موسسات مالی هدف‌های آشکاری برای جرایم سایبری هستند. در صورت عدم استفاده از یک سیستم امنیت سایبری برای مقابله با طیف وسیعی از عوامل تهدید کننده، این سازمان‌ها همچنان هدف و قربانی گروه‌های کلاهبرداری و دولت‌های متخاصم خواهند بود. متاسفانه این سازمان‌ها در زمینه IT بسیار ضعیف عمل کرده و این امر به ویژه در بانک‌ها و موسسات مالی کوچک‌ قابل مشاهده است.

علاوه براین، مجرمان سایبری با استفاده از فناوری‌های جدید، خود را با شرایط کنونی سازگار کرده و از روش‌های پیچیده‌تری استفاده می‌کنند. این افراد اطلاعات شخصی قابل شناسایی (PII) کارمندان و مشتریان یک سازمان را به دست آورده و برای اهداف غیرقانونی از آنها استفاده می‌کنند. به دلیل موارد افشای داده گسترده، این افراد از دارک وب برای کنترل حساب‌های کاربری قانونی استفاده می‌کنند.

در این مطلب، ما ۵ تهدید امنیت سایبری نوظهور و جدی در حوزه خدمات مالی را بررسی کرده و اقدامات امنیتی مناسب برای محافظت از دارایی‌ها، داده مشتری و وجهه برند را ارائه می‌دهیم.

  • سرقت هویت

آمار نگران کننده: مطالعه سال ۲۰۱۸ سازمان «استراتژی و پژوهش جاولین» نشان داد که تنها در سال ۲۰۱۷، ۱۶.۷ میلیون آمریکایی قربانی جرائم جعل هویت بوده‌اند. این آمار نسبت به سال ۲۰۱۶ (که یک رکورد محسوب می‌شد) افزایش پیدا کرده است. علاوه براین، مبلغ سرقت شده در جرائم سایبری سال ۲۰۱۷ به ۱۶.۸ میلیارد دلار رسید و ۳۰ درصد مشتریان آمریکایی از افشای داده‌های محرمانه خود مطلع شدند، که نسبت به سال ۲۰۱۶ با افزایش ۱۲ درصدی همراه بود.

تعریف: جعل هویت به شرایطی گفته می‌شود که در آن از اطلاعات شخصی، تاریخچه مالی یا ویژگی‌های شناسایی کننده یک فرد برای پرداخت یا دریافت وجوه (بدون اجازه) استفاده می‌شود.

تاثیر: در موارد بزرگ افشا و نقض داده، اطلاعات شخصی توسط افراد غیرمجاز دریافت شده و به سرعت در دارک وب قرار می‌گیرد. پس از خرید و فروش، این اطلاعات با سایر مجموعه‌های داده ترکیب شده و برای جرائم جعل هویت و تصاحب حساب‌های کاربری در ابعاد بزرگتر مورد استفاده قرار می‌گیرند. این بدین معناست که در فضای آنلاین، نمی‌توان از یکسان بودن هویت سازنده حساب و اطلاعات کاربری موجود در آن اطمینان داشت. یک راهکار واضح می‌تواند افزایش مراحل بررسی هویت باشد، با این حال چنین روشی می‌تواند منجر به فرسایشی شدن تجربه کاربری و از دست دادن مشتری‌های حقیقی شود.

  • تصاحب حساب کاربری

آمار نگران کننده: پژوهش جعل هویت سازمان «استراتژی و پژوهش جاولین» در سال ۲۰۱۸ نشان داد که تعداد موارد تصاحب حساب‌های کاربری در سال ۲۰۱۷ نسبت به سال پیش از آن سه برابر شده و منجر به سرقت ۵.۱ میلیارد دلار شده است.

تعریف: استفاده از اطلاعات حساب کاربری یک فرد دیگر (مانند شماره کارت بانکی) برای خرید محصولات و خدمات از طریق حساب‌های کاربری موجود.

تاثیرگذاری: برای انجام حمله تصاحب حساب کاربری (ATO) به وسیله ایمیل، یک مجرم سایبری ابتدا به یک حساب ایمیل قابل اعتماد دست پیدا کرده و از آن برای انجام حملات ایمیلی بعدی با هدف مالی یا افشای داده استفاده می‌کند. حملات ATO به دلیل استفاده از حملات فیشینگ و تصاحب حساب‌های کاربری قانونی از خطر و تاثیرگذاری بالایی برخوردار هستند. این امر دو پیامد به همراه دارد: ۱) احتمال موفقیت حمله به دلیل اعتماد قبلی به مشتری بالاست و ۲) به دلیل استفاده از حساب‌های کاربری حقیقی، معیارهای امنیتی سنتی توانایی تشخیص این حملات را ندارند.

