تهدیدات بانکداری اینترنتی و راهکارهای مقابله با آنها

صنعت بانکداری به لحاظ ماهیت حساس کسب و کاری آن، همواره موضوع جذابی برای تهدیدات سایبری است تا جایی که تعداد حملاتی که این صنعت مهم را هدف قرار می دهند، تقریباً ۳ برابر حملات به سایر صنایع است. حملات سایبری که به بانک ها و مؤسسات مالی انجام می شوند بیشتر برای دسترسی به اطلاعات محرمانه مشتریان و سپرده گذاران بانکی به منظور سرقت پول آنها صورت می گیرند.

نقش آگاهی بخشی در خصوص امنیت سایبری صنعت بانکداری به دلیل خودکار شدن بسیاری از فرایندها و همچنین فراگیری میزان استفاده روشمند از فناوری در انجام تراکنش ها میزان اهمیت محرمانگی اطلاعات و نیاز به اعتبارسنجی دسترسی ها را در این صنعت، بسیار برجسته تر از سایر مشاغل کرده است.

ایجاد یک مدل امنیتی مناسب برای هر مؤسسه مالی و اعتباری، مستلزم شناخت دقیق تهدیدها و آسیب پذیری های امنیتی است که احتمال دارد بانک ها و مؤسسه های مالی را تحت تأثیر قرار دهد. تمام سیستم های بانکی اعم از ATMها، مراکز داده، دستگاه های کارتخوان فروشگاهی (POS) و حتی کارکنان شاغل در این مراکز می توانند به عنوان یک حفره امنیتی برای نفوذ و حمله سایبری محسوب شوند.

از مهمترین آسیب هایی که به دلیل نداشتن یک مدل امنیتی کارا ممکن است به مؤسسات مالی و بانکی وارد شود می توان به مواردی همچون آسیب به اعتبار، افزایش هزینه ها و کاهش درآمد ناشی از سرقت مالی یا ریزش مشتریان و سرمایه گذاران اشاره کرد. بنابراین شناسایی تهدیدها و توجه کافی به اعمال تدابیر امنیتی جهت مقابله با آنها از جمله مهمترین وظایف مدیران امنیتی بانک ها و مؤسسات مالی و اعتباری به شمار می رود.

بیشتر حملات سایبری انجام شده به بانک ها و مؤسسات مالی، ناشی از پیکربندی نادرست سیستم ها و سرویس ها و به روزرسانی مداوم آنها و همچنین عدم آگاهی کارکنان است. یکی از مهمترین حفره های امنیتی این صنعت همچون سایر مشاغل، خطای نیروی انسانی است. بسیاری از بانک های بزرگ دنیا این موضوع را عامل 93 درصد از آسیب پذیری ها در برابر تهدیدات سایبری می دانند (Data Breaches Bank, 2018).

حملات سایبری که هدف آنها کارمندان بانک ها، راهبران و مشتریان خدمات بانکی است عموماً به شکل یک ایمیل معتبر از طرف یکی از مدیران ارشد بانک یا کارمندی با رتبه بالا ارسال می شود تا بتواند سطوح امنیتی را در هم شکسته و به اطلاعات حساس مالی مشتریان و داده های بانکی دسترسی پیدا کند.

در حملات پیشرفته تر همچون فیشینگ و تهدیدات مانای پیشرفته (APT) از ایمیل های جعلی به همراه روش های پیچیده مهندسی اجتماعی استفاده می شود تا شخص خاصی را مورد هدف قرار داده و از وی به عنوان طعمه جهت ایجاد تهدید امنیتی سوءاستفاده شود.

ایمیل ارسالی در چنین حملاتی می تواند شامل یک فایل پیوست آلوده یا لینک به وب سایت مخربی باشد که شخص گیرنده به محض باز کردن فایل پیوست یا کلیک بر روی آن لینک، سیستم خود را در معرض حمله قرار می دهد. پس از نصب و فعال شدن بدافزار بر روی سیستم، حمله شروع شده و فرایند جمع آوری و ارسال داده های حساس سازمانی آغاز می شود.

