Một báo cáo mới từ Trustwave SpiderLabs cung cấp một mô tả phong phú về vô số mối đe dọa mà các công ty dịch vụ tài chính phải đối mặt. Bối cảnh đe dọa ngành dịch vụ tài chính năm 2023 bao gồm các tác nhân và chiến thuật đe dọa nổi bật, chia nhỏ luồng tấn công dịch vụ tài chính thành các bước và bao gồm một số điểm xâm nhập phổ biến của hacker.

Các công ty dịch vụ tài chính đặc biệt dễ bị rò rỉ từ Trí tuệ nhân tạo và Mô hình ngôn ngữ lớn (LLM) do loại dữ liệu chúng lưu trữ. Nhiều mối quan hệ bên thứ ba của họ với các công ty ngày càng có xu hướng sử dụng những công cụ đó khiến họ dễ bị mất quyền kiểm soát dữ liệu của mình. Với tính bảo mật của các công nghệ mới này vẫn đang được đánh giá, các fiservs nên áp dụng cách tiếp cận rủi ro/lợi ích và xem xét tác động của chúng trước khi tiếp tục.

AI và LLM sáng tạo giúp bọn tội phạm tạo ra các email lừa đảo tốt hơn nhiều. Phần lớn đã qua rồi cái thời của những tin nhắn có ngữ pháp kém và dễ bị phát hiện. Chúng được thay thế bằng các mục thuyết phục hơn được tạo bởi các LLM như FraudGPT và Worm GPT.

Mối đe dọa từ rủi ro của bên thứ ba

AI và LLM là một trong nhiều lĩnh vực mà mối quan hệ của bên thứ ba mang lại rủi ro. Giám đốc an ninh thông tin toàn cầu của Trustwave Kory Daniels cho biết điều quan trọng là các tổ chức phải có cái nhìn sâu sắc rõ ràng về kế hoạch của các nhà cung cấp bên thứ ba trong việc sử dụng các công nghệ đó ở hiện tại và tương lai. Với gánh nặng pháp lý nặng nề đặt lên các tổ chức tài chính, họ phải đảm bảo các đối tác bên thứ ba, những người thường ít bị giám sát hơn, cũng tuân thủ.

Daniels nói: “Rất nhiều chương trình bảo mật đã được đưa vào trò chơi vào cuối trò chơi. “Nhiều tổ chức nhìn thấy lợi ích tài chính, lợi ích kinh doanh ở tốc độ mở rộng quy mô và tính linh hoạt, chuyển đổi kỹ thuật của họ và đẩy nhanh hơn ra thị trường. Và họ chạy đua để làm điều đó, nếu không đại dịch đã buộc họ không cần thiết. Nhưng câu hỏi đặt ra là họ có làm điều đó một cách an toàn không?

“Chúng ta cần đo lường mức độ kết nối kỹ thuật số của chúng ta với các đối tác. Chúng ta cần hiểu cách họ kết nối với chúng ta. Đây có phải là API của chúng tôi không? Đây có phải là API của họ không? Nguồn mở là bao nhiêu? Bạn ưu tiên các đối tác quan trọng như thế nào so với các đối tác ít quan trọng hơn và bạn thực hiện nỗ lực đó như thế nào?”

Đối với Daniels, quy trình này bao gồm việc xem xét từng bước các mối quan hệ để xác định rủi ro, mức độ bảo vệ, khả năng và biện pháp kiểm soát. Xác định cách thực thi các biện pháp bảo vệ. Ở đâu các biện pháp bảo vệ không thể được thực thi và chúng gây ra xích mích ở đâu? Nếu việc phát hiện và ứng phó thất bại, bạn làm cách nào để phát huy khả năng phục hồi?

Hãy lưu ý đến AI khi tiến hành đánh giá. Làm việc với các đối tác có khả năng đã được chứng minh trong việc phát hiện các mối đe dọa do AI tạo ra. Phát triển các chính sách và đào tạo nội bộ mạnh mẽ để giảm thiểu rủi ro vi phạm. Hãy cân nhắc việc tạo các nhóm làm việc giữa các nhóm có liên quan để giải quyết các mối quan ngại về quản trị và chia sẻ dữ liệu.

Các mối đe dọa ransomware

Vào năm 2022, một cuộc khảo sát của Ủy ban Giao dịch Hàng hóa Tương lai Hoa Kỳ đã phát hiện ra rằng cứ bốn tổ chức tài chính toàn cầu thì có ba tổ chức đã trải qua ít nhất một cuộc tấn công bằng ransomware trong năm đó. Các công cụ ransomware dưới dạng dịch vụ hạ thấp rào cản tội phạm để xâm nhập và tăng khả năng phạm vi tấn công. 

Clop, LockBit và Alphv/BlackCat là một trong những nhóm ransomware khét tiếng nhất. Hiệu ứng càng nhân lên khi dữ liệu bị đánh cắp được xuất bản trên Dark Web để người khác khai thác. 

Thường xuyên sao lưu dữ liệu để tăng khả năng phục hồi của công ty bạn nếu xảy ra cuộc tấn công. Lưu trữ các bản sao lưu bên ngoài trang web và xác nhận chúng có thể được khôi phục. Bảo mật các giao thức máy tính từ xa bị lộ, vá các lỗ hổng đã biết và vô hiệu hóa chúng nếu không cần thiết.

