiszűrhető adathalász leveleket képesek előállítani szinte bármely nyelven, figyelmeztet az ISACA. A vállalatoknak ezért még nagyobb hangsúlyt kell helyezniük alkalmazottaik oktatására, de helyesen teszik, ha minden szervezetükön kívülről érkező emailt címkével látnak el, valamint a márkájuk megszemélyesítésére irányuló próbálkozások jeleit kutatva figyelik a közösségi hálókat és a média híreit is.
A szervezetek biztonsága leginkább azon múlik, hogy mennyire készültek fel a változatos támadások minél gyorsabb észlelésére és megválaszolására. Fejlett adatanalitikai és automatizációs képességeivel a mesterséges intelligencia mindkét területen egyre nagyobb szerepet kap.
Kapcsolódó cikkek:
Címlapfotó: stock.adobe.com | Licenc: FinTech Group