انواع حملات به سیستم های بانکی را می توان به سه دسته کلی زیر تقسیم بندی کرد:

  1. حملات راه دور که تغییراتی را بر روی سیستم کاربر ایجاد نکرده و تنها از راه دور، ترافیک ماشین را شنود نموده یا ترافیک یک نشست را به سمت سرور دلخواه مهاجم هدایت می کنند.
  2. حملات محلی که بر روی سیستم کاربر، فعالیت های مخربی را انجام می دهند.
  3. حملات چندگانه که ترکیبی از حملات راه دور و حملات محلی هستند.

توضیح هر یک از این حملات، در جدول زیر آمده است:

دسته حملات نوع حمله توضیحات
حملات راه دور

فیشینگ

(Phishing)

فیشینگ، متداول ترین حمله راه دوری است که بانکداری آنلاین با آن مواجه است. در این روش، مهاجم با ایجاد یک نمونه ک‍پی کاملاً مشابه با وب سایت اصلی و ارسال پیام برای مشتریان آن بانک سعی می کند آنها را متقاعد کرده تا ضمن مراجعه به وب سایت جعلی، اطلاعات کاربری خود را در آن وارد کنند. مهاجم با این روش می تواند تمامی داده های مورد نیاز برای دسترسی به حساب کاربری مشتریان بانک را جمع آوری کرده و از آنها برای انجام کلاهبرداری سایبری سوءاستفاده کند. حملات فیشینگ، بیشتر با ارسال ایمیل و هدایت مشتریان بانک ها به وب سایت های جعلی که گاهاً با SSL هم به منظور معتبر نشان دادن خود نمایش داده می شوند، همراه است؛ به طوری که کاربر به جعلی بودن ایمیل دریافتی و فرایند کلاهبرداری نتواند شک نکند. یکی از روش های مقابله با این حمله، استفاده از ابزارکی در مرورگرها است که ابتدا هویت نام دامنه درخواستی کاربر را بررسی کرده و در صورت جعلی بودن دامنه، علاوه بر ارایه هشدار لازم به کاربر از نمایش محتویات آن سایت نیز جلوگیری می کند.

 

حمله فارمینگ (Pharming) این نوع حمله از طریق آلوده کردن سرویس نام دامنه (DNS) می تواند کاربران را به آدرس اینترنتی (IP) جعلی که به جای آدرس صحیح، درون جدول نام دامنه ها آمده است هدایت کند. در واقع این حمله با هدایت افراد به سمت دامنه های غیرمعتبر، اقدام به سرقت مجوزهای دسترسی یا هویت آنها در هنگام ورود به سیستم می کند. تنها راه مقابله با این نوع از حملات، افزایش آگاهی مدیران سیستم و پیکربندی امن سرورهای سرویس نام دامنه است.

 

شنود (Sniffing) این حمله، یکی دیگر از حملات راه دور است که در آن مهاجم اقدام به شنود داده هایی می کند که کاربر آن را دریافت یا ارسال می کند. راه مقابله با این نوع از حملات، استفاده از پروتکل های SSL/TLS برای رمزنگاری ترافیک تبادلی است. با این حملات می توان از طریق به روز نگهداشتن برنامه های کاربردی سمت سرور و پیکربندی صحیح سرورها نیز تا حدود زیادی مقابله کرد.