Các công ty dịch vụ tài chính Mỹ chiếm 51% số nạn nhân của ransomware toàn cầu. Không có quốc gia nào khác đạt được hai con số.

5 bước tấn công

Chỗ đứng ban đầu

Báo cáo nêu chi tiết năm bước của quy trình tấn công: chỗ đứng ban đầu, tải trọng ban đầu, mở rộng/xoay vòng, phần mềm độc hại và lọc/hậu thỏa hiệp.

Lừa đảo và xâm phạm email doanh nghiệp là những phương pháp phổ biến nhất mà bọn tội phạm sử dụng để xâm nhập vào các tổ chức. Những kẻ lừa đảo muốn đánh cắp thông tin đăng nhập, chèn phần mềm độc hại và kích hoạt các hành động như gửi tiền cho một giám đốc điều hành bị mắc kẹt. Gần 80% tệp đính kèm độc hại là HTML. Các tính năng phổ biến khác là tệp thực thi, tài liệu PDF, Excel và Word. Tin nhắn thường bao gồm thông báo thư thoại, biên lai thanh toán, đơn đặt hàng, chuyển tiền, tiền gửi ngân hàng và yêu cầu báo giá. 

Các công ty phổ biến nhất được nhắc đến trong các email lừa đảo có tệp đính kèm độc hại là American Express, DHL và Microsoft. Họ cùng nhau chiếm 60%. Các công ty bị giả mạo nhiều nhất trong các cuộc tấn công lừa đảo thuần túy là Microsoft với tỷ lệ lên tới 52%, DocuSign ở mức 10% và American Express ở mức 8%. 

Các tổ chức có thể tự bảo vệ mình bằng cách tiến hành các thử nghiệm lừa đảo giả định thường xuyên và đào tạo lại những người tái phạm. Họ nên bổ sung các biện pháp chống giả mạo, chẳng hạn như công nghệ trên cổng email, triển khai quét email theo lớp bằng công cụ như Mail Marshal của TrustWave và áp dụng các phương pháp phát hiện lỗi chính tả tên miền để xác định các cuộc tấn công lừa đảo và BEC.

Tải trọng ban đầu

Tội phạm thường xâm nhập vào các tổ chức chỉ bằng cách đăng nhập nhờ các nỗ lực lừa đảo thành công và vệ sinh an ninh mạng kém. Quyền truy cập thông tin xác thực được sử dụng trong 20% ​​các cuộc tấn công. 

Đây là một lĩnh vực mà sự siêng năng đơn giản có thể ngăn chặn nhiều cuộc tấn công. Nhiều tài khoản quản trị và có quyền truy cập cao có mật khẩu cũ hoặc dùng chung. Nhiều công ty có các tệp không bảo mật chứa mật khẩu và những tệp có 'mật khẩu' trong tiêu đề của họ.

Daniels cho biết làm việc từ xa đã khiến vấn đề trở nên trầm trọng hơn.

Ông nhận xét: “Sự tách biệt giữa công ty và cá nhân ngày càng trở nên mờ nhạt trong lực lượng lao động kỹ thuật số này”. “Đảm bảo rằng chúng tôi không chỉ đảm bảo vệ sinh tốt trong môi trường công ty mà người dùng còn mang điều đó về nhà. Chúng tôi muốn giáo dục mọi người dùng trong doanh nghiệp… bởi vì họ là tuyến phòng thủ đầu tiên.”

Các chiến lược an toàn bao gồm thay đổi mật khẩu thường xuyên, xác thực đa yếu tố và lưu trữ được mã hóa an toàn.

Ngoài ra đọc:

Xoay vòng mở rộng

Những kẻ tấn công thường xâm nhập vào các tổ chức tài chính thông qua các lỗ hổng phần mềm, có thể được giải quyết thông qua các bản vá. Các cách khai thác phổ biến nhất nhắm vào các công ty dịch vụ tài chính là:

• Apache Log4J (CVE-2021-44228)
• Cross-Site Scripting
• SQL Injection
• Truyền tải thư mục
• Đăng nhập không (CVE-2020-1472)
• RCE lõi lò xo (CVE-2022-22965)
• MOVEit RCE (CVE-2023-34362)
• Máy chủ Exchange RCE (CVE-2022-41040, CVE-2022-41082) 
• SSRF máy chủ trao đổi
• MS Windows RDP RCE (CVE-2019-0708)
• NTPsec ntpd (CVE-2019-6443) 
• Lạm dụng Dịch vụ siêu dữ liệu phiên bản đám mây (IMDS) 
• Yêu cầu API dễ bị tổn thương của Samba ServerPasswordSet
• Các nỗ lực RCE không xác định khác 

Báo cáo lưu ý rằng các tổ chức tài chính cũng đang phải vật lộn với một số lỗ hổng cũ.

