El BFIS (Banca, Finanzas, Seguros, Valores) es un sector de infraestructuras críticas que depende en gran medida de los sistemas informáticos, lo que lo hace especialmente vulnerable al cibercrimen. Al analizar los incidentes de seguridad dentro del dominio entre y, Costella identificó 6.472 violaciones y fugas de datos, con más de 3,3 millones de registros exfiltrados dempresas de Fortune 500. La cantidad de datos filtrados se ha multiplicado por seis en los últimos dos años. , empujando a las empresas financieras a intensificar las protecciones. Actualmente, el sector finserv gasta 18,5 dólares al año por empresa para combatir el cibercrimen, lo que supone un 40% más que en cualquier otra industria, según el noveno estudio anual sobre el coste del cibercrimen realizado por Accenture.
Los ciberdelincuentes utilizan una variedad de herramientas y técnicas para realizar sus ataques. Es una batalla interminable, con nuevas cadenas de muerte y puntos vulnerables que se detectan diariamente. Es por eso que las instituciones financieras emplean varios métodos que les permiten mantenerse alerta mientras viajan. En particular, una de las formas es utilizar plataformas de detección de amenazas como SOC Prime , que permite el acceso a más de 130.000 reglas Sigma, y se publican nuevas detecciones de amenazas críticas pocas horas después de la divulgación. Además, es posible convertir estas reglas Sigma a más deormatos SIEM y XDR configurando la automatización incorporada de SOC Prime o ejecutándolas a través de una herramienta en línea gratuita Uncoder.IO, que permite la traducción instantánea de contenido sobre la marcha.
A continuación se muestra la lista de los ciberataques financieros más utilizados en. Continúe leyendo para estar al tanto de lo que está sucediendo en el ámbito de los ataques de ciberseguridad al sector financiero en.
malware
Las pérdidas financieras globales causadas por el malware han aumentado a aproximadamente 115.400 millones de dólares por semana en múltiples industrias, según una investigación de Cybersecurity Ventures. El malware también ha sido ampliamente utilizado por los ciberdelincuentes que atacaron a las empresas financieras en. Las herramientas de protección de ciberseguridad instaladas una vez no pueden manejar el creciente número de ataques porque regularmente se desarrollan nuevas muestras de malware.
Características comunes del malware financiero:
- Los ataques a la cadena de suministro van en aumento. Durante estas intrusiones, los atacantes solicitan al usuario que instale un parche de software falso. Si se descarga, el software cargado de malware infecta todos los hosts de toda la red, propagándose rápidamente y filtrando datos confidenciales.
- Los troyanos bancarios dependen cada vez más de campañas maliciosas de Google Adsense para infectar las redes objetivo dentro del sector bancario.
- El malware suele ir de la mano de herramientas de ingeniería social, como los correos electrónicos de phishing. Los atacantes comparten enlaces a documentos infectados de Google Drive, archivos de varios formatos, enlaces a páginas web, etc.
- Los atacantes también pueden propagar malware a través de dispositivos móviles. Los investigadores señalan que las entidades financieras como los bancos no pueden controlar qué software instalan sus usuarios en sus teléfonos y tabletas, por lo que, esencialmente, estos dispositivos están expuestos a una cantidad ilimitada de amenazas. Es más, los atacantes podrían utilizar software antifraudulento como punto de entrada para la infiltración.
En, se ha observado que los ciberataques no se limitan a infracciones de instituciones financieras convencionales como los bancos. En cambio, los ciberdelincuentes dirigen cada vez más su atención a los criptoactivos. Por ejemplo, los adversarios utilizaron una vulnerabilidad que afectaba al libro de contabilidad financiero descentralizado de Poly Network para robar 600 millones de dólares en el mayor robo de criptomonedas de la historia.
Ataques APT
Los grupos APT llevan a cabo sofisticadas campañas durante las cuales los ciberdelincuentes establecen una presencia a largo plazo en la red de la víctima. El plan de ataque se elabora considerando cuidadosamente los puntos débiles de una organización objetivo específica.
Las tácticas de compromiso clave se destacaron en el documento técnico de BitDefender :
- El ataque suele comenzar con la infiltración en los sistemas internos de la institución financiera. Lo más común es que los atacantes recurran al phishing para establecer un punto de apoyo e iniciar un movimiento lateral.
- La siguiente fase es utilizar malware de puerta trasera para obtener acceso remoto y emitir comandos del sistema. En particular, el software de prueba de penetración Cobalt Strike fue la puerta trasera más utilizada por los atacantes en.
- La tercera fase es el reconocimiento. Los atacantes recopilan datos relacionados con aplicaciones bancarias y procedimientos internos y los preparan para la filtración. Normalmente, esperan los fines de semana o fuera del horario comercial para realizar estas acciones.