حملات محلی حملاتی هستند که امکان شنود اطلاعات حساس کاربران را تا قبل از رمز شدن آنها با پروتکل SSL برای مهاجمان فراهم می کنند. این کار اغلب توسط بدافزاری انجام می شود که علاوه بر دسترسی به دایرکتوری های سیستم کاربر و حذف فایل های مورد نظر مهاجم، فرایند شنود را بر روی مرورگر وی آغاز می کند. در روش دیگر، حمله با استفاده از نمایش یک وب سایت جعلی مشابه سایت اصلی و با هدف سرقت داده های کاربران صورت می پذیرد. در این حالت، کاربر به وب سایت جعلی هدایت شده و اطلاعات ورودی خود به سیستم را در آن وارد می کند. یکی دیگر از روش های انجام این نوع از حملات، صفحات کلید (کیبردهای) سیستم کاربران است. اگرچه استفاده از صفحه کلید مجازی روشی برای مقابله با این مخاطره است ولی راهکار اصلی نیست.
حملات چندگانه مهاجم در این نوع از حملات، روش های موجود در حملات محلی را با حملات راه دور ادغام کرده و حمله را بر روی سیستم کاربر شروع می کند. عمده فعالیت مهاجم در این نوع از حملات، جایگزین کردن یک آدرس جعلی با آدرسی معتبر و شناخته شده است. یکی دیگر از روش هایی که در این حملات زیاد از آن استفاده می شود، تغییر آدرس یا اصل فایل های موجود بر روی سیستم کاربر است. در روش های دیگر نیز حمله با تغییر مسیر درخواست های HTTP یا تغییر و انحراف جریان ترافیک انجام می شود. چنین حملاتی پیچیدگی بالایی داشته و برای مقابله با‌ آنها نیاز به استفاده از روش های ترکیبی مقابله با حملات راه دور و حملات محلی است. یکی از راه حل های مقابله با حملات چندگانه، استفاده از نوار ابزارهای ضدفیشینگ و احراز هویت های متقابل میان سیستم کاربر و سرور است.

بعضی از اقدامات امنیتی که می تواند مانع از خطای انسانی و وقوع حملات سایبری بر ضد سامانه های مالی و بانکی شود، شامل موارد زیر است:

لایه های امنیتی بانکداری اینترنتی

بانکداری امن اینترنتی به معنای این است که تعاملات و تراکنش های میان کاربران و بانک و همچنین بانک با شرکایش با بالاترین سطح امنیت و برخورداری از فرایندهای امن، در بستر اینترنت انجام شود. افق تهدیداتی که پیش روی بانکداری اینترنتی است، همواره در حال گسترش است. به همین دلیل، سازمان هایی مانند FFIEC شروع به وضع قوانین و الزاماتی کرده اند که بانک ها برای تأمین نیازمندی های کاربرانی که در بستر اینترنت و با استفاده از دستگاه های هوشمند با آنها تعامل دارند، ملزم به رعایت آنها هستند.

بانک ها می بایست از لایه های امنیتی و راهکارهایی استفاده کنند که بیشترین تطابق را با نیازهای آنها و مشتریانشان دارد. استفاده از لایه های بیشتر برای تأمین امنیت، از این جهت مهم است که با بزرگتر شدن بانک و افزایش تعاملات و تراکنش های آن نیاز به اختصاص بودجه برای لحاظ کردن امنیت نیز بیشتر می شود.

از طرف دیگر هر روزه روش ها و تهدیدات بانکی جدیدی ابداع می شود. اخیراً بدافزارهایی که صنعت بانکداری را تهدید می کنند، نمونه هایی کاملاً خودکار بوده و هدف آنها مستقیماً بانکداری اینترنتی است. همه آنچه گفته شد ما را به این نتیجه می رساند که انتخاب راهبرد مناسب جهت تأمین امنیت بانکداری اینترنتی ضرورتی اجتناب ناپذیر برای تمام بانک هایی است که می خواهند همچنان در عرصه بانکداری عصر نوین، به فعالیت های کسب و کاری خود ادامه دهند.