“…Các công ty dịch vụ tài chính lớn hơn với hệ thống cũ, cũ sẽ do dự hơn trong việc thực hiện những thay đổi trong cơ sở hạ tầng có khả năng làm gián đoạn hoạt động,” nó viết. “Một thách thức khác là lượng tài sản tồn kho kém, đặc biệt là nơi chứa dữ liệu quan trọng. Điều này khiến việc xác định những gì cần ưu tiên trong việc khắc phục lỗ hổng bảo mật trở nên khó khăn hơn. 

“Ngoài ra, một tìm kiếm gần đây của Trustwave SpiderLabs về Shodan, quét tất cả các địa chỉ IP công cộng trên Internet, đã phát hiện hơn 110,000 cổng mở, biểu ngữ dịch vụ và/hoặc dấu vân tay ứng dụng trong các tổ chức dịch vụ tài chính với 30,000 cư trú tại Hoa Kỳ” 

Malware

Những kẻ tấn công thường có được quyền truy cập ban đầu thông qua các hệ thống có giá trị thấp. Nhưng khi đã vào bên trong, họ sử dụng các công cụ phức tạp hơn như PowerShell và LOLbins để mở rộng phạm vi tiếp cận của mình. 

Gần 30% sự cố trong lĩnh vực tài chính liên quan đến mã do đối thủ kiểm soát chạy trong hệ thống cục bộ hoặc từ xa. Tội phạm thường sử dụng PowerShell vì sự hiện diện của nó trong môi trường Windows. Họ cũng dụ dỗ mọi người mở các tập tin độc hại.

Nếu không bị phát hiện, kẻ tấn công sẽ chuyển sang các mục tiêu tổ chức có giá trị cao hơn như quản trị viên tên miền và máy chủ cơ sở dữ liệu. Remcom, Bloodhound, Lazagne và Sharphound là những công cụ được sử dụng phổ biến. Những kẻ tấn công tiếp tục tự xâm nhập bằng cách tạo tài khoản mới, sửa đổi hoặc thao túng các tài khoản hiện có và nhắc hệ điều hành bắt đầu các hành động khác nhau.

Nhiều tội phạm triển khai một loại phần mềm độc hại cụ thể được gọi là kẻ đánh cắp thông tin, thường nhắm mục tiêu vào các dữ liệu như danh bạ, mật khẩu và thông tin tiền điện tử. Những kẻ đánh cắp thông tin đang chuyển tiếp tập trung vào dữ liệu được nhập vào nhưng không được lưu trữ trên hệ thống, chẳng hạn như thông tin tài khoản có thể được sử dụng để bòn rút tiền từ tài khoản. 

Những kẻ đánh cắp thông tin phổ biến được sử dụng để nhắm mục tiêu vào ngành dịch vụ tài chính bao gồm FormBook, XLoader, Lokibot và Snake Keylogger. Các công cụ chống phần mềm độc hại dựa trên máy chủ, kiểm soát kiểm tra và giám sát tích cực là một trong những biện pháp khắc phục được đề xuất.

Trojan truy cập từ xa (RAT) giúp bọn tội phạm truy cập vào cấp quản trị. Nó cho phép họ vận hành webcam, chụp ảnh màn hình và tải tập tin xuống. RAT phổ biến được sử dụng để nhắm mục tiêu vào lĩnh vực dịch vụ tài chính là Agent Tesla và Gigabud RAT.

Lọc/Sau thỏa hiệp

Giai đoạn cuối cùng là lọc và xâm nhập, đó là lúc những kẻ tấn công thực hiện kế hoạch cuối cùng của chúng. Điều đó có thể có nghĩa là đánh cắp càng nhiều thông tin càng tốt trước khi tiếp tục, nhắm mục tiêu vào các nguồn cụ thể hoặc gây ra sự tàn phá. Các chiến thuật được đề xuất bao gồm giám sát Dark Web, tiến hành các thử nghiệm thâm nhập và ứng phó sự cố thường xuyên, đồng thời giảm thiểu lượng thời gian để giải quyết thiệt hại.

Daniels cho biết các nhà môi giới dữ liệu là mối quan tâm lớn của ngành. Tầm quan trọng của chúng sẽ chỉ tăng lên trong nền kinh tế dựa trên dữ liệu. Ngành dịch vụ tài chính phải chuẩn bị cho số lượng mối đe dọa ngày càng tăng do AI làm giảm rào cản gia nhập.

Daniels nói: “Chúng ta sẽ thấy nhiều hơn những điều này và sự đa dạng hơn nữa. “Phạm vi tiếp cận của họ trên khắp các tổ chức sẽ tiếp tục tăng lên. 

“Là một nhà lãnh đạo doanh nghiệp, bạn làm cách nào để giúp nhóm bảo mật của mình đạt được thành công? Bạn biết rõ về các tác nhân bảo mật và các tác nhân đe dọa như thế nào? Bạn có khả năng chia sẻ điều đó với các đối tác của mình không?

.pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-radius: 5% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-size: 24px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { font-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-weight: normal !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a:hover { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-user_url-profile-data { color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { text-align: center !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-recent-posts-title { border-bottom-style: dotted !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { border-style: solid !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { color: #3c434a !important; }

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.fintechnexus.com/trustwave-threat-report-a-fiserv-must-read/