ハッカーは顧客よりも頻繁に銀行からお金を盗み始めました

脅威は改善され、マルウェアはより複雑になり、攻撃手法はより洗練されています。 被害者はランダムに選択されなくなり、攻撃は標的になり、調整され、さまざまな方向性を使用するようになりました。 動機も変更されました。認識とは関係がなくなり、経済的利益のみです。



サイバー犯罪は非常に有益で魅力的なビジネスです。 今日、ハッカーはより専門的になり、より高度な技術的手段と経済的リソースを使用して攻撃をより洗練させることができます。 したがって、彼らは銀行を直接攻撃することを恐れなくなりました。これは数年前には考えられませんでした。



金融システムを最大限に活用するために、EUは、最新の既知のサイバー攻撃から保護するために必要なシステムの可用性について、欧州の銀行システム全体を初めてチェックすることを計画しています。 これらのチェックは、いわゆる「ストレステスト」に似ています。 欧州銀行機構（EBA）も、デジタルバンキングのセキュリティを確保するための一連のイニシアチブを開始したいと考えています。



また、フィッシング攻撃やバンキングトロイの木馬など、金融業界を襲い、銀行機関のエンドユーザーを標的とするより伝統的な攻撃についても忘れないでください。 たとえば、Androidのマルウェアを使用するなど、新しい現実に広がり続けています。

はじめに

長年にわたり、金銭の蓄積はサイバー犯罪者の主な目標でした。 この事実が金融システムを「銃の下に」置くことは論理的です。 10年以上にわたって、攻撃はチェーンの最も弱いリンク、つまりオンラインバンキングサービスのエンドユーザーに向けられてきました。



技術革新は、ユーザーにより高い品質と使いやすさを提供する手段になりました。 ただし、オンラインバンキングサービスを通じて可能になったこれらのユーザーフレンドリーな透明性とアクセス可能性は、金融セクターで成功するために、財務上の慎重さと連携する必要があります。



これは、最新の銀行技術がサイバー犯罪者にいくつかの利点を提供するという事実によるものです。エンドユーザー側のセキュリティレベルが不十分であるため、少量を盗む機会が与えられるためです。



ただし、それらにはいくつかの欠点があります。 攻撃を受けた銀行のクライアントである潜在的な被害者を検索して感染させ、アンチウイルスソリューションを克服する必要があります。



そして今、百万ドルの質問：多額のお金はどこにありますか？ 疑いもなく、銀行などの金融機関にあります。



最近の出来事は、全身の脆弱性を強調しています。 フィッシング攻撃を使用して銀行の従業員のコンピューターに感染する、顧客からではなく銀行から直接お金を盗むというサイバー窃盗の新しい段階が始まりました。



これらの組織を直接攻撃する戦術は、ハッカーの収入を大幅に増加させる可能性がありますが、これには多くの労力と慎重な計画が必要になります。 銀行のセキュリティシステムを克服することは非常に困難な作業です。 さらに、銀行の内部システムを調査して、それらがどのように機能するかを理解する必要があるという事実によって複雑になります。結局のところ、痕跡を残さずに仮想強盗を実行する必要があります。



このような攻撃を実行するために必要なすべてのデータを収集するには、重大な投資が必要です。 もちろん、ハッカーが「百万ドル」に対する攻撃を成功させることができれば、これらすべての努力は報われるでしょう。



金融セクターにとって、金融資源の効率的な分配の確保、国の発展と財政の安定の支援、貯蓄と投資の管理などの優先機能を実行することは容易ではありません。 また、顧客データとそのアカウントを保護することは簡単ではありません。



金融セクターはネットワークの境界とエンドデバイスの両方に最先端のマルウェア対策ソリューションを備えているという事実にもかかわらず、高度な攻撃は金融機関の膨大な量の重要なデータを危険にさらす可能性があります。

立法

非常に困難なクラウドテクノロジーは、すでに何度も書かれている多くの立法上の制限のためにロシアに進出します。 しかし、例えば、ヨーロッパでは状況がいくぶん似ていることは興味深いです。



