تقرير جديد من Trustwave SpiderLabs يقدم وصفًا غنيًا لعدد لا يحصى من التهديدات التي تواجه شركات الخدمات المالية. مشهد التهديدات في قطاع الخدمات المالية لعام 2023 يغطي الجهات الفاعلة والتكتيكات التهديدية البارزة، ويقسم تدفق هجوم الخدمات المالية إلى خطوات، ويغطي العديد من نقاط الدخول الشائعة للقراصنة.

شركات الخدمات المالية معرضة بشكل خاص للتسريبات الذكاء الاصطناعي التوليدي ونماذج اللغات الكبيرة (LLMs) نظرًا لأنواع البيانات التي تخزنها. إن علاقاتهم العديدة مع الجهات الخارجية مع الشركات التي من المرجح أن تستخدم هذه الأدوات بشكل متزايد تجعلهم عرضة لفقدان السيطرة على بياناتهم. مع استمرار تقييم أمان هذه التقنيات الجديدة، يجب على الخوادم اتباع نهج المخاطر/المنفعة والنظر في آثارها قبل المتابعة.

يساعد الذكاء الاصطناعي التوليدي وLLMs المجرمين على إنشاء رسائل بريد إلكتروني للتصيد الاحتيالي بشكل أفضل. لقد ولت إلى حد كبير أيام الرسائل الضعيفة نحويًا والتي يسهل اكتشافها. يتم استبدالها بإدخالات أكثر إقناعًا تم إعدادها بواسطة حاملي شهادات LLM مثل FraudGPT وWorm GPT.

التهديد بمخاطر الطرف الثالث

يعد الذكاء الاصطناعي وLLMs أحد المجالات العديدة التي تنطوي فيها العلاقات مع الطرف الثالث على مخاطر. الرئيس العالمي لأمن المعلومات في Trustwave كوري دانيلز وقال إنه من الأهمية بمكان أن يكون لدى المؤسسات رؤية واضحة لخطط البائعين الخارجيين الخاصة بهم للاستخدام الحالي والمستقبلي لتلك التقنيات. ونظراً للعبء التنظيمي الثقيل الملقى على كاهل المؤسسات المالية، فيتعين عليها أن تضمن امتثال شركائها من الأطراف الثالثة، الذين غالباً ما يتعرضون لرقابة أقل، أيضاً.

وقال دانيلز: "لقد تم إدخال الكثير من البرامج الأمنية في وقت متأخر من اللعبة". "لقد رأت العديد من المؤسسات الفوائد المالية، والفوائد التجارية في سرعة التوسع والمرونة، ونقل هندستها والدفع بشكل أسرع إلى السوق. وتسابقوا إلى ذلك، أو أجبرهم الوباء على الخروج من الضرورة. لكن السؤال هو هل فعلوا ذلك بشكل آمن؟

"نحن بحاجة إلى قياس مدى تواصلنا رقميًا مع شركائنا. نحن بحاجة إلى فهم كيفية اتصالهم بنا. هل هي واجهة برمجة التطبيقات الخاصة بنا؟ هل هي واجهة برمجة التطبيقات الخاصة بهم؟ كم هو مفتوح المصدر؟ كيف يمكنك تحديد أولويات الشركاء المهمين مقابل الشركاء الأقل أهمية، وكيف يمكنك بذل هذا الجهد؟

بالنسبة لدانيلز، تتضمن العملية مراجعة العلاقات خطوة بخطوة لتحديد المخاطر ومستويات الحماية والقدرات والضوابط. تحديد كيفية تطبيق الحماية. أين لا يمكن فرض تدابير الحماية، وأين تؤدي إلى الاحتكاك؟ في حالة فشل الكشف والاستجابة، كيف يمكنك تعزيز المرونة؟

ضع الذكاء الاصطناعي في الاعتبار عند إجراء التقييمات. اعمل مع الشركاء الذين أثبتوا قدراتهم في اكتشاف التهديدات الناتجة عن الذكاء الاصطناعي. تطوير سياسات داخلية قوية وتدريب لتقليل مخاطر الاختراق. فكر في إنشاء مجموعات عمل عبر الفرق ذات الصلة لمعالجة مخاوف الحوكمة وتبادل البيانات.

