Evoluzione del Financial Cybercrime, tra innovazione tecnologica e politiche di sicurezza
Pur rappresentando un’enorme opportunità per il settore, servizi e prodotti finanziari abilitati dall’innovazione digitale portano con sé significativi problemi di cybersecurity.
Evoluzione del mondo Finance e novità regolamentari
Digitalizzazione, disintermediazione, accesso da remoto ai servizi bancari e finanziari sono soltanto alcuni degli elementi che hanno delineato un quadro di settore profondamente diverso rispetto a solamente pochi anni fa.
Nella consapevolezza di essere al centro delle mire dei criminali informatici, per i quali dati e risorse finanziarie sono obiettivi estremamente allettanti, il settore Fintech si è da tempo dotato di strumenti e protocolli di sicurezza volti a ridurre la possibilità di attacchi: eppure, dichiara il CEO di 7Layers Riccardo Baldanzi, “i dati del 2022 mostrano come esso continui a figurare tra i comparti di attività soggetti ai maggiori rischi cyber, evidenziando l’urgenza di predisporre contromisure più incisive”.
È questo uno degli obiettivi del Digital Operational Resilience Act (DORA), che l’Unione Europea ha recentemente adottato proprio per rafforzare e uniformare i livelli di resilienza operativa degli istituti finanziari operanti nell’area comunitaria. Tuttavia, avendo concesso agli Stati membri un termine di 24 mesi per uniformarsi alle nuove regole, il Regolamento non ha ancora pieni effetti sulla concreta sicurezza degli operatori di settore e dei relativi utenti.
Il panorama delle minacce: attori malevoli del Financial Cybercrime
Approfittando della moltiplicazione degli endpoint e del progressivo estendersi delle superfici esposte, negli ultimi anni gli attori del cybercrime hanno affinato le tecniche utilizzate negli attacchi mirati al settore finanziario.
I vettori di rischio più persistenti includono:
- ransomware – utilizzati, come noto, per crittografare i dati delle organizzazioni e chiedere un riscatto per ripristinare l’accesso, questi attacchi possono causare seri danni finanziari oltre che significative interruzioni nei servizi;
- Intelligenza Artificiale e Machine Learning – gli aggressori ricorrono sempre più spesso a tecnologie avanzate, utilizzandole in modo malevolo per automatizzare gli attacchi e ostacolarne la rilevazione da parte dei sistemi di sicurezza;
- attacchi al cloud – il trasferimento di dati e applicazioni su servizi di cloud computing, utile a migliorarne efficienza e flessibilità, ha anche fornito agli aggressori un’ulteriore via di accesso ai dati e alle infrastrutture;
- social engineering – tramite tecniche sofisticate e personalizzate, gli attaccanti sfruttano l’eterno anello debole della catena (l’essere umano) per indurre i dipendenti delle organizzazioni finanziarie a rivelare credenziali di accesso o altre informazioni sensibili;
Come dimostrano recenti casi di Cyber Incident che hanno coinvolto istituzioni finanziarie, il rischio interessa tanto le organizzazioni tradizionali quanto le aziende più innovative.