ヨーロッパの新しいルール：GDPR



現在のヨーロッパの法律は、新しいサイバー犯罪や、新しいテクノロジーとIT管理システムの使用から生じるニーズに適合していません。



欧州データ保護委員会の一般規則（一般データ保護

規制、GDPR）は2018年5月25日に発効し、企業が欧州連合全体の居住者の個人データを収集および処理する方法を規制します。



金融部門への影響は、 欧州連合で活動し、顧客の個人データをマーケティングおよび商業目的で使用する組織は、1年以内にGPDR規則に従って作業を行う必要があります。 金融機関がGDPRの要件を満たしていない場合、その金額に応じて、世界のすべての取引に対して2000万ユーロまたは年間売上高の4％の罰金を科せられます。 したがって、IT専門家がこれらの新しい要件について十分な知識を持っていない場合、GDPRの準備を最後の最後に残す銀行にとって、これは最終的にコストがかかる可能性があります。



安全に機能するために、銀行システムのセキュリティには継続的なメンテナンスが必要です。 今日の金融セクターが直面している最大の問題の1つは、セキュリティ上の欠陥から個人データを保護することであることに留意する必要があります。そのため、サイバー攻撃の場合には、明確に計画され実行されたアクションプランを持つことが極めて重要です。 GDPRは透明性を必要とし、パンダセキュリティは、欧州の組織ができるだけ早く新しい要件に合わせて事業運営を行うことを推奨しています。



クラウド移行



金融セクターは、さまざまな側面から規制されている膨大な数のプレーヤーを抱える複雑な業界です。 セキュリティシステムおよびさまざまな規制文書（例えば、NIST-National Institute of Standards and Technology）で規定されている情報を含むネットワークの範囲、および現地の法律の要件から生じる義務を考慮する必要があります。



クラウドコンピューティングは、欧州連合の金融セクター内で徐々に適応しています。 ただし、クラウドへの移行のプロセスはまだ成熟していません。 金融機関および関連する監督当局は、クラウドの経済的および技術的な利点について明確なビジョンを持っているようですが、データの制御を失うリスクについては依然として慎重です。 したがって、それらの多くは依然として独自のインフラストラクチャに依存しています。



主な制約の1つは、欧州中央銀行とその国の代表者の議論、および規制（NITSなど）に基づいています。 これらの構造は、特に機密データに関しては、データの場所とそのトレーサビリティを厳密に制御するために必要です。



金融機関で使用される最も一般的なアプローチは、プライベートクラウドサービスとパブリッククラウドサービスのハイブリッドですが、規制文書では、重要なデータを扱う場合にはプライベートクラウドが必要であることが示されています。 このメカニズムは一般にデータ処理に最適であると考えられており、情報と操作をより高度に制御できるため、国家の金融監督当局によってサポートされています。



クラウドサービスの正式なガイドラインの欠如は、単一のデジタル市場を形成するときに欧州委員会によって広く推進されているものの、クラウドコンピューティングをイノベーションの「ドライバー」として採用することの障害です。

100万回目のサイバー窃盗の事例

サイバー犯罪者が最初に金融セクターを標的にしたとき、彼らは彼らの主な目標がクライアントであるべきだと知っていました。 クライアントはセキュリティのためのリソースが少ないため、データを盗み、彼らに代わって金融取引を行うことは非常に簡単です。 したがって、クライアントは弱いリンクです。



しかし、過去2年間で、さらに進んでいる専門的で野心的なハッカーのグループが出現しました。 現在、彼らの目標は銀行に潜入し、銀行から数百万ドルを盗むことです。



バングラデシュ銀行



この最も顕著な例の1つは、 バングラデシュ中央銀行での盗難でした。ハッカーのグループがこの攻撃専用に設計されたマルウェアで銀行のシステムに感染し、合計9億5100万ドルの一連の操作を実行しようとしました。 この金額は、バングラデシュ銀行のニューヨーク連邦準備銀行の口座に記載されています。 幸いなことに、ほとんどの操作はブロックされましたが、ハッカーは「わずか」8100万ドルを盗むことができました。 しかし、これが唯一のケースではありません。



ティエンフォン銀行



ベトナムの商業銀行Tien Phon Bankは、2015年の第4四半期に同様の攻撃に耐えました。 ハッカーは再びSWIFTネットワークを介して取引を行おうとしましたが、銀行はこれらの操作に時間通りに気付き、100万ドルを超える操作をブロックすることに成功しました。



