網路犯罪集團覬覦的銀行與金融業

money bank finance industry sector iot iiot defend

今日的金融業比以往更加積極地邁向資訊技術 (IT) 與營運技術 (OT) 的匯流。智慧裝置帶來了 7 天 24 小時全天候連網的需求,也使得金融業被迫必須適應這樣的新環境,尤其當企業和使用者對物聯網(IoT ,Internet of Thing的接受度越來越高。不幸的是,金融帳戶隨時帶著走的便利性卻也為網路犯罪集團帶來了獲利商機,讓合法經營的企業必須付出慘痛代價。

雖然銀行和金融機構一直在強調資安無比重要,但金融業及其客戶卻依然是網路犯罪集團的首要目標,這樣的情況短期內不會改變,即使新的法規已經特別強化了網路資安與隱私權保護的相關規定。除了電子商務和金融技術 (FinTech) 所帶來的蓬勃商機之外,無時無刻連網的行動裝置,也使得網路犯罪集團有機會隨時研究、發掘各種資安漏洞,讓使用者和金融機構變成詐騙和資料外洩唾手可得的目標

以下逐一說明各種不斷演變的網路犯罪攻擊和威脅如何入侵金融業及其第三方廠商、供應商與客戶。

[延伸閱讀:Evolution of cybercrime]

針對銀行基礎架構的攻擊

駭入實體 ATM 提款機、加油機、銷售櫃台系統 (PoS) 的案例,從 2000 年初期至今從未停過,歹徒會利用磁條盜拷機與其他工具來竊取銀行客戶的金融資訊。這些非法取得的資料可進一步用來竊取銀行或企業帳上的存款,或者將資料彙整起來整批拿到網路犯罪地下市場販售

雖然根據趨勢科技的研究指出網路犯罪集團駭入實體裝置的案例正逐漸減少,但這類攻擊在某些國家仍舊相當普遍。除此之外,網路犯罪集團也開發了一些網路盜卡腳本和惡意程式,方便他們滲透網路、攔截流量、輕鬆蒐集並竊取銀行的登入憑證和資訊。這樣的手法在電腦系統暴露在網際網路的情況下更容易達成,歹徒輕易就能掃瞄及入侵這些系統並植入惡意程式,進而駭入其作業系統。銀行所使用的電腦作業系統經常都很老舊,其廠商早就不再開發修補更新或緊急修正,因此這類系統很容易遭歹徒利用未修補的漏洞駭入並獲取龐大的利益。

此外,銀行也開始逐漸體會在 雲端上提供服務或保存檔案的成本效益。然而,開發並維護這類全新功能不是一件簡單的事,更何況初次使用雲端軟體或容器環境的企業經常發生組態設定不當的錯誤。這類錯誤很可能導致線上資料庫及流程遭駭客入侵,成為駭客進一步駭入銀行系統的途徑。

[延伸閱讀:防護容器六步驟]


圖 1:銀行及其第三方廠商、供應商與客戶所面臨的威脅。

針對銀行應用程式與網路的攻擊

透過銀行網站與手機應用程式進行網路銀行交易,不論對今日的實體商家或網路商店都是一項很普遍的功能。根據趨勢科技針對歐盟最新推動的開放銀行 (Open Banking) 規範所做的研究指出,一些高風險的資料蒐集動作,再加上必要的資安技術建置緩慢,已使得企業機構面臨更多的網路資安威脅,並且讓企業的受攻擊面因而擴大。企業的網站和手機應用程式後台有可能建置在企業的內部,或由某家廠商代管,或者建置在雲端,這些都需要妥善的維護和客製化。雲端組態設定不當、當機報告缺乏安全機制保護、在網址當中洩漏敏感資訊、遭歹徒注入惡意腳本、應用程式開發介面 (API) 缺乏安全機制等等,都是企業人員很可能疏忽的攻擊面,會讓網路犯罪集團趁虛而入、尋找高價值的攻擊目標,或者從事其他更危險的惡意活動。

儘管每家金融機構都有其特殊的作業流程,但網路犯罪還是能利用所謂的「商業流程入侵」 (BPC) 手法來操弄、攻擊、入侵銀行。歹徒經常藉由這樣的技巧,使用惡意程式、漏洞攻擊套件、甚至合法的監控工具,深入研究並掌握金融機構內部的情況,進而竊取金融機構與使用者帳戶上的存款。近年來的一些重大網路搶劫事件,都是因為歹徒掌握了銀行流程與平台的資安漏洞才讓他們有辦法將銀行的存款匯走。

[延伸閱讀:釐清企業營運關鍵資產]

針對第三方廠商與供應鏈的攻擊

網際網路日益發達,再加上銀行不斷推出新的中小企業產品,因而開拓了不少消費性的零售、行銷及銷售商機。但許多知名金融企業或中小企業都將其應用程式、網站以及與 FinTech 技術連接的程式設計介面 (API) 委外開發設計,因為這些機構內部通常缺乏可勝任這項工作的人力。除此之外,這些金融機構還有許多仍仰賴第三方廠商的服務來管理及維護其網路與系統,並且滿足其技術相關的一些需求,例如製作當機或軟體錯誤報告。

正因這些弱點,使得中小企業經常成為駭客眼中唾手可得的目標,因為他們的網路資安預算相對貧乏,且較難從攻擊後的災難中復原。中小企業經常直接或間接地成為某大供應鏈的一環或某個商業協會的成員。對網路犯罪集團來說,中小企業是他們駭入大型機構的後門,進而竊取其客戶資料、員工資訊、企業主的銀行帳號、私密資訊與檔案,或造成其營運停擺。

隨著銀行和金融機構為了推出新的服務或優惠交易而開放自己的系統,例如歐盟開放銀行法所推動的金融相關建議:線上企業、行動應用程式、銀行 24 小時連上網際網路等等,都讓網路犯罪集團更方便研究金融機構的技術與人員層面的漏洞。根據趨勢科技針對銀行及金融機構在因應第二號支付服務指令 (Revised Payment Service Directive,簡稱 PSD2) 的準備度方面所做的研究顯示,即便到現在,這些應用程式和網站仍還有洩漏銀行與客戶資訊的疑慮。網路犯罪集團很可能利用 FinTech 公司對詐騙案件的警覺與處理能力不足來讓其客戶暴露在駭客攻擊的危險中。變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)變臉詐騙與網路釣魚攻擊只不過是網路犯罪集團利用客戶、銀行與 FinTech 員工的彼此信任所慣用的其中二項伎倆

[延伸閱讀:Uncovering IoT threats in the cybercrime underground]

結論

離線資產的逐漸整合與大數據的蒐集分析,帶來了更好的流程,也拓展了服務的多樣化,使得供應鏈流程得以最佳化,提升效能並促進生產轉型。對金融業而言,最佳化、永續性及網路便利性的確保,突顯了資安在每一步驟所扮演的角色。當網路資安事件發生時,銀行不只要避免再發生更嚴重的後續攻擊,更重要的是要保護自己的商譽以維繫客戶對銀行的信賴。金融業隨時都要面對來自網路或實體的攻擊,科技的平民化與發展,會同步促進客戶商機和網路犯罪的成長。即便科技不斷推動著舊式防禦的創新與演進,但資安意識、警戒心與品德,依然是該產業永遠不可或缺的要素。

原文出處:The Banking and Finance Industry Under Cybercriminal Siege: An Overview