موسسات مالی هدفهای آشکاری برای جرایم سایبری هستند. در صورت عدم استفاده از یک سیستم امنیت سایبری برای مقابله با طیف وسیعی از عوامل تهدید کننده، این سازمانها همچنان هدف و قربانی گروههای کلاهبرداری و دولتهای متخاصم خواهند بود. متاسفانه این سازمانها در زمینه IT بسیار ضعیف عمل کرده و این امر به ویژه در بانکها و موسسات مالی کوچک قابل مشاهده است.
علاوه براین، مجرمان سایبری با استفاده از فناوریهای جدید، خود را با شرایط کنونی سازگار کرده و از روشهای پیچیدهتری استفاده میکنند. این افراد اطلاعات شخصی قابل شناسایی (PII) کارمندان و مشتریان یک سازمان را به دست آورده و برای اهداف غیرقانونی از آنها استفاده میکنند. به دلیل موارد افشای داده گسترده، این افراد از دارک وب برای کنترل حسابهای کاربری قانونی استفاده میکنند.
در این مطلب، ما ۵ تهدید امنیت سایبری نوظهور و جدی در حوزه خدمات مالی را بررسی کرده و اقدامات امنیتی مناسب برای محافظت از داراییها، داده مشتری و وجهه برند را ارائه میدهیم.
-
سرقت هویت
آمار نگران کننده: مطالعه سال ۲۰۱۸ سازمان «استراتژی و پژوهش جاولین» نشان داد که تنها در سال ۲۰۱۷، ۱۶.۷ میلیون آمریکایی قربانی جرائم جعل هویت بودهاند. این آمار نسبت به سال ۲۰۱۶ (که یک رکورد محسوب میشد) افزایش پیدا کرده است. علاوه براین، مبلغ سرقت شده در جرائم سایبری سال ۲۰۱۷ به ۱۶.۸ میلیارد دلار رسید و ۳۰ درصد مشتریان آمریکایی از افشای دادههای محرمانه خود مطلع شدند، که نسبت به سال ۲۰۱۶ با افزایش ۱۲ درصدی همراه بود.
تعریف: جعل هویت به شرایطی گفته میشود که در آن از اطلاعات شخصی، تاریخچه مالی یا ویژگیهای شناسایی کننده یک فرد برای پرداخت یا دریافت وجوه (بدون اجازه) استفاده میشود.
تاثیر: در موارد بزرگ افشا و نقض داده، اطلاعات شخصی توسط افراد غیرمجاز دریافت شده و به سرعت در دارک وب قرار میگیرد. پس از خرید و فروش، این اطلاعات با سایر مجموعههای داده ترکیب شده و برای جرائم جعل هویت و تصاحب حسابهای کاربری در ابعاد بزرگتر مورد استفاده قرار میگیرند. این بدین معناست که در فضای آنلاین، نمیتوان از یکسان بودن هویت سازنده حساب و اطلاعات کاربری موجود در آن اطمینان داشت. یک راهکار واضح میتواند افزایش مراحل بررسی هویت باشد، با این حال چنین روشی میتواند منجر به فرسایشی شدن تجربه کاربری و از دست دادن مشتریهای حقیقی شود.
-
تصاحب حساب کاربری
آمار نگران کننده: پژوهش جعل هویت سازمان «استراتژی و پژوهش جاولین» در سال ۲۰۱۸ نشان داد که تعداد موارد تصاحب حسابهای کاربری در سال ۲۰۱۷ نسبت به سال پیش از آن سه برابر شده و منجر به سرقت ۵.۱ میلیارد دلار شده است.
تعریف: استفاده از اطلاعات حساب کاربری یک فرد دیگر (مانند شماره کارت بانکی) برای خرید محصولات و خدمات از طریق حسابهای کاربری موجود.
تاثیرگذاری: برای انجام حمله تصاحب حساب کاربری (ATO) به وسیله ایمیل، یک مجرم سایبری ابتدا به یک حساب ایمیل قابل اعتماد دست پیدا کرده و از آن برای انجام حملات ایمیلی بعدی با هدف مالی یا افشای داده استفاده میکند. حملات ATO به دلیل استفاده از حملات فیشینگ و تصاحب حسابهای کاربری قانونی از خطر و تاثیرگذاری بالایی برخوردار هستند. این امر دو پیامد به همراه دارد: ۱) احتمال موفقیت حمله به دلیل اعتماد قبلی به مشتری بالاست و ۲) به دلیل استفاده از حسابهای کاربری حقیقی، معیارهای امنیتی سنتی توانایی تشخیص این حملات را ندارند.