لازم به ذکر است لایه های امنیتی مورد نیاز برای بانک ها به صورت زیر است که در بندهای زیرین نیز تشریح می شوند:

  1. احراز هویت کاربران
  2. احراز اصالت دستگاه ها
  3. حفاظت از کاربران
  4. احراز اصالت تراکنش ها/هوش الگومحور
  5. امنیت برنامه های کاربردی

لایه اول: احراز هویت کاربران

در این گام، از راهکارهای احراز هویت چندعاملی استفاده می شود. این لایه، پایه و اساسی برای ایجاد دیگر لایه های امنیتی بانکداری اینترنتی به شمار می رود. رویکرد درست در مورد معماری این لایه‌ آن است که احراز هویت کاربران، ترکیبی از دانسته های آنها همچون کلمات عبور، داشته های کاربران که می تواند فارغ از دستگاه های هوشمند آنها همچون تلفن همراه، توکن ها و … باشد و نیز موجودیت کاربران همچون مشخصه های زیست سنجی و ویژگی های رفتاری آنها باشد.

لایه دوم: احراز اصالت دستگاه ها

به محض آنکه تأیید و احراز هویت کاربر انجام شد می بایست احراز اصالت دستگاه هایی که کاربران از‌ آنها برای برقراری ارتباط با سامانه های بانکی استفاده می کنند، صورت گیرد. چنین احراز اصالت هایی بیشتر وابسته به شناسایی دستگاه های هوشمند و پروفایل های کاربران، شناسایی پروکسی ها و همچنین شناسایی و تشخیص موقعیت های مکانی کاربران مجاز در هنگام اتصال و درخواست سرویس آنلاین از بانک است.

لایه سوم: حفاظت از کاربران

در این مرحله از معماری امنیتی، دو چیز مشخص شده است: یکی کاربری که قصد دریافت خدمات آنلاین را از بانک دارد و دیگری هم دستگاهی که کاربر از آن برای ایجاد تعاملات و انجام تراکنش های بانکی خود استفاده می کند. در این گام می بایست از امنیت کانال های ارتباطی کاربران با بانک اطمینان حاصل کرد. لایه حفاظت از کاربران باید گستره ای از راهکارهای امنیتی همچون سیستم های شناسایی بدافزارهایی که نیاز به نصب توسط مشتریان ندارند تا استفاده از مرورگرهایی که اتصال دولایه سوکت امن را به سامانه بانکی برقرار می سازند، شامل شود.

لایه چهارم: احراز اصالت تراکنش ها/هوش الگومحور

تمرکز این لایه، بیشتر بر روی تراکنش های حساسی می باشد که ممکن است شامل امضای قراردادها یا نقل و انتقال مبالغ زیاد باشند. اهمیت این لایه به عنوان یک لایه امنیتی اضافی، به خصوص در مواردی که ایجاد امنیت سطح بالا از اولویت های راهبردی بانک است، بیشتر می شود. این لایه دربرگیرنده مواردی همچون تأییدیه های تراکنشی ثانویه ای که از سایر روش های احراز هویت دیگر علاوه بر کلمه عبور و شناسه کاربری استفاده می کنند و شامل امضای تراکنش ها برای مواردی که انجام تراکنش نیاز به تأیید اعتبار دارد و نیز تحلیل و پایش تراکنش ها و رفتارهای کاربران می شود، است.

لایه پنجم: امنیت برنامه های کاربردی

با افزایش بانکداری مبتنی بر تلفن همراه، نیازمند آن هستیم که از امن بودن برنامه هایی که اجراکننده و همچنین بستر دریافت و ارسال داده های حساس بر روی دستگاه های تلفن همراه هستند، مطمئن شویم. این لایه شامل ایجاد ساختار و معماری امن برای برنامه های کاربردی و نیز احراز هویت های متقابل است. با ایجاد این لایه امنیتی در بانکداری اینترنتی می توان کلاهبرداری های برخط و سرقت داده ها توسط هکرها و مجرمان سایبری را بیش از پیش پیچیده و سخت تر کرد.