  • هویت جعلی

آمار نگران کننده: براساس گزارشات روزنامه «وال استریت ژورنال»، میزان بدهی کارت‌های اعتباری متعلق به افراد غیر حقیقی که پیش از سال ۲۰۱۷ وجود خارجی نداشته‌اند به عدد بی‌سابقه ۳۳۵ میلیون دلار رسیده است. هم اکنون تخمین زده می‌شود که میزان زیان از کارت‌های اعتباری غیرحقیقی تا پایان سال به ۸ میلیارد دلار می‌رسد، و وجود این حساب‌های کاربری می‌تواند تمام اکوسیستم کارت‌های اعتباری را زیر سوال ببرد.

تعریف: سرقت با استفاده از هویت غیر واقعی در شرایطی روی می‌دهد که در آن، مجرم با ترکیب اطلاعات واقعی و تقلبی (مانند شماره بیمه تامین اجتماعی، تاریخ تولد، آدرس، تلفن و ایمیل) یک هویت غیر حقیقی را ایجاد می‌کند. در وهله اول، قربانی این حملات بانک‌ها یا موسسات مالی هستند. اما آسیب طولانی مدت این حملات متوجه افرادی است که بخشی از اطلاعات آنها در حساب کاربری موجود بوده، و باید با عواقب مالی مواجه شوند.

رایان راسک، متخصص جرائم جعل هویت و ریسک سازمانی و معاون ارشد «موسسه بانک‌داران آمریکا» در این باره توضیح داد: «تمام داده‌های استفاده شده در این حساب‌های کاربری حقیقی هستند و در سیستم‌های ما وجود دارند. با این حال فرد حقیقی از این موضوع مطلع نمی‌شود، چراکه اطلاعات او فقط یک سوم از کل هویت فرضی را تشکیل داده است».

تاثیر: این افراد فرضی از هر لحاظ مانند یک مشتری ایده‌آل به نظر آمده و شاخص‌های مختلفی (مانند پروفایل آن‌ها در شبکه‌های اجتماعی) گواه از زنده بودن آن‌ها می‌دهد. علاوه براین، قبض بدهی‌های این حساب‌های اعتباری به صورت مرتب و برای ماه‌ها و سال‌ها پرداخت می‌شود. در نهایت میزان بدهی این حساب‌ها به حداکثر مجاز رسیده و هیچ فردی برای بازپرداخت آنها وجود ندارد. در این میان باید توجه داشت که زیان مالی تنها بخشی از ماجراست، چراکه موسسات مالی منابع، انرژی و زمان زیادی را برای تعقیب و پیدا کردن این هویت‌های فرضی صرف می‌کنند.

شاید نگران کننده‌ترین جنبه این روش کلاهبرداری و استفاده از ضعف سیستم بانکی برای ایجاد حساب‌های کاربری، کارکرد عالی آن باشد. در کوتاه مدت، کلاهبرداران به سادگی می‌توانند از ضعف فناوری در اتصال و ارجاع داده‌های حجیم سوء استفاده کنند. با این حال، فناوری هوش مصنوعی در آینده می‌تواند یک راه حل احتمالی برای برطرف کردن این مشکل باشد.

  • باج افزار

آمار نگران کننده: آمار نشان می‌دهد که در سال ۲۰۱۷، موسسات مالی پس از حوزه سلامت دومین هدف باج‌افزارها بوده است. اگرچه میزان حملات باج افزار در یک سال گذشته به میزان ۳۰ درصد کاهش یافت (منبع: گزارش KSN شرکت کسپرسکای: باج‌افزارها و کریپتوماینرها در بازه ۲۰۱۶-۲۰۱۸)، اما شرکت‌های خدمات مالی همچنان در رتبه دوم این حملات قرار دارند.

تعریف: نوعی نرم‌افزار که تا زمان پرداخت وجه تعریف شده دسترسی به کامپیوتر را سلب می‌کند. این باج‌افزارها معمولا از طریق کلیک روی ایمیل‌های فیشینگ فعال می‌شود.

