Da Singapurs Lizenznehmer für digitale Banken voraussichtlich noch in diesem Jahr ihre Geschäftstätigkeit aufnehmen werden, löscht eine Flut von Online-Betrügereien Opfern ihr Leben aus Einsparungen sind ein weiterer Weckruf und zeigen, dass Vorschriften manchmal die einzige Möglichkeit sind, Unternehmen aus der Krise zu bringen Selbstzufriedenheit.
Wenn es um Cybersicherheit geht, betonen Regierungen und Unternehmen oft die Bedeutung von „Shared“. Verantwortung“, wobei Verbraucher aufgefordert werden, auch eine gute Cyber-Hygiene zu praktizieren, um Angriffe abzuwehren und sich zu schützen ihr eigenes Vermögen. Eine aktuelle Flut von Online-Betrügereien in Singapur zeigt jedoch, dass Einzelpersonen dafür verantwortlich gemacht werden möglich und zeigt, dass Vorschriften manchmal die einzige Möglichkeit sind, Organisationen aus der Fassung zu bringen Selbstzufriedenheit.
Menschen, Prozesse und Technologie. Wie oft wurde diese Dreieinigkeit als die drei Grundlagen jeder erfolgreichen digitalen Einführung und als ganzheitlicher Ansatz zur Gewährleistung einer guten Sicherheitslage gepredigt? Welcher der drei hat jedoch das größere Gewicht? Spielt Technologie die größte Rolle bei der Cybersicherheit? Oder sind Prozesse die kritischste Komponente dieser Gleichung?
Wenn es um die Schuldzuweisung geht, liegt offenbar eine erhebliche Verantwortung bei den Verbrauchern, ihre persönlichen Daten zu schützen und die Konsequenzen zu tragen, falls sie auf Online-Betrug hereinfallen.
Eine aktuelle Serie von Online-Betrug, an dem mindestens 469 Kunden beteiligt waren Der Betrug der OCBC Bank führte zu Verlusten von mehr als 8,5 Millionen Singapur-Dollar (6,32 Millionen US-Dollar), wobei allein am letzten dreitägigen Weihnachtswochenende 2,7 Millionen Singapur-Dollar betrogen wurden. Berichten zufolge haben mehrere der Opfer ihre Ersparnisse verloren, darunter ein 43-jähriger Mann Das Konto wurde um 500.000 S$ gelöscht, ein 38-Jähriger Softwareentwickler, der 250.000 S$ verloren hat, und 33-jähriger Finanzmanager, der es getan hatte Ihr Konto wurde um 68.000 S$ geleert.
Siehe auch
Singapur muss die Datenkontrolle an die Nutzer zurückgeben, um das Vertrauen der Öffentlichkeit zurückzugewinnen
Vertrauen spielt eine wichtige Rolle bei der Bereitschaft der Verbraucher, ihre persönlichen Daten weiterzugeben, aber das Vertrauen wird schwinden, wenn Unternehmen bereit sind weiterhin einen breiteren Zugang zu personenbezogenen Daten erhalten und die Singapurer fühlen sich nicht befugt, ihre eigenen Cyber-Daten zu schützen Hygiene.
Lies jetztIn diesen Fällen, die erstmals am 1. Dezember letzten Jahres aufkamen, manipulierten Betrüger SMS-Absender-ID-Daten, um sie zu verbreiten Nachrichten, die offenbar von OCBC stammten. Diese SMS-Nachrichten veranlassten die Opfer, Probleme mit ihren Konten zu beheben, und leiteten sie so zum Phishing weiter Websites und fordert sie auf, ihre Bank-Anmeldedaten einzugeben, einschließlich Benutzername, PIN und Einmalpasswort (OTP).
Da die legitime Absender-ID von OCBC erfolgreich geklont und gefälscht wurde, erschienen diese Nachrichten im Derselbe Thread wie frühere Warnungen oder Benachrichtigungen der Bank, was die Opfer zu der Annahme veranlasste, dass dies der Fall war legitim.
In seine Aussage OCBC stellte am 30. Dezember klar, dass Kunden „die erste Verteidigungslinie“ gegen solche Betrügereien seien und dass die Wahrscheinlichkeit einer Wiederherstellung „sehr gering“ sei, sobald Gelder von ihrem Konto abgebucht wurden. Die Bank sagte, sie habe am 23. Dezember ihre erste Warnung herausgegeben, in der sie die Öffentlichkeit vor den Betrügereien warnte und Kunden davor warnte, auf in den SMS-Nachrichten eingebettete Links zu klicken.