バンコデルオーストロ



以前、2015年1月、エクアドルの銀行Banco del Austroも同様の攻撃に直面しました。その結果、約900万ドルが銀行から盗まれました。







これらのすべてのケースで、マルウェアは攻撃を実行するために使用され、金融取引はSWIFTネットワークを介して実行されました。 このネットワークに対する標的型攻撃は、世界中で安全な転送を提供しますが、非常に有害です。 幸いなことに、この組織のプレスリリースで述べられているように、SWIFTはこれらの攻撃の犠牲者ではなかったようです。「まず、SWIFTネットワーク、基本的なメッセージングサービス、およびソフトウェアがハッキングされていないことを再度確認します。」



しかし、それはあなたの視点に依存します。実際、サイバー犯罪者はこれらの盗難を犯すためにSWIFTネットワークをうまく利用しています。 繰り返しますが、彼らは攻撃のために最も弱いリンクを選択しました。 SWIFTは銀行との相互通信のための安全なシステムを銀行に提供しますが、このチェーンの終わりには、銀行自体がこのグローバルネットワークと通信するための独自の内部システムを持っています。 ハッカーが銀行のトロイの木馬を使用して銀行の顧客を攻撃したように、現在はSWIFT自体を攻撃する代わりに、このネットワークに接続されている銀行を攻撃しています。



このハッカーグループは、これら3つの窃盗すべてに責任を負っており、これまでのところ、すべての証拠が北朝鮮を指し示しています。 2016年12月、SWIFTが新しい攻撃が発生し始めたことを顧客に警告することが判明しました。 SWIFTユーザーセキュリティプログラムの責任者であるStefan Gilderdale氏によると、彼はロイターに、バングラデシュ銀行でのサイバー窃盗事件の後、SWIFTネットワークを使用している銀行は、国の中央銀行であろうと商業銀行であろうと、繰り返し攻撃を受けました。 さらに、20％のケースで、ハッカーはお金を盗むことに成功しました。



最近ますます頻繁に使用されるようになった別の戦術は、銀行カードから情報を盗むための支払い端末（POS端末）に対する攻撃です。 ホテル部門の分析では、この部門に対する攻撃のほとんどが、クレジットカードやデビットカードから顧客データを盗むためにPOS端末に送信された悪意のあるプログラムに関連していることがわかりました。 しかし、この慣行は、小さなレストランから大規模なハイパーマーケットチェーンまで、商業のあらゆる分野に影響を及ぼします。



PandaLabsアンチウイルスラボでは、ハッカーが米国の事業所を侵害した際に、 PunkeyPOSなど、特別に設計された悪意のあるプログラムによるさまざまな攻撃を分析しました。



PunkeyPOSの影響を受けるPOS端末







MultigrainやPosCardStealerなど、POS端末を標的としたその他のマルウェアに関する情報 。

金融サイバー犯罪の動向

金融セクターに対する最初の攻撃は2003年に発生しました。 当時、オンラインバンキングは人気を博しており、オンラインバンキング業務の数は急速に増加していました。 銀行が行う顧客識別の手段は非常に簡単でした。ユーザー名とパスワードさえあれば、すべてのデータにアクセスして、あらゆる種類の操作を実行できます。



最初の攻撃は、主にフィッシングに関連していた-おそらく、手紙の受信者の登録データに関するセキュリティ問題についての警告を伴う銀行から来た電子メール。 これらの手紙によると、クライアントが手紙に示されたページに行くまで、銀行口座は凍結されました。 リンクをクリックすると、クライアントは偽のWebサイトに移動しました。 彼/彼女が銀行のウェブサイトにいると考えて、クライアントは彼の登録データを入力しました。そして、それはすぐにサイバー犯罪者の手に落ちました。



約1年後、最初の銀行のトロイの木馬が登場しました。 これらのトロイの木馬は、フィッシング攻撃と同じ目標を追求しました。つまり、クライアント登録データを盗んで、必要な口座に送金する際に銀行をだまします。 しかし、これらの脅威はさらに複雑になり、これらの新しいトロイの木馬はすでに防御手法を克服できました。



