De cyberkriminelle, der angriber finansielle systemer, er smartere, mere subtile og bedre organiserede, og de stjæler hidtil usete mængder af penge. Virksomheder har brug for processer, der kan spotte tegn på svindel.
Cyberkriminelle, der retter sig mod Australien, flytter deres fokus til mål på anden række, såsom lønsystemer, faktureringssystemer og pensionsmæglere, ifølge føderal agent Scott Mellis, teamleder af cyberkriminalitetsoperationer hos Australian Federal Police (AFP) i Melbourne.
"Jeg giver bankerne skylden for alt dette. De har gjort et rigtig godt stykke arbejde med at sikre deres detailbankplatforme, Gud velsigne dem, sagde Mellis til Australian Cyber Security Center (ACSC)-konferencen i Canberra onsdag.
Med banker, der er blevet hårdere mål, er angriberne naturligvis rykket ned i fødekæden.
"Vi er nødt til at vende vores fokus til, hvor penge opbevares, og hvor der er dårlig sikkerhed eller svag sikkerhed og dårligt design," sagde Mellis.
Seneste australske nyheder
- Den australske regering annoncerer medlemmer af 5G-arbejdsgruppen
- Den australske regerings hensynsløshed med medicinske data er et symptom på dybere problemer
- Turnbull løfter sløret for nye teknologiministre i kabinetsrokade
- ACCC starter forespørgsel om NBN engrosserviceniveauer
- Genidentifikation mulig med australsk afidentificeret Medicare og PBS åbne data
En anden tendens er, at de pengebeløb, der er udbetalt gennem pengemuldyr, har været "meget højere" i det sidste år, sagde Mellis. Nogle var mere end AU$500.000. Det største beløb var AU$900.000 overført til et muldyr i det vestlige Australien "i ét hit".
"Det var uhørt for to eller tre år siden... Udbetalinger er flyttet til ekstremt skadelige niveauer. Vi har ikke set en eneste million-dollar-overførsel endnu, men jeg tror, vi virkelig er på nippet til det. Hvem der er ansvarlig for tabet er også et rimeligt spørgsmål."
I den mindre ende blev midler ofte overført gennem sekundære pengemuldyr for yderligere at beskytte de kriminelle. Mange af disse sekundære muldyr var ældre mennesker, pensionister og hjemmegående mødre.
"Nogle af disse mennesker, som vi normalt ikke ville have med at gøre, troede faktisk, at de havde et seriøst job i finanssektoren," sagde Mellis.
"Der er nogle mennesker derude, der ikke tænker, som vi gør. Naturligvis."
AFP har set "flere ofre" blive ramt af lønsystemangreb, som følger en standardmetodologi.
De kriminelle logger ind med stjålne legitimationsoplysninger, tjekker datoen for næste lønkørsel og logger ud. De logger ind igen lige før lønkørslen, ændrer medarbejdernes bankoplysninger til dem for flere pengemuldyr, så der ikke er et enkelt punkt, hvor de fejler, og lønkørslen fortsætter.
"Medarbejderoprør er formentlig det første tegn, organisationen vil have på, at der har været et problem." sagde Mellis.
AFP har bemærket nogle finesser i metoden. Angribere ændrer ikke HR-afdelingens medarbejderes konti, fordi de er mere tilbøjelige til at lægge mærke til problemet. Ofte foretager de en lille ændring og venter på at se, om nogen bemærker det, før de foretager de store ændringer. Og de får kun adgang til systemerne i arbejdstiden, ligesom medarbejderne ville.
"Vi ser lange perioder med rekognoscering, som [engang] sandsynligvis var mere relateret til statsbaserede aktørers arbejde. Smash-and-grab er der ikke så meget, som det plejede at være," sagde Mellis.
Angriberne stjal også ansattes skatteoplysninger, med det formål at bruge dem til at indsende falske selvangivelser og omdirigere skatterefusionen til gennem deres pengemuldyr.
"Der var meget få vellykkede tilfælde af dette," sagde Mellis, fordi det australske skattekontors systemer opdagede svindlen, men der blev gjort forsøg.
Lignende angreb bliver lavet mod regnskabssystemer, som ofte er knyttet til HR-lønsystemer, eller i det mindste bruger et delt login. Penge beregnet til at betale leverandørers fakturaer omdirigeres til muldyrene.
"Det var ret voldsomt i slutningen af sidste år," sagde Mellis.
I modsætning til lønangrebene tager faktureringsangreb uger at opdage, fordi leverandører generelt betales langsommere end ansatte.
AFP kalder nu disse angreb "driftnetting", fordi de er sat-og-glem.
"Svindlerne ændrer noget, venter på, at en naturlig proces kører på platformen, og udbetaler så," sagde Mellis.
AFP har også afsløret angreb mod pensionsmæglere, der administrerer super på vegne af arbejdsgivere. "Vi bemærkede mistænkelige pengesummer, der blev overført fra australske finansielle institutioner til muldyr konti, og en af disse institutioner drev en pensionsfondsadministrationsplatform," Mellis sagde.
