Een nieuw rapport van Trustwave SpiderLabs biedt een rijke beschrijving van de talloze bedreigingen waarmee financiële dienstverleners worden geconfronteerd. Bedreigingslandschap voor de financiële dienstensector in 2023 behandelt prominente dreigingsactoren en -tactieken, verdeelt de aanvalsstroom op financiële diensten in stappen en behandelt verschillende veelvoorkomende toegangspunten voor hackers.

Vooral financiële dienstverleners zijn kwetsbaar voor lekken generatieve AI en Large Language Models (LLM's) vanwege de soorten gegevens die ze opslaan. Hun vele externe relaties met bedrijven die deze tools steeds vaker gaan gebruiken, maken hen kwetsbaar voor het verliezen van de controle over hun gegevens. Nu de veiligheid van deze nieuwe technologieën nog steeds wordt beoordeeld, moeten fiservs een risico-batenbenadering hanteren en de implicaties ervan overwegen voordat ze verder gaan.

Generatieve AI en LLM's helpen criminelen veel betere phishing-e-mails te maken. De dagen van grammaticaal slechte berichten die gemakkelijk te detecteren zijn, zijn grotendeels voorbij. Ze worden vervangen door overtuigender inzendingen van LLM's als FraudGPT en Worm GPT.

De dreiging van risico van derden

AI en LLM's zijn een van de vele gebieden waarop relaties met derden risico's met zich meebrengen. Trustwave's wereldwijde Chief Information Security Officer Kor Daniels zei dat het van cruciaal belang is dat instellingen een duidelijk inzicht hebben in de plannen van hun externe leveranciers voor het huidige en toekomstige gebruik van deze technologieën. Gezien de zware regeldruk die op de financiële instellingen rust, moeten zij ervoor zorgen dat hun externe partners, die vaak minder toezicht zien, ook aan de regels voldoen.

"Veel beveiligingsprogramma's werden laat in het spel geïntroduceerd", zei Daniels. “Veel organisaties zagen het financiële voordeel, het zakelijke voordeel in de snelheid van schaal en elasticiteit, waardoor hun engineering werd verplaatst en sneller op de markt werd gebracht. En ze haastten zich om dat te doen, anders dwong de pandemie hen uit noodzaak. Maar de vraag is: hebben ze het veilig gedaan?

“We moeten meten hoe digitaal verbonden we zijn met onze partners. We moeten begrijpen hoe ze met ons verbonden zijn. Is het onze API? Is het hun API? Hoeveel is open source? Hoe geef je prioriteit aan de kritische partners ten opzichte van de minder kritische partners, en hoe pak je die inspanning aan?”

Voor Daniels omvat het proces het stap voor stap doornemen van relaties om risico's, beschermingsniveaus, mogelijkheden en controles te identificeren. Bepaal hoe de beveiliging wordt afgedwongen. Waar kunnen beschermingsmaatregelen niet worden afgedwongen en waar veroorzaken ze wrijving? Mocht detectie en respons mislukken, hoe bevorder je dan de veerkracht?

Houd AI in gedachten bij het uitvoeren van evaluaties. Werk samen met partners die bewezen capaciteiten hebben in het detecteren van door AI gegenereerde bedreigingen. Ontwikkel een krachtig intern beleid en training om het risico op inbreuken te minimaliseren. Overweeg om werkgroepen op te richten bestaande uit relevante teams om problemen op het gebied van governance en het delen van gegevens aan te pakken.

Ransomware-bedreigingen

In 2022 ontdekte een onderzoek van de Amerikaanse Commodity Futures Trading Commission dat drie van de vier mondiale financiële instellingen dat jaar ten minste één ransomware-aanval hadden meegemaakt. Ransomware-as-a-service-tools verlagen de criminele toegangsdrempel en vergroten het potentieel van de aanval. 

Clop, LockBit en Alphv/BlackCat behoren tot de meest beruchte ransomwaregroepen. De effecten worden nog groter naarmate gestolen gegevens op het Dark Web worden gepubliceerd zodat anderen deze kunnen exploiteren. 

Maak regelmatig een back-up van uw gegevens om het herstelvermogen van uw bedrijf te vergroten in geval van een aanval. Bewaar back-ups off-site en bevestig dat ze kunnen worden hersteld. Beveilig blootgestelde remote desktop-protocollen, patch bekende kwetsbaarheden en schakel ze uit als ze niet nodig zijn.