これらのトロイの木馬に関連する脅威を認識している銀行は、ウェブサイトのセキュリティを大幅に強化していますが、データを盗むために使用される技術は改善されています。

たとえば、銀行は顧客登録データを入力するための仮想キーボードを導入しました。これは、オンライン銀行のセキュリティを向上させる大きな一歩でした。

これにより、キーロガーを使用してユーザー登録データを傍受することは無意味になりました。



しかし、マルウェアの作成者は、トロイの木馬のバンキング用の新しい機能を開発し、Trj / Banbra.DCYの場合のように、マウスの動きを記録したり、モニター画面から画像をキャプチャおよび記録したりすることができました。







たとえば、BankoLimbファミリーに関連するいくつかのサンプルには、攻撃された銀行のURLのリストを含むファイルがありました。 BankoLimbに感染したユーザーが、このリストのウェブサイトとアドレスが一致するサイトに接続すると、トロイの木馬がアクティブになり、その後、銀行のウェブサイトに追加のhtmlコードが導入されました。 ユーザーが承認中に入力する必要があった通常のフィールドに加えて、追加情報も提供する必要があります。 ユーザーは銀行の実際のページにいたが、わずかに変更されていたことがわかります。 このため、銀行のウェブサイトに接続して追加情報の入力を求められた場合、特別なトロイの木馬に感染する可能性があり、すべてのアクションが傍受されるため、これを行わずに銀行に確認することをお勧めします。



他のケースでは、トロイの木馬はオリジナルの上に偽のページを重ね、その結果、ユーザーは自分が模倣を扱っているとは思いもしませんでした。 ユーザーが偽のログインページで登録情報を入力した後、エラーメッセージを受信するか、実際のWebサイトにリダイレクトされるため、クライアントは何も疑うことができません。

Sinowalファミリーのトロイの木馬のいくつかの亜種は非常に複雑で、データをその場で変更できます。



たとえば、ユーザーが銀行のウェブサイトを介して送金を行う場合、これらのトロイの木馬の亜種は、この送金の受取人を変更する可能性があります。 さらに、成功した操作の元の確認が偽造されたため、ユーザーはすでにだまされていたという事実を完全に知らないままでした。



他のオプションは、ユーザーがアクセスしたWebサイトに従ってアクションを実行する必要があるかどうかを理解するためにサーバーに接続しました。 したがって、悪意のあるプログラムは構成ファイルに依存していなかったため、サイバー犯罪者はいつでも、悪意のあるコードを挿入したり、情報を盗もうとするウェブサイトのリストを拡大または変更することができました。



スマートフォンからオンラインバンキングシステムに接続すればするほど、PCの場合と同じ目標を追求して、Android向けのバンキングマルウェアを開発するための資金を割り当てるハッカーが増えます。 スマートフォンにはオペレーティングシステム、アプリケーションなどが搭載されているため、本質的には別のコンピューターにすぎません。



銀行のマルウェアファミリの数は驚くべきものです。 簡単にするために、これらを2つの主要なグループに分けます。



1.ブラジル人

（バンブラ、バンカー、バンコスなど）



彼らは、ブラジル、南アメリカ、および部分的にスペインとポルトガルの銀行の顧客を対象としています。 技術的な観点から見ると、それらは革命的な創造物ではありません。 しかし、彼らはソーシャルエンジニアリング技術を使用して被害者を欺くという点で、最も創造的です。



2.ロシア人

（Bankolimb、Zeus、Sinowal、SpyEye、Citadel、Dyrezaなど）



彼らは、ヨーロッパと米国の銀行の顧客をターゲットにしています。 それらは常に技術的な観点から最も困難でした。



それらの多くは、全盛期にゼウスのソースコードが公開され、後に他の多くのファミリーが出現したため、多くの類似点があります：SpyEye、Citadel、Ice IX、Ramnit、Zberp、Kins、Murofeet、GameOver（Zeus P2P）など。







しかし、近年、犯罪グループが仕事の分野を多様化し、お金を受け取る新しい場所を探していることがわかります。



コンピューター制御POS端末



上記のように、そのような端末向けに特別に設計された悪意のあるプログラムがあり、それらはレストラン、ホテル、スーパーマーケットなどの支払い端末を介して銀行カードから情報を盗むために使用されます。