-
هویت جعلی
آمار نگران کننده: براساس گزارشات روزنامه «وال استریت ژورنال»، میزان بدهی کارتهای اعتباری متعلق به افراد غیر حقیقی که پیش از سال ۲۰۱۷ وجود خارجی نداشتهاند به عدد بیسابقه ۳۳۵ میلیون دلار رسیده است. هم اکنون تخمین زده میشود که میزان زیان از کارتهای اعتباری غیرحقیقی تا پایان سال به ۸ میلیارد دلار میرسد، و وجود این حسابهای کاربری میتواند تمام اکوسیستم کارتهای اعتباری را زیر سوال ببرد.
تعریف: سرقت با استفاده از هویت غیر واقعی در شرایطی روی میدهد که در آن، مجرم با ترکیب اطلاعات واقعی و تقلبی (مانند شماره بیمه تامین اجتماعی، تاریخ تولد، آدرس، تلفن و ایمیل) یک هویت غیر حقیقی را ایجاد میکند. در وهله اول، قربانی این حملات بانکها یا موسسات مالی هستند. اما آسیب طولانی مدت این حملات متوجه افرادی است که بخشی از اطلاعات آنها در حساب کاربری موجود بوده، و باید با عواقب مالی مواجه شوند.
رایان راسک، متخصص جرائم جعل هویت و ریسک سازمانی و معاون ارشد «موسسه بانکداران آمریکا» در این باره توضیح داد: «تمام دادههای استفاده شده در این حسابهای کاربری حقیقی هستند و در سیستمهای ما وجود دارند. با این حال فرد حقیقی از این موضوع مطلع نمیشود، چراکه اطلاعات او فقط یک سوم از کل هویت فرضی را تشکیل داده است».
تاثیر: این افراد فرضی از هر لحاظ مانند یک مشتری ایدهآل به نظر آمده و شاخصهای مختلفی (مانند پروفایل آنها در شبکههای اجتماعی) گواه از زنده بودن آنها میدهد. علاوه براین، قبض بدهیهای این حسابهای اعتباری به صورت مرتب و برای ماهها و سالها پرداخت میشود. در نهایت میزان بدهی این حسابها به حداکثر مجاز رسیده و هیچ فردی برای بازپرداخت آنها وجود ندارد. در این میان باید توجه داشت که زیان مالی تنها بخشی از ماجراست، چراکه موسسات مالی منابع، انرژی و زمان زیادی را برای تعقیب و پیدا کردن این هویتهای فرضی صرف میکنند.
شاید نگران کنندهترین جنبه این روش کلاهبرداری و استفاده از ضعف سیستم بانکی برای ایجاد حسابهای کاربری، کارکرد عالی آن باشد. در کوتاه مدت، کلاهبرداران به سادگی میتوانند از ضعف فناوری در اتصال و ارجاع دادههای حجیم سوء استفاده کنند. با این حال، فناوری هوش مصنوعی در آینده میتواند یک راه حل احتمالی برای برطرف کردن این مشکل باشد.
-
باج افزار
آمار نگران کننده: آمار نشان میدهد که در سال ۲۰۱۷، موسسات مالی پس از حوزه سلامت دومین هدف باجافزارها بوده است. اگرچه میزان حملات باج افزار در یک سال گذشته به میزان ۳۰ درصد کاهش یافت (منبع: گزارش KSN شرکت کسپرسکای: باجافزارها و کریپتوماینرها در بازه ۲۰۱۶-۲۰۱۸)، اما شرکتهای خدمات مالی همچنان در رتبه دوم این حملات قرار دارند.
تعریف: نوعی نرمافزار که تا زمان پرداخت وجه تعریف شده دسترسی به کامپیوتر را سلب میکند. این باجافزارها معمولا از طریق کلیک روی ایمیلهای فیشینگ فعال میشود.
