全球金融堡垒正在破裂;要修复这些系统还有很多工作要做。
2016年2月5日(周五)上午10点30分左右,孟加拉国银行联合董事朱拜勒·宾-胡达(Jubail Bin-Huda)和一名同事去打印机上取最新的环球银行金融电信协会(SWIFT)确认信息。当他们来到打印机前时,发现什么也没打印出来。他们手动重启了打印机,但它仍然不能工作。
他们不知道这是第一个迹象10亿美元被偷了。黑客利用SWIFT电子支付信息系统的漏洞,从朝鲜发起的恶意软件使打印机瘫痪。
这些资金正从孟加拉国银行转移到斯里兰卡和菲律宾的多家银行,其中包括菲律宾黎刹商业银行(Rizal Commercial Banking Corp., RCBC)位于马尼拉商业区的一家分行。
该协议要求以电子方式从纽约联邦银行(NYFB)转账,每笔交易金额为数百万美元。在收到请求时,纽约警察局并不知道发生了网络犯罪。纯粹巧合的是,交易因为“朱庇特”这个词而停止。该系统标记了这笔交易,因为一艘伊朗油轮的名字也叫“朱庇特”,而美国对伊朗的制裁正在积极进行。但在纽约警察局设法阻止这些交易之前,窃贼偷走了1.01亿美元。
孟加拉国银行网络劫案成为一个很好的例子,证明了一个国家如何利用网络攻击窃取另一个国家的资金。一个精心设计的网络钓鱼骗局让抢劫开始运行,SWIFT和NYFB都没有检测到网络攻击。从那时起,SWIFT实施了30多项安全措施来打击网络攻击。
快进到2022年。据路透社报道,2022年2月,纽约一对夫妻因涉嫌洗钱被逮捕45亿美元其中包括价值36亿美元的比特币。这对夫妇的网络攻击目标是数字货币交易所Bitfinex。美国司法部称这次攻击是迄今为止最大的加密货币盗窃案,一群投资者总共损失了36亿美元的数字货币。然而,尽管盗窃的范围很大,但仅用了两个人的团队就完成了这件事。想象一下复杂的、有组织的网络犯罪分子能做什么。
虽然听起来不可思议,但我们只是看到了即将到来的网络犯罪活动的冰山一角。
真正的威胁是什么?
图1:谁是网络攻击的幕后黑手。来源:分级
全球银行体系非常复杂,有许多变动的部分。它们将地区银行、国家银行、国家中央银行、世界银行、金融清算所和全球范围内的政府当局与无数用户(银行雇员、政府雇员、承包商和客户)联系起来。
这些连接的系统有许多组成部分——与云和本地服务器的网络、银行和零售站点的专用终端、消费者和移动设备、软件、自动取款机等。除了使用专用以太网,连接的系统还使用各种无线连接,如WiFi、LTE、5G和其他专有协议,在所有这些的基础上,有非常快的服务器或消费设备,使用一些最先进的半导体技术。数万亿笔涉及资金转账、资金汇兑、远程存款、取款和贷款支付的交易都发生在这些网络上。
“银行系统包括许多组成部分——专用终端、网络、服务器和云、消费设备、软件和人(银行员工、承包商和客户),”杰出工程师史蒂夫·汉纳说。英飞凌科技.“每个组件都有自己的漏洞,因此都是攻击的潜在入口。”
随着数字化改变世界,除非你用纸币买卖,否则在银行之间的交易中,所有的货币都是数字化的。这也为全球范围内的网络犯罪提供了便利,这些犯罪越来越多地以硬件和软件为目标。
尽管美国和欧洲的银行是网络犯罪分子的主要目标,但世界其他地区也不能幸免于网络攻击。全球银行间金融电信协会(SWIFT)是一家比利时合作社,是全球银行间金融交易的中介和执行者。它为SWIFT研究所提供资金,该研究所开展独立研究,帮助学者和金融从业者相互学习如何加强金融体系。根据斯威夫特研究所在美国,亚洲的银行正成为网络罪犯的主要目标。