تاثیر: حفظ حریم خصوصی مشتریان و تضمین امنیت داده‌های محرمانه در شرکت‌های مالی قابل چشم پوشی نیست. بانک‌ها و موسسات مالی که به باج‌افزار دچار می‌شوند با واکنش بسیار منفی روبرو خواهند شد. این واکنش در صورت مسدود شدن اطلاعات مشتری برای مدت طولانی شدیدتر خواهد بود.

  • مهندسی اجتماعی

آمار نگران کننده: امروزه تنها ۳ درصد از بدافزارها برای یک ضعف فنی خاص طراحی می‌شوند. ۹۷ درصد از حملات سایبری، براساس داده‌های شرکت امنیتی KnowBe4 ، با استفاده از مهندسی اجتماعی طراحی شده‌اند. نزدیک به ۶۰ درصد از مدیران امنیتی بیان کرده‌اند که سازمان آنها در یک سال گذشته با حملات مهندسی اجتماعی مواجه شده است.

تعریف: مهندسی اجتماعی شامل روش‌هایی است که در آن افراد برای ارائه اطلاعات حساس خود فریب خورده یا از ضعف، ناآگاهی و تنبلی آن‌ها برای دسترسی به اطلاعات استفاده می‌شود. امروزه این رایج‌ترین روش برای نفوذ به سیستم شرکت‌ها است.

تاثیر: مهندسی اجتماعی روشی است که در فریب کارکنان برای ارائه دسترسی به سیستم (یا اطلاعات مورد نیاز برای دسترسی به سیستم) با استفاده محدود یا بدون استفاده از فناوری پیشرفته به کار می‌رود. حملات مهندسی اجتماعی می‌تواند شکل‌های مختلفی داشته باشد و شامل تماس تلفنی، خدمات پستی، ارتباط مجازی یا فیزیکی می‌شود. به این ترتیب آموزش کارکنان برای مقابله با این شرایط ضروری است.

امنیت سایبری سازمان مالی

استیو گروبمن، مدیر ارشد فناوری شرکت مک‌آفی در این باره گفت: «دنیای دیجیتال تقریبا تمام جنبه‌های زندگی ما را تغییر داده است. این یعنی ارتکاب جرم و خطرات آن هم تغییر کرده و دارای کارآیی و سود بیشتر، خطر کمتر و ساده‌تر از همیشه است. به همین دلیل تمامی سازمان‌های مالی (شامل بانک‌ها، موسسات اعتباری، کارگزاری‌ها و شرکت‌های پرداخت‌یار) باید یک رویکرد چندلایه نسبت به امنیت سایبری و پیشگیری از کلاهبرداری اتخاذ کنند».

جدول پایین نشان دهنده خطرات سایبری مختلف و استراتژی‌های امنیت سایبری مناسب برای مقابله با آنهاست. برای مثال روش مناسب برای مقابله با سرقت هویت (یا کسب اطمینان از وجود یک هویت حقیقی در کنار حساب کاربری و عدم استفاده از اطلاعات تقلبی) شامل ترکیبی از احزار هویت، فناوری بیومتریک و تشخیص زنده بودن تصویر، تشخیص ناسازگاری و آموزش کارکنان است. در ادامه توضیح هریک از این استراتژی‌های دفاعی را مشاهده خواهید کرد.

تهدیداحراز هویتبیومتریک و تشخیص زنده بودن تصویرتشخیص ناسازگاریحملات شبیه‌سازی شدهبازیابی به عنوان سرویس (DraaS)آموزش کارکنان
سرقت هویت****
تصاحب حساب کاربری****
هویت غیرحقیقی*****
باج‌افزار***
مهندسی اجتماعی****

احراز هویت: درخواست یک کارت شناسایی معتبر و دولتی (مانند پاسپورت یا گواهینامه) به عنوان بخشی از فرآیند ثبت نام و ایجاد حساب کاربری.

بیومتریک و تشخیص زنده بودن تصویر: قوانین جدید بانکداری در اروپا، ظهور یادگیری ماشینی و هوش مصنوعی، و نیاز به جایگزین برای کلمه عبور به افزایش استفاده از فناوری بیومتریک رفتاری کمک کرده است.