AFP fandt til sidst to pensionsmæglerfirmaer med adgang til denne platform, hvis pc'er viste tegn på have været inficeret med malware, og som havde logget ind på platformen på usædvanlige tidspunkter, bl.a weekender.
Pensionsplatforme manglede ofte brugerbekræftelse for højrisikotransaktioner.
”Hvis der for eksempel blev overført penge fra en investors konto, blev der sendt en mail til investoren, men først efter at pengene var blevet overført, så det hele var lidt sent. Den målmail, som den e-mail går til, var også ubekræftet, så alle med den kompromitterede legitimationsoplysninger kunne få adgang til kontoen og ændre mål-e-mailen, for at e-maile den kriminelle for eksempel," sagde Mellis.
En platform krævede, at investorerne oplyste et australsk forretningsnummer (ABN), men de kriminelle søgte blot på nettet efter ABN for et selskab, der lød som om, det kunne være relateret til investoren på en eller anden måde.
En anden fejl var en onlineformular, som gjorde det muligt for loggede brugere at overføre ubegrænsede midler uden nogen form for menneskelig bekræftelse, såsom et telefonopkald.
Et vedvarende problem er, hvad AFP kalder "efterligning af administrerende direktør" eller "efterligning af seniorledere", og FBI kalder "forretnings-e-mail-kompromis", hvor en organisations personale bliver manipuleret til at sende penge til kriminelle.
Sikkerhed
- 8 vaner hos yderst sikre fjernarbejdere
- Sådan finder og fjerner du spyware fra din telefon
- De bedste VPN-tjenester: Hvordan sammenligner top 5?
- Sådan finder du ud af, om du er involveret i et databrud – og hvad du skal gøre nu
Sofistikeringen af disse angreb varierer, fra blot at oprette en generisk [email protected] eller [email protected], til at kompromittere en leders rigtige e-mail-konto for at lære deres livsstil og lave en mere realistisk efterligning.
AFP har set efterligningsangreb netto mellem AU$20.000 og AU$900.000. Forbryderne er for det meste baseret i Vestafrika.
Tidligere på måneden sagde FBI's Phoenix Division det 2,3 milliarder dollars er gået tabt til forretnings-e-mail kompromitterende svindel i løbet af de seneste tre år.
Nogle kriminelle angriber dog stadig banker - og de viser også masser af sofistikering.
Tilsynsspecialagent Chad Hunt og specialagent Mark Ray fra FBI gik konferencen gennem en bank på 6 millioner dollars tyveri, hvor de kriminelle foretog rekognoscering på målets netværk i mere end en måned, før de endelig lavede deres bevæge sig.
Selvom målorganisationen havde krypteret kreditkortnumrene, den gemte, logger chat indhentet af FBI viste de kriminelle diskutere deres evne til at dekryptere 550.000 kortnumre pr. time.
Disse kriminelle var helt klart en del af et bredere netværk. De var klar over svaghederne ved deres egen operationelle sikkerhed (OPSEC). Det var dem, der besluttede, hvornår de havde hentet penge nok fra målet, og hvornår det var tid til at trække stikket ud af deres drift, tørre deres computere og ændre deres online-identiteter.
FBI-agenterne sagde, at der er sket et skift væk fra at cyberkriminalitet udelukkende udføres af cyberkriminalitet netværk, mod old-school kriminalitetsnetværk, der "bruger hackerfærdigheder til at fremme deres funktionærordninger".
"De er alle sammen meget godt forbundet," sagde Ray, som arbejder i FBI's Cyber Division i deres Atlanta Field Office.
"De kender alle hinanden, og de kender tjenesterne, uanset om det er pengeflytningstjenester eller [kender] de rigtige mennesker til at betale sig i forskellige regeringer. Det er et øverste lag, der på nogle måder er urørligt."
Så hvorfor er så mange af disse angreb vellykkede?
Et problem med angrebene på det finansielle system, som AFP undersøgte, var, at ofrenes systemer var blevet bygget over lang tid af mange mennesker. Kombineret med personaleomsætning betød det, at ingen rigtig vidste, hvordan systemerne skulle fungere.
Nogle pensionsmæglere kørte endda BitTorrent og spilsoftware på netop de pc'er, der blev brugt til at administrere kundernes konti, sagde Mellis.
Mellis reciterede også den velkendte litani af grundlæggende tekniske fejl: mangel på systempatching, adgangskoder gemt i ubeskyttet dokumenter, enkeltfaktorgodkendelse, delte adgangskoder, VPN'er, der ikke bliver brugt, og personale, der ikke følger etablerede processer. Men mange angreb lykkedes på grund af menneskelig svigt.
"Det menneskelige element er det hårdeste element af alle. Det er så svært, for der er rigtig mange dumme mennesker derude«.
FBI-agenterne havde en yderligere kommentar til de menneskelige faktorer.
"Trusselintelligens er et stort buzzword nu, men jeg tror, der er forskel på taktisk trussel intelligens, de rigtige indikatorer og alt det, vi har, og så virkelig strategisk [intelligens]." sagde Ray.
"Alle de bedste værktøjer, IDS'er [systemer til registrering af indtrængen] og SIGINT [signal intelligens] derude erstatter stadig ikke gammeldags menneskelig int."