تاثیر: حفظ حریم خصوصی مشتریان و تضمین امنیت دادههای محرمانه در شرکتهای مالی قابل چشم پوشی نیست. بانکها و موسسات مالی که به باجافزار دچار میشوند با واکنش بسیار منفی روبرو خواهند شد. این واکنش در صورت مسدود شدن اطلاعات مشتری برای مدت طولانی شدیدتر خواهد بود.
-
مهندسی اجتماعی
آمار نگران کننده: امروزه تنها ۳ درصد از بدافزارها برای یک ضعف فنی خاص طراحی میشوند. ۹۷ درصد از حملات سایبری، براساس دادههای شرکت امنیتی KnowBe4 ، با استفاده از مهندسی اجتماعی طراحی شدهاند. نزدیک به ۶۰ درصد از مدیران امنیتی بیان کردهاند که سازمان آنها در یک سال گذشته با حملات مهندسی اجتماعی مواجه شده است.
تعریف: مهندسی اجتماعی شامل روشهایی است که در آن افراد برای ارائه اطلاعات حساس خود فریب خورده یا از ضعف، ناآگاهی و تنبلی آنها برای دسترسی به اطلاعات استفاده میشود. امروزه این رایجترین روش برای نفوذ به سیستم شرکتها است.
تاثیر: مهندسی اجتماعی روشی است که در فریب کارکنان برای ارائه دسترسی به سیستم (یا اطلاعات مورد نیاز برای دسترسی به سیستم) با استفاده محدود یا بدون استفاده از فناوری پیشرفته به کار میرود. حملات مهندسی اجتماعی میتواند شکلهای مختلفی داشته باشد و شامل تماس تلفنی، خدمات پستی، ارتباط مجازی یا فیزیکی میشود. به این ترتیب آموزش کارکنان برای مقابله با این شرایط ضروری است.
امنیت سایبری سازمان مالی
استیو گروبمن، مدیر ارشد فناوری شرکت مکآفی در این باره گفت: «دنیای دیجیتال تقریبا تمام جنبههای زندگی ما را تغییر داده است. این یعنی ارتکاب جرم و خطرات آن هم تغییر کرده و دارای کارآیی و سود بیشتر، خطر کمتر و سادهتر از همیشه است. به همین دلیل تمامی سازمانهای مالی (شامل بانکها، موسسات اعتباری، کارگزاریها و شرکتهای پرداختیار) باید یک رویکرد چندلایه نسبت به امنیت سایبری و پیشگیری از کلاهبرداری اتخاذ کنند».
جدول پایین نشان دهنده خطرات سایبری مختلف و استراتژیهای امنیت سایبری مناسب برای مقابله با آنهاست. برای مثال روش مناسب برای مقابله با سرقت هویت (یا کسب اطمینان از وجود یک هویت حقیقی در کنار حساب کاربری و عدم استفاده از اطلاعات تقلبی) شامل ترکیبی از احزار هویت، فناوری بیومتریک و تشخیص زنده بودن تصویر، تشخیص ناسازگاری و آموزش کارکنان است. در ادامه توضیح هریک از این استراتژیهای دفاعی را مشاهده خواهید کرد.
تهدید | احراز هویت | بیومتریک و تشخیص زنده بودن تصویر | تشخیص ناسازگاری | حملات شبیهسازی شده | بازیابی به عنوان سرویس (DraaS) | آموزش کارکنان |
سرقت هویت | * | * | * | * | ||
تصاحب حساب کاربری | * | * | * | * | ||
هویت غیرحقیقی | * | * | * | * | * | |
باجافزار | * | * | * | |||
مهندسی اجتماعی | * | * | * | * |
احراز هویت: درخواست یک کارت شناسایی معتبر و دولتی (مانند پاسپورت یا گواهینامه) به عنوان بخشی از فرآیند ثبت نام و ایجاد حساب کاربری.
بیومتریک و تشخیص زنده بودن تصویر: قوانین جدید بانکداری در اروپا، ظهور یادگیری ماشینی و هوش مصنوعی، و نیاز به جایگزین برای کلمه عبور به افزایش استفاده از فناوری بیومتریک رفتاری کمک کرده است.