随着手机银行的增多,全球银行体系面临风险。在许多国家,移动电话是进行业务转移资金的唯一手段。手机应用程序甚至比笔记本电脑更不安全,容易受到攻击。
“如今的银行系统越来越多地配备了最新的数字化转型,利用云计算、移动支付和大数据分析等技术,”汇丰银行首席产品专家郎林表示有限元分析软件.“然而,如果硬件/软件安全没有得到很好的实施,来自现代计算机系统的相同漏洞也会出现在银行系统中。我们已经习惯了听到许多关于诸如对atm机进行撇除攻击、对银行虚拟专用网(vpn)进行拒绝服务攻击以及对银行应用程序进行恶意软件攻击等犯罪的报告,仅举几例。”
随着几乎每家银行都与互联网相连,网络攻击将呈上升趋势。更糟糕的是,在某些情况下,每次攻击都会导致后续的攻击。
信用评级公司和研究公司惠誉国际评级(Fitch Ratings)与网络安全量化公司CyberCube一起进行了一项研究。这项研究着眼于网络安全事件对美国银行业的潜在影响。它关注的是美国银行业的大约4900家银行,这些银行在一年内的总收入超过1.1万亿美元。研究了在各种网络风险情景下系统性网络事件对美国银行业的影响。该研究特别关注网络事件的单点故障(SPoF)将如何影响美国银行系统。
惠誉评级(Fitch Ratings)负责北美银行业务的董事总经理克里斯托弗•沃尔夫(Christopher Wolfe)警告称:“针对特定SPoF的网络攻击,可能会对已确定的关联银行产生级联影响,造成比一次感染一家银行或系统的传统攻击大得多的影响。”“单个关键第三方或第四方供应商的事故可能导致重大业务中断损失。”
黑客攻击银行系统的方法有无数种,而且每天都在变化。排名前五的网络攻击包括勒索软件、DDoS攻击、消费者欺诈、恶意软件和国家支持的攻击。
图2:勒索病毒攻击最严重的地方。来源:SonicWall网络威胁报告
勒索软件已经成为黑客攻击银行系统的首选。一般来说,勒索软件攻击者会冻结受害者的操作,要求赎金以换取他们的控制权。去年,Ryuk勒索软件产生了1.8亿美元的收入,紧随其后的是SamSam勒索软件,收入1.04亿美元。
此外,黑客还可以向暗网市场出售账户持有人的个人财务记录,包括姓名、出生日期、地址、社会保险号或政府颁发的身份证号码,以及其他个人信息,人们可以在暗网市场进行非法交易。受到SaaS的启发,勒索软件网络犯罪分子提出了勒索软件即服务(RaaS)的概念。勒索软件被出租给不太老练的黑客,以实现收入最大化。
分布式拒绝服务(DDoS)攻击,即使用恶意软件使受害者的服务器瘫痪,也将继续成为一个威胁。根据Imperva的报告其中,三层和四层DDoS网络流量增长24%,而文字恶意软件攻击增长21%。用于攻击的数据包数量在六个月内增长了41%。这种数量的增长表明攻击者越来越老练。
"所有技术和系统都有可能被利用,因为黑客在不断探索银行的漏洞,"惠誉美国保险集团主管Gerry Glombicki表示。“不仅系统存在漏洞,运行系统的人也存在漏洞。计算机网络没有因部门而异,但是不同的部门有不同的法规、安全问题和声誉风险需要考虑。例如,银行和金融机构可能拥有大量的个人身份信息(PII),这经常成为网络攻击的目标。”
除了银行攻击,消费者欺诈行为也在以惊人的速度增长,而且往往是以银行的名义。欺诈活动有不同的形式和形式,包括网络钓鱼诈骗、伪造证书和身份盗窃,以攻击支票、储蓄和退休储蓄401(k)账户。欺骗尤其令人担忧。黑客冒充银行的URL,创建外观和功能与银行完全相同的网站页面。
