Digital Shadows: Cyberbedreigingen voor financiële sector

14 april 2017 Banken.nl

Met de alsmaar serieuzere cyberdreigingen waar financiële instellingen vandaag de dag mee te maken krijgen is het essentieel voor deze bedrijven om de cyber-ontwikkelingen op de voet te volgen. In deze bijdrage bespreekt Alastair Paterson, medeoprichter en CEO van Digital Shadows, een bureau gespecialiseerd in digital risk management, enkele van de meest recente bedreigingen en aanvalstechnieken die beveiligingsprofessionals in de financiële sector moeten kennen. Zo kunnen zij hun eigen digitale risico’s effectiever in kaart brengen en de beveiligingsstrategie voor 2017 hier beter op aansluiten. Vandaag deel 1 van dit tweeluik, dat zich richt op cyberaanvallen met als doel financieel gewin.

Financiële instellingen vormen sinds jaar en dag een aantrekkelijk doelwit voor cybercriminelen. Dat komt onder meer door de waardevolle informatie die ze bezitten, hun belangrijke rol binnen onze samenleving en hun vaak wereldwijde aanwezigheid. Hoewel uit recent onderzoek blijkt dat het aantal datalekken in de financiële sector aan het afnemen is, en hoewel consumenten over de hele linie veel vertrouwen heeft in de cyberbeveiliging van banken, weerhoudt dat banken en financiële organisaties er niet van om flink te investeren in cybersecurity. Zo investeren financiële instellingen wereldwijd gemiddeld drie keer zo veel in cybersecurity en IT-beveiliging dan bedrijven uit andere sectoren. 

Hoewel je zou verwachten dat hackers louter op financieel gewin uit zijn, is dit in de praktijk niet altijd het geval. In 2016 vonden er namelijk ook beveiligingsincidenten plaats die toe te schrijven waren aan hacktivisten, klokkenluiders en cyberspionnen. Om zich beter te kunnen verdedigen tegen aanvallen, die al dan niet door financiële motieven zijn ingegeven, moeten bedrijven en instellingen voortdurend inzicht verwerven in cyberbedreigingen en de hackers die daar achter zitten. Hieronder belicht Paterson de belangrijkste cyberaanvallen die met het oog op financieel gewin worden uitgevoerd. 

Belangrijkste cyberbedreigingen voor financiële sector

Afpersing - Het afgelopen jaar hebben er diverse pogingen tot afpersing plaatsgevonden. Zo werd er gedreigd om de systemen van financiële instellingen plat te leggen met DDoS-aanvallen. Afpersers waren onder meer DD4BC, de Armada Collective en copycats als Kadyrovtsy en vimproducts. Een relatief nieuwe ontwikkeling is dat cybercriminelen niet alleen financiële instellingen, maar ook hun klanten afpersen om zo een tweede omzetstroom te genereren. Dit gebeurde na de melding van een datalek bij de Valartis Bank in Liechtenstein in 2016. De klanten van de bank werden daarna door de cybercriminelen benaderd met het aanbod om, tegen betaling, hun data te laten verwijderen uit de verzameling van buitgemaakte gegevens. 

Ransomware - Spamberichten, kwaadaardige bijlagen en exploit kits zoals RIG en Sundown blijven in 2017 naar alle waarschijnlijkheid (kosten)efficiënte mogelijkheden bieden voor het verspreiden van ransomware. Digital Shadows verwacht meer copycats te zien, evenals meer gerichte methoden voor het aanleveren van ransomware. Deze aanname is grotendeels gebaseerd op basis van het succes van varianten als SamSam. Verder zal de opkomst van ransomware-as-a-service het eenvoudiger maken voor cybercriminelen om dit soort aanvallen uit te voeren. Via het darkweb kunnen zij eenvoudig aan de middelen komen om een ransomware-aanval op te zetten en zo hoeven zij dit niet meer volledig zelf te ontwikkelen.

Gerichte indringingspogingen - Gedurende 2016 werden er meldingen gemaakt van een relatief groot aantal hacks die gericht waren op banken en financiële instellingen. In een aantal gevallen werden hierbij enorme bedragen buitgemaakt. Het valt te verwachten dat cybercriminelen de netwerken van financiële instellingen blijven bestoken voor frauduleuze overschrijvingen en diefstal van gevoelige gegevens. Ze maken gebruik van Point-of-Sale (PoS, een computergestuurd kasregister) malware en kunnen zo netwerken binnendringen en wijzigingen aanbrengen waarmee hun handlangers fysiek geld kunnen stelen uit pinautomaten.

Misbruik van zakelijke e-mail - Cybercriminelen blijven ook gebruikmaken van typosquatting. Hier wordt gebruik gemaakt van kwaadaardige websites, waarvan het internetdomein met slechts een paar letters verschilt van dat van een betrouwbare website. Hoewel de meeste van deze aanvallen niet op de financiële sector zijn gericht, blijkt uit de verliezen die het Tillage Commodities Fund en Pomeroy Investment Corp leden dat financiële dienstverleners bijzonder alert moeten blijven.

Banking trojans - Peterson heeft eerder geschreven over een onverwachtse opleving van het aantal banking trojans. Een banking trojan is schadelijke software die cybercriminelen steeds verder verfijnen om succesvolle aanvallen uit te voeren op financiële instellingen. Vaak wordt deze kwaadaardige software door de gebruikers zelf, onbewust, op de computer gezet, doordat zij op een link hebben geklikt. De kans is groot dat varianten als TrickBot, GozNym en Panda in 2017 opnieuw van zich laten horen. Banking trojans kenmerken zich door steeds complexere aanvalstechnieken, verspreiden zich naar nieuwe regio’s en maken gebruik van nieuwe programmeertalen.

Wat de beweegredenen van hackers ook zijn, succesvolle aanvallen kunnen niet alleen forse schade opleveren voor financiële instellingen, maar ook aan hun klanten, en zelfs hele sectoren en landen. Het is dan ook duidelijk dat financiële instellingen op zoek moeten gaan naar effectievere manieren om zich te beschermen tegen cyberbedreigingen en risico’s terug te dringen. Overzichtelijke dashboards maken deze dreigingen inzichtelijk. Door inzicht te verwerven in de identiteit van de hackers die het op hen hebben gemunt en hun beweegredenen en hun aanvalsmethoden te kennen, kunnen financiële instellingen gerichte beveiligingsmaatregelen treffen en hun digitale risicoprofiel verkleinen. Zo kunnen financiële dienstverleners zorgen dat hun besturingssystemen, e-mailgateways en oplossingen voor de detectie van malware up-to-date zijn en extra zijn beveiligd tegen dit soort aanvallen.