Gradul de raspindire a comertului electronic si a canalelor electronice de plata au transformat industria financiara intr-o tinta principala pentru atacurile cibernetice
Gradul de raspindire a comertului electronic si a canalelor electronice de plata au transformat industria financiara intr-o tinta principala pentru atacurile cibernetice
In ultimii 8 ani,infractorii cibernetici au penetrat mai mult de jumatate din website-urile primelor 50 de institutii financiare, pierderile fiind estimate la miliarde de dolari in fiecare an
Pentru multe din bancile de top , riscul asociat atacurilor cibernetice l-a depasit pe cel al crizei Eurozone; 5 din principalele banci britanice il clasifica ca una din prioritatile de top potrivit lui Andrew Haldane, Director Executiv la Banca Angliei.
In functie de scopul urmarit, atacatorii pot fi grupati in 3 categorii:
Statele care folosesc atacurile fie in scop de spionaj industrial fie ca si forma de razboi
Grupurile de crima organizata care au ca scop cistigurile financiare
Hacktivistii care au ca scop perturbarea activitatii institutiilor financiare in numele a diferite cauze
Principalele tipuri de atacuri:
Principalele tipuri de atacuri:
Phishing si spearphishing
Pharming
Atacuri bazate pe Malware(Zeus,Carberp,Spyeye,Dyre,MyTB)
Atacurile bazate pe DDoS
Prevenirea este ingreunata de natura asimetrica a riscului, recompensei si costului asociat criminalitatii cibernetice.Datorita costurilor in scadere ale tehnologiei si accesului facil la aceasta avem un cost mic pentru un atac comis de un hacker dar cheltuieli de milioane de euro pentru bancile care doresc sa se previna un asemenea atac
Schimbul de informatii este esential iar cooperarea intre industria financiar- bancara si alte industrii(Telecom) este cruciala pentru a incerca sa limitam impactul acestei amenintari continue
Una din noile metode este de a folosi atacurile de tip DDoS ca si distragere pentru a masca o frauda in curs
Principala ingrijorare a industriei financiare este responsabilitatea protejarii datelor clientilor:in ce masura se expun bancile unui proces legal daca, in strategia de raspuns la un atac cibernetic, furnizeaza datele cu caracter confidential ale clientilor organelor de urmarile penala sau altor institutii abilitate ?
Principala ingrijorare a industriei financiare este responsabilitatea protejarii datelor clientilor:in ce masura se expun bancile unui proces legal daca, in strategia de raspuns la un atac cibernetic, furnizeaza datele cu caracter confidential ale clientilor organelor de urmarile penala sau altor institutii abilitate ?
Infractorii cibernetici ameninta datele confidentiale ale clientilor prin atacuri agresive si persistente in timp ce institutiile care doresc sa protejeze aceste date intimpina greutati in schimbul de informatii referitoare la atacuri datorita unui mecanism afectat de legislatia cu privire la protectia datelor cu caracter personal si raspunderile legale aferente
Lacunele legislative sau legislatia nealiniata a statelor ingreuneaza cooperarea internationala, grupul infractional actionind de cele mai multe ori in mai multe tari
Recuperarea prejudiciuluui este de cele mai multe ori dificila datorita duratei investigatiei si a legislatiei
Furtul de identitate ,ca si prim pas, in comiterea fraudelor bancare,este una din marile provocari ale institutiilor financiar-bancare
Furtul de identitate ,ca si prim pas, in comiterea fraudelor bancare,este una din marile provocari ale institutiilor financiar-bancare
Metodele de obtinere a datelor cu caracter personal prin utilizarea tehnicilor de “social engineering” au devenit din ce in ce mai sofisticate
Atit clientii cit si angajatii institutiilor financiar bancare tind sa ofere acces facil la date cu caracter personal pe site-urile de socializare
Infractorii cibernetici exploateaza brese in sistemele de autentificare ale bancilor utilizind aceleasi tehnici de “social engineering”
Preluarea de conturi, in special pe segmentul de Corporate, tinde sa devina foarte raspindita
Depinde de tehnica aleasa dar etapele sint in general aceleasi:
Depinde de tehnica aleasa dar etapele sint in general aceleasi:
Selectarea tehnicii de frauda : phishing, spear fishing folosind social media, malicious software sau alte tipuri de tehnici”social engineering”
Plasarea- infractorul va incerca sa il pacaleasca pe utilizator folosind mail-ul/SMS-ul sa descarce un atasament sau sa viziteze un website care va instala softul folosit la frauda.
Colectarea- Credentialele victimei sint transferate catre un sistem compromis care le colecteaza pentru o utilizare ulterioara sau sint folosite instant.
Recuperarea –infractorul va recupera credentialele si va utiliza tehnici de “anonimizare” pentru a se proteja
Initierea transferului fondurilor- prin folosirea de sisteme compromise de unde se vor initia accesarile sistemelor de ibanking si transferurile catre conturile intermediarilor(money mules)
Money Mules-acestia vor transfera fondurile ,folosind servicii dedicate sau transferuri on-line catre conturi colectoare controlate de catre organizatori