ATM



これらもほぼ同じコンピューターであり、目的は非常に限られています。 ハッカーが侵入してATMから直接お金を引き出すケースがありました。 これは、ATM自体を直接操作する（カードスキマーをインストールするなど）か、ATMにアクセスできる銀行の内部ネットワークに侵入することで実現できます。



銀行



すべての可能な犠牲者のうち、誰が最もお金を持っていますか？ もちろん、銀行自体。 これらの複雑な攻撃には多くのリソースと工夫が必要ですが、数百万ドルを盗む能力はサイバー犯罪者を引き付けます。



サイバー窃盗を防ぐための銀行への推奨事項



被害者にとって最も不快なことの1つは、攻撃に関する情報がないことです。 たとえば、バングラデシュ銀行に対する攻撃の後、マルウェアのサンプルが3つ発見されましたが、それだけです。



もちろん、攻撃者は、使用後に削除された他の多くのツールを使用しており、被害者はそのことを知ることはありません。 知識は力です。したがって、インシデントがどのように発生したかを知ることは、セキュリティの欠陥を修正し、将来の攻撃に先んじて取り組むための鍵となります。



ITインフラストラクチャで発生するすべての背後に無制限の可視性があるため、潜在的な攻撃が発生する前に注意深く監視し、回避することができます。



単一のサイバースペース、法律、認証、互換性、法的保護の欠如は、銀行がクラウドコンピューティングへの移行を行う際に直面する最大の障害の1つです。これは、金融機関が必要なソフトウェアを活用できるようにするシステムです。生産性、高いデータ精度、ドキュメントへのユニバーサルアクセスなどを提供します。



それでは、法的規制へのコンプライアンスを最大化するために、クラウドに保存されているデータに情報セキュリティソフトウェアをどのように関連付ける必要がありますか？



「秘密」とラベル付けされた情報：クラウドサービスは、機密の個人情報、または個人データの保護に関する法律に従って高度なセキュリティを備えた情報、または銀行によって「秘密情報」として分類された情報にアクセスしてはなりません。 唯一可能なニュアンスは、ユーザーアクティビティの結果として会社がITリソースを使用することに関連するデータの間接的な収集です。 この情報は、内部行動規範の制限として含まれている可能性があり、限られたサークルの人々（セキュリティオペレーターおよび銀行スタッフ）のみが利用できます。



「機密」という見出しの下の情報：サービスは、より低いレベルのセキュリティでユーザー情報にアクセスできます。 たとえば、ユーザーのログイン情報（決して収集されるべきではないパスワード）、デバイスの名前、およびユーザーを一意に識別する場合のそのIPアドレス。 このデータは、クラウドサービスが正しく機能するために必要であるため、サービスプロバイダーがそのようなデータにアクセスすることを許可できることは明らかです。



これらの2つの特性は、次世代デバイス保護（NG EPP）と攻撃検出および応答技術（EDR）を実行プロセスの100％に分類する機能を組み合わせた高度なセキュリティ機能を備えた最初のクラウドベースの情報セキュリティサービスであるAdaptive Defense 360セキュリティモデルの根底にあります。



このモデルのおかげで、銀行は、マルウェアまたは銀行員の行動によるものかどうかに関係なく、データ漏洩を検出できるソリューションでコア資産（顧客に関するデータおよび重要な情報）を保護することができます。



これは、金融セクターで最も価値のある機能の1つです。 Adaptive Defense 360​​はデータを受信して​​SIEMシステムに転送します。これにより、各エンドデバイス上のすべてのプロセスを完全に可視化できます。



これに加えて、システムに対するあらゆる種類の攻撃（未知の攻撃を含む）を検出およびブロックする機能に加えて、 Adaptive Defense 360では、システムとそのアプリケーションの脆弱性を検出して閉じることができ、ナビゲーションパネルなどの不要なプログラムの使用を防ぐことができます。アドウェアまたはアドオンと拡張機能。



Panda Securityエンタープライズソリューションは、サイバー脅威データを分析、分類、照合するコンテキストロジックを使用して、予防、検出、応答、および回復を行うプラットフォームの一部です。



未知の脅威に対する高度な保護を備えたこの情報セキュリティソリューションの有効性は、独立した試験機関AV-Comparativesによって確認されています。