- La etapa final del ataque de la APT a un sector financiero puede diferir. Podrían robar y cifrar datos para obtener un rescate, comprometer las redes de cajeros automáticos para retirar dinero, robar fondos de los sistemas bancarios o causar pérdidas significativas sólo para dañar la reputación de la institución.
Una de las formas de prevenir un ataque APT es comenzar con una estrategia de defensa de seguridad en profundidad. La arquitectura SOC debe incluir análisis avanzado de datos de seguridad y algoritmos de detección temprana junto con informes en tiempo real.
Ingeniería social
La encuesta de Deloitte muestra que la ingeniería social representa la mayor amenaza para las empresas del sector financiero. Además de eso, una investigación de Cisco muestra que el 43% de los empleados han cometido errores que podrían exponer a las empresas a una amenaza de ciberataque.
La situación empeora cuando atacantes menos capacitados explotan ChatGPT, un gran modelo de lenguaje que acumuló más de 100 millones de usuarios mensuales en dos meses, para orquestar ataques avanzados de ingeniería social.
La ingeniería social incluye:
- Ataques de phishing que llegan a través de correos electrónicos, mensajes de texto o anuncios en línea y motivan a una persona a visitar un sitio web fraudulento o descargar un archivo infectado.
- Scareware (también conocido como fraude), es un software que solicita a una persona que visite un sitio web infectado.
- Un truco de ingeniería social de “favor por favor” que anima a las víctimas a compartir datos confidenciales a cambio de algún servicio.
En lo que respecta a la ejecución, los ciberatacantes utilizan métodos como el phishing, ya sea como punto de entrada para la infiltración o como una actividad fraudulenta directa para robar fondos. Por ejemplo, los estafadores utilizarían cuentas bancarias legítimas de usuarios desprevenidos para retirar fondos instantáneamente. El uso de aplicaciones de banca móvil aumenta el riesgo debido a la expansión global de troyanos de banca móvil como Anubis, Basbanke, Ghitmob y Ginp.
Para prevenir la ingeniería social, es necesario que las organizaciones financieras eduquen a sus usuarios y empleados sobre cómo identificar y denunciar actividades fraudulentas en sus cuentas. Las medidas de seguridad como la autenticación 2FA pueden minimizar las posibilidades de ataques directos, pero es importante recordar que los actores de ingeniería social emplean técnicas de piratería sigilosas para pretender ser representantes de una institución legítima.
Servicios no seguros de terceros
Una tendencia común del año es que los adversarios han estado buscando brechas de seguridad en servicios de terceros conectados a la infraestructura bancaria. Por ejemplo, tienden a infiltrarse a través de empresas que prestan servicios a los bancos, obteniendo así acceso a los datos financieros. Más allá de eso, en también se produjeron ataques a través de servicios de terceros dirigidos directamente a las tarjetas de pago de los clientes.
Técnicas habituales de un ciberataque financiero a través de terceros:
- Un método técnicamente menos sofisticado para que los delincuentes obtengan acceso a los fondos es aprovechar la técnica de suplantación de identidad. Por lo general, envían un correo electrónico haciéndose pasar por un proveedor externo y solicitan a los empleados de la organización financiera que compartan datos confidenciales. Por ejemplo, General Electric fue atacada por piratas informáticos que se hacían pasar por su proveedor externo Canon Business Process Services.
- La siguiente técnica común es el hojeado digital. Los estafadores hojean información de pagos digitales, como números de tarjetas de crédito y códigos de seguridad, a través de campos de entrada en sitios web de comercio electrónico.
- Virus como Vultur explotan los servicios de accesibilidad y las funciones de acceso remoto de Android. Después de instalar una aplicación infectada, el usuario expone el dispositivo a estafadores que pueden obtener control remoto de sus interfaces. Como resultado, los atacantes pueden recopilar las credenciales de las cuentas financieras mediante la grabación de pantalla y el uso de un registrador de teclas para recopilar entradas.
El empleo de servicios de proveedores externos se ha convertido en una práctica generalizada en el sector de servicios financieros. Sin embargo, el acto de compartir información entre las partes se convierte en un probable punto de entrada para un ciberataque. Los usuarios finales también están expuestos a amenazas cibernéticas al utilizar sitios de comercio electrónico y aplicaciones móviles sospechosas.
Pensamientos finales
El año mostró una mayor actividad en el ámbito de las ciberamenazas financieras. Los actores maliciosos atacan instituciones como bancos, aplicaciones de billetera electrónica o mesas de operaciones para obtener acceso ilícito al sistema de la organización y robar fondos. Mientras tanto, el malware también se considera una amenaza importante para las grandes organizaciones. Al mismo tiempo, los atacantes de APT continúan desarrollando sus técnicas y redes, convirtiéndose en un mercado maduro de ciberataques.