از آنجا که کارت‌های شناسایی در معرض سرقت و جعل قرار دارند، استفاده از فناوری بیومتریک و تشخیص زنده بودن تصویر به شناسایی هویت آغاز کننده تراکنش به عنوان مالک اصلی مدارک شناسایی کمک خواهد کرد. علاوه براین، استفاده از تصویر سلفی و بررسی زنده بودن تصویر موانع موثری به شمار می‌آیند، چراکه فرد مجرم مجبور به افشای هویت خود به شرکتی خواهد بود که قصد کلاهبرداری از آن را دارد.

تشخیص ناسازگاری: هم اکنون راهکارهای نرم‌افزاری و خودکار مختلفی برای تشخیص ناسازگاری در رفتار مشتری وجود دارد. بیومتریک رفتاری یک روش نوآورانه برای احراز هویت کاربر براساس ایجاد پروفایل‌های شناسایی منحصر به فرد است. فناوری بیومتریک رفتاری با استفاده از «کلان داده» و هوش مصنوعی می‌تواند ترکیب مناسبی از ویژگی‌های فردی و ماشینی را برای تشخیص مشتریان حقیقی از کلاهبرداران به کار بگیرد. این الگوهای رفتاری معمولا شامل مواردی چون شکل استفاده از صفحه کلید یا موس می‌شود. این ویژگی‌های انسانی سپس با شاخص‌های ماشینی (مانند آدرس IP و موقعیت جغرافیایی) ترکیب می‌شوند. بانک‌ها می‌توانند با استفاده از ردپای بیومتریک فعالیت‌های مشکوک را تشخیص دهند و با استفاده از احراز هویت لحظه‌ای کلاهبرداری‌های مالی را متوقف کنند.

حملات شبیه‌سازی شده: از آنجا که بیش از ۹۰ درصد موارد نقض امنیت سایبری با استفاده از ایمیل‌های فیشینگ آغاز می‌شود، مشاغل باید به دنبال برگزاری دوره‌های آموزشی باشند که توانایی مقابله کارکنان با این حملات را افزایش می‌دهد. هم اکنون روش‌های مختلفی برای ارائه این آموزش‌ها وجود دارد، و در برخی موارد ایمیل‌های فیشینگ غیر واقعی به صورت دوره‌ای به کارکنان ارسال می‌شود تا واکنش آنها مورد ارزیابی قرار بگیرد.

پشتیبان و بازیابی به عنوان یک سرویس (DraaS): حملات باج‌افزار اهمیت ضرب‌المثل «احتیاط شرط عقل است» را نشان می‌دهد. معمولا باج‌افزارهای ساده و بدون کدگذاری را می‌توان با استفاده از یک نسخه پشتیبان (و سالم) از سیستم از بین برد. علاوه براین شرکت‌ها می‌توانند از خدمات «بازیابی به عنوان سرویس» برای راه اندازی مجدد و سریع دستگاه‌ها در شرایط حمله استفاده کنند.

آموزش کارکنان: در زنجیره محافظت از داده‌های یک سازمان، عامل انسانی عملکرد ضعیفی دارد. تمامی تهدیدات سایبری و روش مقابله با آنها باید طی دوره‌های مختلف به کارکنان آموزش داده شود. نیروی کار همچنین باید درباره امنیت ایمیل، مهندسی اجتماعی، احراز هویت، تشخیص ناسازگاری و گرایش‌های جدید در حوزه امنیت سایبری آگاهی داشته باشند. علاوه براین، دانش آنها باید به صورت منظم از طریق تست و حملات شبیه سازی شده مورد ارزیابی قرار بگیرد.

نکته واضح اینجاست که نمی‌توان از یک راهکار امنیتی واحد برای تمامی شرکت‌ها استفاده کرد. هر سازمان به یک راهکار امنیتی مشخص احتیاج دارد که با توجه به محیط و شرایط سازمان تنظیم شده و به نیازهای سازمان پاسخ می‌دهد.

علاوه براین، سازمان‌های مالی باید روش ثبت و پردازش هویت مشتریان جدید را تغییر داده، تراکنش‌های پرخطر را شناسایی کنند و از فناوری‌های نوآورانه مانند یوآیدی برای اطمینان از هویت حقیقی مشتریان استفاده کنند. شاید این جمله کمی قدیمی شده باشد، اما تخصص در امنیت سایبری بخش جدانشدنی از مشاغل مالی است.

0 دیدگاهبستن دیدگاه‌ ها

ارسال دیدگاه