از آنجا که کارتهای شناسایی در معرض سرقت و جعل قرار دارند، استفاده از فناوری بیومتریک و تشخیص زنده بودن تصویر به شناسایی هویت آغاز کننده تراکنش به عنوان مالک اصلی مدارک شناسایی کمک خواهد کرد. علاوه براین، استفاده از تصویر سلفی و بررسی زنده بودن تصویر موانع موثری به شمار میآیند، چراکه فرد مجرم مجبور به افشای هویت خود به شرکتی خواهد بود که قصد کلاهبرداری از آن را دارد.
تشخیص ناسازگاری: هم اکنون راهکارهای نرمافزاری و خودکار مختلفی برای تشخیص ناسازگاری در رفتار مشتری وجود دارد. بیومتریک رفتاری یک روش نوآورانه برای احراز هویت کاربر براساس ایجاد پروفایلهای شناسایی منحصر به فرد است. فناوری بیومتریک رفتاری با استفاده از «کلان داده» و هوش مصنوعی میتواند ترکیب مناسبی از ویژگیهای فردی و ماشینی را برای تشخیص مشتریان حقیقی از کلاهبرداران به کار بگیرد. این الگوهای رفتاری معمولا شامل مواردی چون شکل استفاده از صفحه کلید یا موس میشود. این ویژگیهای انسانی سپس با شاخصهای ماشینی (مانند آدرس IP و موقعیت جغرافیایی) ترکیب میشوند. بانکها میتوانند با استفاده از ردپای بیومتریک فعالیتهای مشکوک را تشخیص دهند و با استفاده از احراز هویت لحظهای کلاهبرداریهای مالی را متوقف کنند.
حملات شبیهسازی شده: از آنجا که بیش از ۹۰ درصد موارد نقض امنیت سایبری با استفاده از ایمیلهای فیشینگ آغاز میشود، مشاغل باید به دنبال برگزاری دورههای آموزشی باشند که توانایی مقابله کارکنان با این حملات را افزایش میدهد. هم اکنون روشهای مختلفی برای ارائه این آموزشها وجود دارد، و در برخی موارد ایمیلهای فیشینگ غیر واقعی به صورت دورهای به کارکنان ارسال میشود تا واکنش آنها مورد ارزیابی قرار بگیرد.
پشتیبان و بازیابی به عنوان یک سرویس (DraaS): حملات باجافزار اهمیت ضربالمثل «احتیاط شرط عقل است» را نشان میدهد. معمولا باجافزارهای ساده و بدون کدگذاری را میتوان با استفاده از یک نسخه پشتیبان (و سالم) از سیستم از بین برد. علاوه براین شرکتها میتوانند از خدمات «بازیابی به عنوان سرویس» برای راه اندازی مجدد و سریع دستگاهها در شرایط حمله استفاده کنند.
آموزش کارکنان: در زنجیره محافظت از دادههای یک سازمان، عامل انسانی عملکرد ضعیفی دارد. تمامی تهدیدات سایبری و روش مقابله با آنها باید طی دورههای مختلف به کارکنان آموزش داده شود. نیروی کار همچنین باید درباره امنیت ایمیل، مهندسی اجتماعی، احراز هویت، تشخیص ناسازگاری و گرایشهای جدید در حوزه امنیت سایبری آگاهی داشته باشند. علاوه براین، دانش آنها باید به صورت منظم از طریق تست و حملات شبیه سازی شده مورد ارزیابی قرار بگیرد.
نکته واضح اینجاست که نمیتوان از یک راهکار امنیتی واحد برای تمامی شرکتها استفاده کرد. هر سازمان به یک راهکار امنیتی مشخص احتیاج دارد که با توجه به محیط و شرایط سازمان تنظیم شده و به نیازهای سازمان پاسخ میدهد.
علاوه براین، سازمانهای مالی باید روش ثبت و پردازش هویت مشتریان جدید را تغییر داده، تراکنشهای پرخطر را شناسایی کنند و از فناوریهای نوآورانه مانند یوآیدی برای اطمینان از هویت حقیقی مشتریان استفاده کنند. شاید این جمله کمی قدیمی شده باشد، اما تخصص در امنیت سایبری بخش جدانشدنی از مشاغل مالی است.