世界银行财政部的一位前首席安全官称SWIFT系统已经过时,容易受到恶意软件攻击。这些弱点可能导致金融交易被操纵。
SWIFT是用于发送国际货币转移说明的银行间金融消息系统。世界银行金融电信协会,该行业是指Swift Co-Op维护该系统。
CSO着眼于SWIFT co-op对真正问题的否认、攻击的成本、对这些安全漏洞的知情专家见解、黑客如何利用和滥用这些漏洞来获利,以及co-op应该如何封闭其消息传递系统以减少进一步的伪造行为。
“SWIFT co-op试图保持貌似可信的否认态度,即这些欺诈性转移表明存在系统性问题,”战略网络风险公司首席执行官、世界银行财政部前首席社会保障官Tom Kellermann说。而合作公寓声称它是“我们已与受影响的客户及其交易对手合作,识别、阻止和检索欺诈信息,帮助防止网络诈骗。“真正的预防应该在非法交易之前。”
凯勒曼说:“SWIFT董事会需要达成共识,即他们必须对信息系统及其安全性做出改变。”使用和支持SWIFT系统的金融机构将不得不花更多的钱来增加所需的安全性。
额外支出的金额不应削弱参与银行。在金融部门,典型的安全预算是总体预算的8%,确认Kellermann。“他们需要花费更多的10%,”他说。
[也在CSO上:SWIFT警告恶意软件攻击其另一客户]
获得额外预算的部分挑战是,首席信息官仍然要向首席信息官汇报,而且没有单独的预算;凯勒曼解释说,这是整个金融部门的治理问题。
但是,如果SWIFT CO-OP继续认为这仅作为安全问题,他们可能看不到坚持不懈地重新阻止其安全的理由。“这不再是安全问题了。这是efinance和品牌保护问题的可持续发展问题,“凯尔曼说。
迅速攻击成本
今年早些时候,针对SWIFT转账的攻击引人注目,其中包括针对孟加拉国央行的攻击,导致该金融机构损失8100万美元。用这个,消息传开黑客们继续攻击这个金融信息系统的漏洞,给受影响的银行造成巨大损失。
尽管孟加拉国中央银行的劫案引起了广泛关注,但这并不是第一次涉及SWIFT消息的安全事件2013年成功的攻击影响到包括美国、俄罗斯、瑞士、日本和荷兰在内的国家的SWIFT通讯系统和自动取款机。
Tom Kellermann,首席执行官,战略网络企业和世界银行财政部的前CSO
上一次这样的银行抢劫案我们也没见过。“有过众多的金融机构,安全专业人员,和监管机构从印度到美国,我将告诉你,攻击迅速支付包括重要的电汇欺诈和虚拟银行抢劫案发生在世界各地的每周,人们只是不提供完整的信息披露,”凯勒曼说。“今年以来,黑客侵入SWIFT的次数已超过12次,平均每次侵入造成的电汇欺诈金额达数千万美元。”
SWIFT漏洞
Swift Messaging使用日期的周边安全方法和公钥基础设施(PKI)设计。Kellermann说,这些攻击者首先使用了PKI凭据鱼叉式网络钓鱼或岛屿跳跃方法。岛屿跳跃发生在黑客信息供应链中攻击弱点的影响,进入系统,找到下一个弱点,并重复进程到达奖品,在这种情况下PKI键。
一旦黑客利用偷来的PKI密钥获得认证访问权限,他们就会植入恶意软件Carbanak和Odinaff。一个俄罗斯暗网金融犯罪实体制造了Carbanak和Odinaff;凯勒曼解释说,这些优雅的恶意软件能够抓取屏幕(在监控屏幕上捕捉数据)和在网络内部进行秘密的横向移动,从而使黑客能够操纵有线传输。
在Cyber Ark的网络研究团队领导者的vAli Lazarovitz,攻击者通过使用矛盾的攻击,攻击者在网络中获得所有重要的初始立足点。使用这种立足点,他们可以使用例如漏洞的Acrobat Reader漏洞获得本地管理员权限;当用户只需打开恶意PDF文件时,该文件运行恶意代码,反过来会获取那些提升的权限,解释说解释了Lazarovitz。
减轻迅速的金融欺诈
根据Kellermann的说法,对SWIFT的攻击的技术解决方案包括异常行为检测和欺骗技巧。异常行为检测将使金融企业提醒网络中的横向运动,并试图操纵系统。欺骗将使用多个虚假的SWIFT系统将黑客混淆并在进入真正的SWIFT系统之前提醒IT安全性。银行还应使用双因素身份验证或多因素身份验证和端点安全性,如违规检测以屏蔽SWIFT。
保障斯威夫特的交易无法停止。根据拉扎罗维提茨的说法,金融服务公司应分段为运行SWIFTNET链接的系统,该系统提供对SWIFT的访问,远离网络的其余部分。“运行SWIFTNET链路的系统的所有帐户都应使用安全凭据,限制权限和帐户监控;IT安全性应该经常更改凭证,“Lazarovitz说。
最后,斯威夫特合作社和参与金融机构应执行最佳实践,如控制端点应用使攻击者更难使用恶意软件在网络钓鱼电子邮件访问端点Lazarovitz说,允许远程访问关键系统只能通过硬跳服务器为了防止暴露于风险端点。
更改SWIFT安全
Swift安全需要改变,但有人必须启动变更。问题是谁应该这样做。根据Kellermann的说法,使用SWIFT的金融机构可以做到这一点,因为每个机构都有自己的终点,但现实是,没有机构将自己独自,并在没有SWIFT的任务的情况下招致这些费用。“SWIFT需要接受他们在世界各地拥有重要节点,这已经受到损害和现代化的安全架构,”Kellermann说。
其他组织可以帮助移动这种变化。“我会呼吁联邦金融机构考试委员会的FFIEC,这是所有美国金融监管机构的伞集团,挑战迅速采取新的安全控制,这些安全控制将使生态系统的安全态度现代化,”Kellermann说。EBG是巴塞尔电子银行集团的eBG拥有美国代表;Kellermann说,他们应该破解Swift Co-OP的鞭子上的鞭子对Swift Co-OP的鞭子,因为他们存在于电子银行业务中的系统风险的未来。“我不敢相信他们坦率地坐在他们的手上。”
如果这些欺诈案是任何人的错,那就是攻击SWIFT短信的犯罪黑客。银行业不应到处指责,而应鼓励SWIFT合作社带头提高安全要求,银行也应优雅地效仿,满足新的安全标准。
这个故事,“Swift没有看到它最后的”银行抢劫“”最初是出版的方案 。