تهديدات برامج الفدية

في عام 2022، اكتشف استطلاع أجرته لجنة تداول العقود الآجلة للسلع الأمريكية أن ثلاثًا من كل أربع مؤسسات مالية عالمية تعرضت لهجوم واحد على الأقل من برامج الفدية في ذلك العام. تعمل أدوات برامج الفدية كخدمة على تقليل الحاجز الجنائي أمام الدخول وزيادة احتمالات نطاق الهجوم. 

تعد Clop وLockBit وAlphv/BlackCat من بين مجموعات برامج الفدية الأكثر شهرة. تتضاعف التأثيرات عندما يتم نشر البيانات المسروقة على الويب المظلم ليستغلها الآخرون. 

قم بإجراء نسخ احتياطي للبيانات بشكل متكرر لزيادة قدرة شركتك على الاسترداد في حالة حدوث هجوم. قم بتخزين النسخ الاحتياطية خارج الموقع وتأكد من إمكانية استعادتها. تأمين بروتوكولات سطح المكتب البعيد المكشوفة، وتصحيح نقاط الضعف المعروفة وتعطيلها إذا لم تكن ضرورية.

تشكل شركات الخدمات المالية الأمريكية 51% من ضحايا برامج الفدية على مستوى العالم. لا يوجد بلد آخر يصل إلى رقمين.

الخطوات الخمس للهجوم

موطئ قدم أولي

يعرض التقرير بالتفصيل الخطوات الخمس لتدفق الهجوم: الموطئ الأولي، والحمولة الأولية، والتوسيع/التمحور، والبرامج الضارة، والتسلل/ما بعد التسوية.

يعد التصيد الاحتيالي وتسويات البريد الإلكتروني التجاري من أكثر الطرق شيوعًا التي يقوم المجرمون من خلالها بإدخال أنفسهم إلى المؤسسات. يريد المتصيدون سرقة بيانات الاعتماد، وإدراج برامج ضارة وتفعيل إجراءات مثل إرسال الأموال إلى مسؤول تنفيذي تقطعت به السبل. ما يقرب من 80% من المرفقات الضارة هي HTML. الميزات الشائعة الأخرى هي الملفات التنفيذية وملفات PDF ومستندات Excel وWord. تتضمن الرسائل غالبًا إشعارات البريد الصوتي وإيصالات الدفع وأوامر الشراء والتحويلات والودائع المصرفية وطلبات عروض الأسعار. 

الشركات الأكثر شيوعًا التي يتم الاستشهاد بها في رسائل البريد الإلكتروني التصيدية التي تحتوي على مرفقات ضارة هي American Express وDHL وMicrosoft. ويشكلون معًا 60%. الشركات الأكثر تعرضًا للخداع في هجمات التصيد الاحتيالي هي Microsoft بنسبة هائلة بلغت 52%، وDocuSign بنسبة 10%، وAmerican Express بنسبة 8%. 

يمكن للمؤسسات حماية نفسها من خلال إجراء اختبارات تصيد وهمية متكررة وإعادة تدريب مرتكبي الجرائم المتكررة. ويتعين عليهم أن يضيفوا تدابير مكافحة الانتحال، مثل التقنيات الموجودة على بوابات البريد الإلكتروني، ونشر فحص البريد الإلكتروني متعدد الطبقات باستخدام أداة مثل Mail Marshal من TrustWave، وتبني أساليب اكتشاف الأخطاء الإملائية في النطاق لتحديد هجمات التصيد الاحتيالي وهجمات BEC.