Tra i principali attaccanti identificati nello scenario attuale spiccano:
- Carbanak – il gruppo ha condotto una serie di cyber attacchi contro banche operanti in tutto il mondo, sottraendo risorse per oltre un miliardo di dollari. Utilizzando tecniche di phishing e malware sofisticati è stato in grado di accedere ai sistemi bancari, monitorare le attività degli utenti e trasferire denaro a conti bancari sotto il proprio controllo;
- Lazarus Group – sospettata di affiliazione al governo nordcoreano, la cybergang ha condotto attacchi contro realtà finanziarie a livello globale. Il loro attacco più noto è il furto di 81 milioni di dollari alla Banca Centrale del Bangladesh, avvenuto nel 2016;
- Cobalt Group – conosciuto per aver condotto attacchi contro diverse banche in Europa e Asia, nel 2017 ha sottratto più di 10 milioni di dollari alla Banca Nazionale polacca;
- Silence Group – gruppo russo noto per l’attacco del 2018 alla Banca Nazionale del Bangladesh, fruttato 6 milioni di dollari;
- FIN7 – specializzato in attacchi contro ristoranti e catene di alberghi, il più famoso dei quali ha colpito nel 2017 la catena di ristoranti USA Chipotle, ha saputo sottrarre le informazioni delle carte di credito a decine di migliaia di utenti;
- MoneyTaker – celebre per l’attacco del 2017 alla banca russa PIR Bank, nel quale sono stati rubati più di 7 milioni di dollari;
- Magecart – specializzato in attacchi contro siti di e-commerce e piattaforme finanziarie ma noto soprattutto per aver sottratto i dati di oltre 500.000 clienti British Airways nel 2018, utilizza tecniche di skimming per rubare informazioni di pagamento degli utenti;
- APT10 – sospettato di essere affiliato al governo cinese, il gruppo attacca regolarmente banche e istituzioni finanziarie in tutto il mondo. Nel 2017, l’attacco alla compagnia di gestione del credito Equifax gli ha permesso di ottenere i dati personali di oltre 143 milioni di clienti;
- Cobalt Dickens – responsabile nel 2018 dell’attacco a oltre 70 enti universitari e di ricerca, diversi dei quali finanziati dal governo, in cui si è appropriato di informazioni sensibili;
- Silence & TA505 – nel 2019 i due gruppi hanno collaborato per condurre un attacco contro le banche russe, utilizzando un malware per rubare diversi milioni di rubli.
Banking Trojan Techniques, i malware mirati alle organizzazioni finanziarie
Se le minacce e i gruppi di attaccanti precedentemente citati possono rivolgersi a ogni tipo di azienda, tra gli strumenti specificamente ideati per attaccare banche o altre organizzazioni finanziarie spiccano i Banking Trojan.
Questi vengono utilizzati per condurre attacchi in base a numerose tecniche:
- Phishing – email o messaggi di testo ingannevoli contenenti link malevoli o allegati dannosi che, una volta cliccati o scaricati, installano il Banking Trojan sul dispositivo dell’utente;
- Spamming – falsi messaggi di avviso che richiedono all’utente di aprire un link o di fornire informazioni personali, come il numero di conto bancario o la password, al fine di sottrargli le credenziali o altre informazioni essenziali;
- Exploit di vulnerabilità – difetti o debolezze del software o dei sistemi operativi sfruttate per infiltrarsi nei dispositivi degli utenti;
- Social Engineering – tutte le tecniche usate per convincere gli utenti a fornire informazioni personali o a installare software dannoso (ad esempio, nell’errata convinzione di scaricare un aggiornamento di sicurezza) sui loro dispositivi;
- Code Injection – tecnica utilizzata per inserire codice dannoso in una pagina web legittima, in modo che accedendovi l’utente venga infettato dal Trojan;
- Man-in-the-middle (MITM) – “storica” tecnica in cui il malware intercetta la comunicazione tra l’utente e il sito web della banca, in modo da poter rubare le informazioni di accesso e i relativi dati.
In sintesi, i Banking Trojan combinano diverse tecniche per infettare i dispositivi degli utenti e sottrarre informazioni riservate: per proteggersi da queste minacce gli utenti dovrebbero fare attenzione a non cliccare su link o allegati sospetti (anche se provenienti da mittenti affidabili), mantenere il software e il sistema operativo aggiornati e utilizzare software di sicurezza affidabili.
La necessità di risposte efficaci e integrate alle problematiche di cyber security nel settore finanziario
“Visto il notevole impatto economico degli incidenti di sicurezza, il mercato ci richiede risposte efficaci in grado di intercettare le minacce, mettere in campo procedure di mitigazione per accompagnare i nostri Clienti in tutte le fasi del processo di gestione degli incidenti”, afferma Alice Tasin, Head of Finance Sales Enterprise di Fastweb.
In quest’ottica i servizi di monitoraggio proattivo degli eventi di sicurezza erogati da SOC specializzati svolgono un ruolo centrale per intercettare e gestire le minacce in tempi ridotti e coerenti con livelli di rischio sempre più stringenti.
In particolare, l’utilizzo combinato di tecnologie di sicurezza allo stato dell’arte, integrate con servizi di threat intelligence, insieme ad un notevole livello di automazione possibile solo grazie all’utilizzo estensivo di AI, consentono a Security Analyst specializzati di ridurre drasticamente gli impatti degli incidenti di sicurezza e garantire un notevole livello di resilienza richiesto anche dalle normative di settore.