恶意软件通常会在银行系统(包括供应链)中寻找漏洞。部署了SQL注入、本地文件包含、跨站点脚本编制和OGNL Java注入等方案。尽管他们可能在某些方面有所不同,但最终他们都试图修改、添加或删除受害者的软件代码,目的是窃取或破坏。供应链安全非常重要。当银行的第三方供应商没有很好的安全措施时,受影响的是银行本身。最后但并非最不重要的是,作为国家间冲突的一种形式,国家支持的攻击预计将会增加。
反击
在当今的环境下,银行网络安全是一场与网络罪犯的拉锯战。好的一面是,全球银行业正非常认真地对待网络威胁。许多组织正在联合起来,在全球范围内帮助打击网络犯罪。
今年早些时候,欧洲系统风险委员会(ESRB)发布了一份综合报告,减轻系统网络风险.该报告提供了在发生网络攻击时减轻金融不稳定风险的策略,适用于所有银行。
图3:欧洲的执法活动。来源:分级的减轻系统网络风险报告。
另外,战略与国际研究中心(CSIS)在《华盛顿时报》上发表了最新的研究信息亚太地区金融部门网络安全要求报告旨在帮助亚太地区的银行占据上风。战略与国际研究中心是一个非营利性的政策研究组织,提供实用的想法来帮助解决世界上最大的问题。
如何反击?虽然没有完美的解决方案可以100%保证网络安全,但银行和金融机构应该使用最强大的可用技术构建最安全的防御,同时应用最佳实践。这些措施将帮助银行遏制网络犯罪,将风险和损失降至最低。
建立一个强大的银行网络防御系统的三个主要组成部分包括强大的防御系统部署、持续监测和威胁检测以及受到攻击时的损害控制和恢复计划。
强大的防御系统部署。防御系统的连接银行架构应该始终包括端到端安全性。网络的每个元素——云、服务器、终端和终端设备,包括移动电话和ATM机——都应该是安全的。这说起来容易做起来难,主要是因为网络上的硬件和软件是由不同的供应商制造的。在供应链内部,安全的复杂程度各不相同。虽然这很困难,但个人银行有责任确保其网络和设备连接的安全。
银行网络系统设计应采取自上而下、分层的方法。这种方法避免了泄露影响所有数据。此外,必须遵守包括硬件和软件在内的所有基本安全需求,并应用最佳实践以实现最大的安全性。
至少,安全系统设计要求应包括以下内容:
“由于银行系统非常复杂,通常采用深度防御方法。通过包括多层防御,如强认证、防篡改硬件、蜜罐和基于人工智能的异常检测,可以预防、检测和减轻一个或多个组件的泄露。”
持续监控和威胁检测。所有银行系统都应该持续监测和检测威胁。这应该自动完成。尽可能加入AI。如果检测到任何威胁,应在发生严重破坏之前在尽可能短的时间内采取预防措施。
图4:威胁检测与响应。来源:Gartner
如果受到攻击,破坏遏制和恢复计划。当攻击发生时,银行系统的分层设计应该包含损害并防止恶意软件传播。就一家国际银行而言,这可能意味着全球部分系统将立即被封锁。
“金融系统架构师应该首先了解大多数攻击向量,以优先考虑系统设计对策,因为系统中的特定设备可能具有特定的‘安全资产’,并暴露特定的漏洞,”Ansys的Lin说。常见的硬件漏洞,可参考常见弱点列举网站在芯片层面验证设计对策的有效性。半导体公司必须采用硅前安全验证流程和实验室测试程序以确保安全合规性。它需要安全专家、设计工程师和EDA供应商之间的合作。”
考虑到各种金融网络的连通性,这一点至关重要。“金融系统,尤其是支付处理系统,必须支持各种各样的客户。Synopsys对此的软件完整性组。“将过去的磁条读卡器升级到芯片和pin的长时间延迟并不是由技术造成的。相反,与客户的合同、sla,以及向大型跨国零售连锁店到小型‘夫妻店’等场所推出新支付系统的后勤问题,意味着强制升级新技术可能会导致持续数年的延迟。”