الحمولة الأولية

غالبًا ما يتمكن المجرمون من الدخول إلى المؤسسات بمجرد تسجيل الدخول، وذلك بفضل محاولات التصيد الاحتيالي الناجحة وضعف إجراءات الأمن السيبراني. يتم استخدام الوصول إلى بيانات الاعتماد في 20% من الهجمات. 

هذا هو أحد المجالات التي يمكن أن تمنع فيها العناية البسيطة العديد من الهجمات. تحتوي العديد من الحسابات الإدارية وحسابات الوصول العالي على كلمات مرور قديمة أو مشتركة. لدى العديد من الشركات ملفات غير آمنة تحتوي على كلمات مرور وملفات تحتوي على كلمة مرور في عنوانها.

وقال دانيلز إن العمل عن بعد أدى إلى تفاقم المشكلة.

وأشار إلى أن "الفصل بين الشركات والأفراد أصبح غير واضح أكثر فأكثر في هذه القوى العاملة الرقمية". "التأكد من أننا لا نتمتع بالنظافة الجيدة في بيئة الشركة فحسب، بل أن المستخدمين يأخذون ذلك معهم إلى المنزل. نريد تثقيف كل مستخدم في العمل… لأنهم خط الدفاع الأول”.

تتضمن استراتيجيات الأمان تغييرات منتظمة لكلمات المرور، والمصادقة متعددة العوامل، والتخزين الآمن والمشفر.

اقرأ أيضا:

التوسع المحوري

غالبًا ما يتمكن المهاجمون من الدخول إلى المؤسسات المالية من خلال نقاط ضعف البرامج، والتي يمكن معالجتها من خلال التصحيحات. أكثر عمليات الاستغلال شيوعًا التي تستهدف شركات الخدمات المالية هي:

• أباتشي Log4J (CVE-2021-44228)
• البرمجة عبر الموقع
• حقن SQL
• اجتياز الدليل
• زيرولوجون (CVE-2020-1472)
• الربيع الأساسي RCE (CVE-2022-22965)
• موفيت آر سي إي (CVE-2023-34362)
• خادم تبادل RCE (CVE-2022-41040، CVE-2022-41082) 
• خادم التبادل SSRF
• مايكروسوفت ويندوز RDP RCE (CVE-2019-0708)
• NTPsec ntpd (CVE-2019-6443) 
• إساءة استخدام خدمة البيانات الوصفية لمثيلات السحابة (IMDS). 
• طلب واجهة برمجة تطبيقات Samba ServerPasswordSet الضعيفة
• محاولات RCE أخرى غير محددة 

ويشير التقرير إلى أن المؤسسات المالية تعاني أيضًا من بعض نقاط الضعف القديمة.

وجاء في التقرير: "... إن شركات الخدمات المالية الكبرى التي لديها أنظمة قديمة قديمة أكثر ترددًا في إجراء تغييرات في بنيتها التحتية التي قد تؤدي إلى تعطيل العمليات". "هناك تحدٍ آخر يتمثل في ضعف مخزون الأصول، خاصة عندما توجد بيانات مهمة. وهذا يزيد من صعوبة تحديد ما يجب تحديد أولوياته فيما يتعلق بمعالجة الثغرات الأمنية. 

"بالإضافة إلى ذلك، أظهر بحث Trustwave SpiderLabs الأخير عن Shodan، والذي يقوم بمسح جميع عناوين IP العامة على الإنترنت، أكثر من 110,000 منفذ مفتوح ولافتات خدمة و/أو بصمات تطبيقات في مؤسسات الخدمات المالية التي يوجد بها 30,000 مقيم في الولايات المتحدة" 

البرمجيات الخبيثة

غالبًا ما يحصل المهاجمون على وصول أولي عبر أنظمة منخفضة القيمة. ولكن بمجرد دخولهم، يستخدمون أدوات أكثر تطورًا مثل PowerShell وLOLBins لتوسيع نطاق وصولهم. 