Amerikaanse financiële dienstverleners vertegenwoordigen 51% van de wereldwijde slachtoffers van ransomware. Geen enkel ander land haalt dubbele cijfers.

De 5 stappen van een aanval

Aanvankelijke voet aan de grond

Het rapport beschrijft de vijf stappen van een aanvalsstroom: initiële voet aan de grond, initiële payload, uitbreiding/pivoteren, malware en exfiltratie/post-compromis.

Phishing en zakelijke e-mailcompromissen zijn de populairste methoden waarmee criminelen zich in instellingen binnendringen. Phishers willen inloggegevens stelen, malware invoegen en acties ondernemen zoals het sturen van geld naar een gestrande directeur. Bijna 80% van de kwaadaardige bijlagen is HTML. Andere veel voorkomende functies zijn uitvoerbare bestanden, PDF's, Excel- en Word-documenten. Berichten bevatten vaak voicemailmeldingen, betalingsbewijzen, inkooporders, overmakingen, bankstortingen en offerteaanvragen. 

De meest voorkomende bedrijven die worden genoemd in phishing-e-mails met kwaadaardige bijlagen zijn American Express, DHL en Microsoft. Samen zijn zij goed voor 60%. Bedrijven die het meest worden vervalst in pure phishing-aanvallen zijn Microsoft met maar liefst 52%, DocuSign met 10% en American Express met 8%. 

Instellingen kunnen zichzelf beschermen door regelmatig nep-phishing-tests uit te voeren en recidivisten te herscholen. Ze zouden maatregelen tegen spoofing moeten toevoegen, zoals technologieën op e-mailgateways, gelaagde e-mailscanning moeten inzetten met een tool als Mail Marshal van TrustWave, en methoden moeten invoeren om spelfouten in domeinen te detecteren om phishing en BEC-aanvallen te identificeren.

Initiële lading

Criminelen krijgen vaak toegang tot instellingen door simpelweg in te loggen, dankzij succesvolle phishing-pogingen en slechte cyberveiligheidshygiëne. Bij 20% van de aanvallen wordt gebruik gemaakt van inloggegevens. 

Dit is een gebied waarop eenvoudige zorgvuldigheid veel aanvallen kan voorkomen. Veel beheerdersaccounts en accounts met hoge toegang hebben oude of gedeelde wachtwoorden. Veel bedrijven hebben onbeveiligde bestanden met wachtwoorden en bestanden met 'wachtwoord' in de titel.

Daniels zei dat werken op afstand het probleem heeft verergerd.

“De scheiding tussen zakelijk en persoonlijk wordt steeds vager in dit digitale personeelsbestand”, merkte hij op. “Ervoor zorgen dat we niet alleen goede hygiëne hebben in de bedrijfsomgeving, maar dat gebruikers die ook mee naar huis nemen. We willen elke gebruiker in het bedrijf opleiden… omdat zij de eerste verdedigingslinie vormen.”

Veiligheidsstrategieën omvatten regelmatige wachtwoordwijzigingen, meervoudige authenticatie en veilige, gecodeerde opslag.

Lees ook:

Uitbreiding draaibaar

Aanvallers krijgen vaak toegang tot financiële instellingen via softwarekwetsbaarheden, die via patches kunnen worden verholpen. De meest voorkomende exploits gericht op financiële dienstverleners zijn:

• Apache Log4J (CVE-2021-44228)
• Cross-Site Scripting
• SQL Injection
• Directory doorbladeren
• ZeroLogon (CVE-2020-1472)
• Veerkern RCE (CVE-2022-22965)
• MOVEit RCE (CVE-2023-34362)
• Exchange Server RCE (CVE-2022-41040, CVE-2022-41082) 
• Exchange Server-SSRF
• MS Windows RDP RCE (CVE-2019-0708)
• NTPsec ntpd (CVE-2019-6443) 
• Misbruik van Cloud Instance Metadata Service (IMDS). 
• Samba ServerPasswordSet Kwetsbaar API-verzoek
• Andere niet-gespecificeerde RCE-pogingen 

Het rapport merkt op dat financiële instellingen ook met een aantal oude kwetsbaarheden worstelen.