همزمان با پیشرفته و پ‍یچیده تر شدن بدافزارهایی که صنعت بانکداری را تهدید می کنند، نیازمند توجه ویژه به حوزه امنیت سایبری بانک ها و مؤسسات مالی هستیم. فراهم کردن امنیت سایبری چنین مراکزی دو مزیت مهم برای آنها به همراه دارد که یکی تداوم کسب و کار و اعتبار بانک و دیگری نیز تأمین امنیت سایبری مشتریان آنها است. با تأمین امنیت سایبری مشتریان بانکی، امکان استفاده مشتریان در هر زمان و هر مکان از خدمات بانکی فراهم شده و به این ترتیب بقای مشتریان و فرایند وفادارسازی آنها نیز تسریع خواهد شد.

مهمترین تهدیدات سایبری صنعت بانکداری

در جدول زیر، مهمترین حملات سایبری که در طول یک دهه اخیر سازمان های مالی و اعتباری را هدف قرار داده اند، آمده است (BANK ATTACKS, 2018):

نام سازمان

نوع حمله زمان حمله جزییات حمله سایبری
بانک مرکزی فدرال کلیولند

سرقت و جاسوسی سایبری

2010

سرقت اطلاعات حدود 122000 کارت اعتباری

بانک مرکزی فدرال نیویورک

سرقت و جاسوسی سایبری

2012

سرقت کد نرم افزاری اختصاصی بانک به ارزش 9.5 میلیون دلار

بانک سوئدی Sveriges Riksbank

ایجاد اختلال و خرابکاری 2012

انجام حمله ممانعت از سرویس توزیع شده (DDoS) که منجر به خاموشی ۵ ساعته تمامی سیستم ها و سرورهای بانکی شد.

بانک مرکزی اکوادور

جرایم سایبری و کلاهبرداری 2013

سرقت 13.3 میلیون دلار از حساب بانک مرکزی اکوادور در شهر ریبامبا

بانک مرکزی فدرال سنت لوییس

جاسوسی سایبری و سرقت اطلاعات 2013

انتشار شناسه کاربری 4000 نفر از مدیران بانک فدرال سنت لوییس آمریکا

بانک مرکزی سوئیس

جرایم سایبری و کلاهبرداری 2014

سرقت 688000 میلیون دلار از حساب های مشتریان

ECB

سرقت و جاسوسی سایبری 2014

سرقت اطلاعات تماس و ایمیل حدود 20000 نفر از مشتریان

بانک های نروژ

ایجاد اختلال و خرابکاری 2014

انجام حمله ممانعت از سرویس توزیع شده (DDoS) به هفت بانک بزرگ نروژی که منجر به عدم پاسخگویی سیستم ها و سرورهای بانکی به مدت یک روز تمام شد.

بانک مرکزی آذربایجان

سرقت و جاسوسی سایبری 2015

سرقت اطلاعات هزاران نفر از مشتریان بانک

بانک مرکزی بنگلادش

ایجاد اختلال و خرابکاری 2016

سوءاستفاده از اعتبار سوئیفت بانک مرکزی بنگلادش برای انتقال 81 میلیون دلار از حساب آن در FRBNY و تلاش برای سرقت 951 میلیون دلار پول از این بانک. این حمله به دلیل خطای انسانی در مستند کردن پرداخت ها صورت گرفت.

بانک روسیه

ایجاد اختلال و خرابکاری 2016

 انجام 21 حمله سایبری و سرقت ۲۲ میلیون دلار از حساب های بانکی مشتریان

بانک ایتالیا

سرقت و جاسوسی سایبری 2017

هک کردن ایمیل و سرقت اطلاعات دو نفر از مدیران بانک جهت دسترسی به داده ها و اطلاعات حساس

بانک روسی گلوبکس

ایجاد اختلال و خرابکاری 2017

یکی از بانک های تابعه VEB که مورد حمله سایبری قرار گرفت و به دلیل سرقت اطلاعات سوئیفت آن، چیزی در حدود 100 هزار دلار را از دست داد.

 

 

منابع: itproportal ،scmagazineuk، managingrisktogether، securelist

 

خروج از نسخه موبایل