ما يقرب من 30% من حوادث القطاع المالي تتضمن تعليمات برمجية يتحكم فيها الخصم وتعمل في أنظمة محلية أو بعيدة. غالبًا ما يستخدم المجرمون PowerShell بسبب وجوده في بيئات Windows. كما أنهم يقنعون الأشخاص بفتح الملفات الضارة.

إذا لم يتم اكتشافهم، ينتقل المهاجمون إلى أهداف مؤسسية ذات قيمة أعلى مثل مسؤولي المجال وخوادم قواعد البيانات. Remcom، وBloodhound، وLazagne، وSharphound هي أدوات شائعة الاستخدام. يقوم المهاجمون أيضًا بزرع أنفسهم عن طريق إنشاء حسابات جديدة، وتعديل الحسابات الحالية أو التلاعب بها، ومطالبة أنظمة التشغيل ببدء إجراءات مختلفة.

ينشر العديد من المجرمين نوعًا معينًا من البرامج الضارة يُطلق عليها اسم "برامج سرقة المعلومات"، والتي غالبًا ما تستهدف بيانات مثل جهات الاتصال وكلمات المرور ومعلومات العملة المشفرة. يركز سارقو المعلومات أثناء النقل على البيانات التي يتم إدخالها ولكن لا يتم تخزينها على النظام، مثل معلومات الحساب التي يمكن استخدامها لسحب الأموال من الحسابات. 

تشمل أدوات سرقة المعلومات الشائعة المستخدمة لاستهداف صناعة الخدمات المالية FormBook وXLoader وLokibot وSnake Keylogger. تعد أدوات مكافحة البرامج الضارة المستندة إلى المضيف وضوابط التدقيق والمراقبة النشطة من بين العلاجات المقترحة.

تساعد أحصنة طروادة ذات الوصول البعيد (RATs) المجرمين على الوصول إلى المستويات الإدارية. فهو يسمح لهم بتشغيل كاميرات الويب والتقاط لقطات الشاشة وتنزيل الملفات. إن برامج RAT الشائعة المستخدمة لاستهداف قطاع الخدمات المالية هي Agent Tesla وGigabud RAT.

التصفية/ ما بعد التسوية

المرحلة النهائية هي التسلل والتسوية، وهي عندما ينفذ المهاجمون خطتهم النهائية. قد يعني ذلك سرقة أكبر قدر ممكن من المعلومات قبل المضي قدمًا، أو استهداف مصادر محددة، أو التسبب في الفوضى. تشمل التكتيكات المقترحة مراقبة الويب المظلم، وإجراء اختبارات الاختراق والاستجابة للحوادث بشكل منتظم، وتقليل مقدار الوقت لمعالجة الضرر.

وقال دانيلز إن وسطاء البيانات يشكلون مصدر قلق كبير في الصناعة. ولن تنمو أهميتها إلا في الاقتصاد القائم على البيانات. يجب أن تستعد صناعة الخدمات المالية لعدد متزايد من التهديدات بسبب الذكاء الاصطناعي الذي يقلل من حواجز الدخول.

قال دانيلز: "سنرى المزيد من هذه الأشياء وتنوعًا إضافيًا". "إن وصولهم عبر المنظمات سوف يستمر في الزيادة. 

"باعتبارك قائد أعمال، كيف يمكنك مساعدة فريق الأمان لديك على تحقيق النجاح؟ ما مدى معرفتك بالجهات الأمنية والجهات التهديدية؟ هل لديك القدرة المشتركة على مشاركة ذلك مع شركائك؟

.pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-radius: 5% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-size: 24px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { font-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-weight: normal !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a:hover { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-user_url-profile-data { color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { text-align: center !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-recent-posts-title { border-bottom-style: dotted !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { border-style: solid !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { color: #3c434a !important; }

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.fintechnexus.com/trustwave-threat-report-a-fiserv-must-read/