“…Grotere financiële dienstverleners met oudere, verouderde systemen zijn huiveriger om veranderingen in hun infrastructuur aan te brengen die de bedrijfsvoering mogelijk kunnen verstoren”, luidt het. “Een andere uitdaging is de slechte inventaris van bedrijfsmiddelen, vooral waar kritieke gegevens zich bevinden. Dit maakt het moeilijker om te bepalen waar prioriteit aan moet worden gegeven bij het oplossen van beveiligingsproblemen. 

“Bovendien heeft een recente zoektocht van Trustwave SpiderLabs naar Shodan, die alle openbare IP-adressen op internet scant, meer dan 110,000 open poorten, servicebanners en/of applicatievingerafdrukken opgeleverd bij financiële dienstverleners, waarvan 30,000 in de VS wonen” 

Malware

Aanvallers verkrijgen vaak initiële toegang via systemen met een lage waarde. Maar eenmaal binnen gebruiken ze geavanceerdere tools zoals PowerShell en LOLBins om hun bereik te vergroten. 

Bij bijna 30% van de incidenten in de financiële sector gaat het om door tegenstanders gecontroleerde code die in lokale of externe systemen wordt uitgevoerd. Criminelen gebruiken PowerShell vaak vanwege de aanwezigheid ervan in Windows-omgevingen. Ze lokken mensen ook uit om kwaadaardige bestanden te openen.

Als ze niet worden opgemerkt, gaan aanvallers over op waardevollere institutionele doelen, zoals domeinbeheerders en databaseservers. Remcom, Bloodhound, Lazagne en Sharphound zijn veelgebruikte tools. Aanvallers implanteren zichzelf verder door nieuwe accounts aan te maken, bestaande accounts te wijzigen of te manipuleren en besturingssystemen ertoe aan te zetten verschillende acties te ondernemen.

Veel criminelen gebruiken een specifiek type malware, infostealers genaamd, die zich vaak richten op gegevens zoals contacten, wachtwoorden en cryptocurrency-informatie. In-transit infostealers richten zich op gegevens die worden ingevoerd maar niet in een systeem worden opgeslagen, zoals rekeninginformatie die kan worden gebruikt om geld van rekeningen af ​​te tappen. 

Populaire informatiestelers die zich richten op de financiële dienstverlening zijn onder meer FormBook, XLoader, Lokibot en Snake Keylogger. Hostgebaseerde anti-malwaretools, auditcontroles en actieve monitoring behoren tot de voorgestelde oplossingen.

Remote Access Trojans (RAT's) helpen criminelen toegang te krijgen tot administratieve niveaus. Hiermee kunnen ze webcams bedienen, screenshots maken en bestanden downloaden. Veelgebruikte RAT's die worden gebruikt om zich op de financiële sector te richten, zijn Agent Tesla en Gigabud RAT.

Exfiltratie/post-compromis

De laatste fase is exfiltratie en compromissen, waarbij aanvallers hun definitieve plan uitvoeren. Dat kan betekenen dat ze zoveel mogelijk informatie moeten stelen voordat ze verder gaan, zich op specifieke bronnen moeten richten of grote schade kunnen aanrichten. Voorgestelde tactieken zijn onder meer Dark Web-monitoring, het regelmatig uitvoeren van penetratie- en incidentresponstests en het minimaliseren van de hoeveelheid tijd om de schade aan te pakken.

Daniels zei dat datamakelaars een groot probleem voor de sector zijn. Hun betekenis zal alleen maar toenemen in een op data gebaseerde economie. De financiële dienstverleningssector moet zich voorbereiden op een toenemend aantal bedreigingen doordat AI de toegangsbarrières verlaagt.

"We gaan meer van deze dingen zien en een grotere diversiteit", zei Daniels. “Hun bereik binnen organisaties zal alleen maar blijven toenemen. 

“Hoe helpt u als bedrijfsleider uw beveiligingsteam succes te boeken? Hoe goed kent u de veiligheidsactoren en dreigingsactoren? Heeft u een gedeeld vermogen om dat met uw partners te delen?

.pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-radius: 5% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-size: 24px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { font-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-weight: normal !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a:hover { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-user_url-profile-data { color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { text-align: center !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-recent-posts-title { border-bottom-style: dotted !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { border-style: solid !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { color: #3c434a !important; }

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.fintechnexus.com/trustwave-threat-report-a-fiserv-must-read/