虽然业界现在正在研究面向未来的系统,以应对安全威胁,但情况并非总是如此。Boote说:“技术缺乏增加加密、新接口或其他安全措施的方法。”此外,与合作伙伴签订的合同可能会要求对连接或文件格式进行特定的加密算法,在多年合同到期并可以重写之前,已知的安全漏洞将继续存在。每年,由于计算能力的提高或新发现的漏洞,加密算法都被弃用。然而,没有升级条款的合作伙伴合同可能会被迫继续在易受攻击的算法上运行,并面临比相关安全事件成本更大的合同罚款。”
未来展望:危险的生活
移动银行和全球互联银行的便利性将继续推动需求。在线交易、资金转帐、信用卡转帐、ATM机、银行账户访问和移动电话都在这里。越来越多的用户,特别是发展中国家的用户,将继续使用互联网进行银行业务,包括无线连接。因此,4G和5G银行业务将实现跨越式增长。这意味着每一部手机和每一个银行账户都是目标。网络攻击无处可逃。
大多数移动应用程序使用的应用程序编程接口(api)并不像人们想象的那么安全。银行木马试图隐藏在移动应用程序中。一旦应用程序在消费者的设备上启动,恶意软件就会试图重写安装在同一设备上的应用程序或其他应用程序的软件代码。
2022年2月,一种名为Xenomorph的新的Android银行木马被发现ThreatFabric这是一家移动安全公司。威胁分子开始针对官方谷歌Play商店。超过5万个Android木马程序被下载,导致56家欧洲银行的用户成为攻击目标。这种特殊的恶意软件似乎还处于萌芽阶段,可能预示着一种令人担忧的新趋势。
手机银行可能是最脆弱的。aprov的首席执行官David Stewart给出了这样的建议:“超过50%的移动应用程序包含有价值且容易被盗的API密钥和令牌。针对移动银行领域的黑客不断想出创新方法来修改或操纵这些移动应用程序。大多数情况下,他们会完全绕过移动应用程序,使用窃取的API密钥和令牌生成自己的脚本来模拟移动应用程序,让银行误以为真正的用户在线。唯一的解决方案是通过深入的实时分析来验证真正的移动应用程序的存在,就像验证移动应用程序的DNA以防止金钱或敏感数据被盗一样。此外,这种身份验证必须每隔几分钟运行一次,并且必须在每个进程结束时生成加密安全且独特的访问令牌。”
无论是银行、金融机构还是消费者,打击网络犯罪都将是一项持续的活动。随着时间的推移,攻击只会变得更加激烈。防御和反击是唯一的选择。在这种战斗中,由于多次尝试,攻击者只需要通过一次,一个帐户就会被黑客攻击。
资源
|
|
|
|
|
|
|
|
“防御系统的连接银行架构应该始终包括端到端安全。”
最安全的体系结构是保护静态或移动中的每个事务。这意味着每个数据文件都使用成百上千个加密块来保护,这些加密块使用密钥流和AES加密技术,其中密钥流中的每个密钥都不相同。密钥流必须实时生成,并在特定应用的集成电路中进行保护,任何人都不能使用侧通道攻击来破坏数据文件的安全性。密钥流是自动生成的,无需人工干预。没有密钥管理或存储。
数据文件必须识别其授权用户(文件所有者或其上级),而不是冒充用户。为了防止黑客冒充文件用户,系统使用用户的生物特征信息脉冲传感器变量来识别文件所有者。由于每个文件都与其授权用户相关,因此不会出现DDoS、勒索软件或恶意软件攻击。
另一方面,架构式的安全系统是为了弥补区块链的能耗高、计算结果延迟长、无法扩展到庞大的用户需求等不足。由于具有并行处理能力,该安全系统的处理能力优于同态处理。
该架构安全系统目前还不存在于市场上,但其蓝图在美国专利US 10972256和US 8509424中有描述。发明者欢迎每一个有远见的人来实施这个革命性的项目。