Betroffene OCBC-Kunden waren verärgert darüber, wie mit dem Verstoß umgegangen wurde, und äußerten sich frustriert über die lange Zeit, die sie hatten Ihre Bemühungen, die Hotline der Bank zu kontaktieren und ihre Konten sperren zu lassen, wurden auf Eis gelegt, um das Problem einzudämmen Lecks. Mehrere wiesen darauf hin, dass es den Kundendienstmitarbeitern von OCBC an mangelnder Dringlichkeit mangelte, als sie von der Sicherheitsverletzung erfuhren.
In seinem Interview mit der lokalen Medienplattform Mutterschiff, fügte das 43-jährige männliche Opfer hinzu, dass die Bankmitarbeiter, mit denen er korrespondierte, offenbar nicht einmal von den laufenden Betrügereien wussten. Er stellte fest, dass sein Konto am 20. Dezember gehackt wurde, und fragte sich, ob OCBC genug getan hatte, um das Konto zu alarmieren Als die Angriffe seitdem eskalierten, machten sie ihre eigenen Mitarbeiter und Kunden auf die wachsenden Sicherheitsrisiken aufmerksam früher Dezember.
Angesichts der schlechten Presse, die darauf folgte, sagte OCBC am Mittwoch, dass alle von den Betrügereien betroffenen Kunden eine „vollständige Kulanzauszahlung“ erhalten würden, die den Betrag abdeckt, den sie verloren haben. Dies geschah nach seiner vorherige Aussage Am Montag teilte das Unternehmen mit, dass es seit dem 8. Januar mit der Durchführung von „Goodwill-Auszahlungen“ begonnen habe, gab jedoch nicht an, ob dies für alle Kunden gelte oder ob sie den gesamten verlorenen Betrag zurückerhalten würden.
OCBC betrachtet diese Abschreibung in Höhe von 8,5 Millionen US-Dollar wahrscheinlich als notwendige Kosten im Krisenmanagement, aber das wird so sein Es wird wahrscheinlich noch viel länger dauern, bis die Bank das Vertrauen ihrer Kunden und ihrer Marke zurückgewinnen kann Ruf.
Es sieht sich auch mit möglichen Auswirkungen seitens der Branchenregulierungsbehörde Monetary Authority of Singapore (MAS) konfrontiert, die sagte, sie werde „erwägen“. angemessene Aufsichtsmaßnahmen“, nachdem die Bank eine „gründliche“ Untersuchung durchgeführt hatte, um Mängel in ihrem System zu identifizieren und zu beheben Prozesse.
In der Zwischenzeit MAS am Mittwoch mehrere Maßnahmen eingeleitet die Banken aufgrund der Phishing-Betrügereien umsetzen müssten. Dazu gehören die Entfernung von Hyperlinks aus E-Mail- oder SMS-Nachrichten, die an Verbraucher gesendet werden, und eine 12-stündige Verzögerung bei der Aktivierung mobiler Software Tokens und die Einrichtung eines engagierten und „gut ausgestatteten“ Kundendienstteams, das sich mit Kundenfeedback zu potenziellem Betrug befasst Fälle.
MAS wies darauf hin, dass diese neuen Maßnahmen darauf abzielten, die Sicherheit des digitalen Bankings in Singapur zu stärken, und fügte hinzu, dass Finanzinstitute dies tun sollten Implementieren Sie weitere Schutzmaßnahmen, wie z. B. die Durchsetzung einer Bedenkzeit vor Anfragen zu wichtigen Kontoänderungen, einschließlich der Kontaktaufnahme eines Kunden Einzelheiten.
Laut MAS sind auch dauerhaftere Lösungen zur Bekämpfung von SMS-Spoofing in Arbeit, einschließlich der Einführung des SMS-Absender-ID-Registers durch alle relevanten Interessengruppen.
Damit Unternehmen die Sicherheit ernst nehmen, ist eine stärkere regulatorische Hand erforderlich
Diese Schritte lassen meiner Meinung nach lange auf sich warten.
Zu viele Organisationen, darunter auch Banken, haben es schon viel zu lange übernommen schlechte Geschäftspraktiken Dies setzt Kunden dem Risiko von Sicherheitsangriffen aus. Sie waren auch zunehmend hartnäckig in der Menge an personenbezogenen Daten, die sie verlangen von Kunden als Gegenleistung für den Zugang zu Diensten, einschließlich kritischer Dienste.
Noch wichtiger ist, dass es Unternehmen immer noch an einem geeigneten Plan mangelt, um ihnen besser zu helfen, da die Zahl der Cyberangriffe und -verstöße weiter zunimmt schnelle Reaktion auf Sicherheitsvorfälle und verhindern Sie mögliche Datenlecks.
OCBC verfügte offensichtlich nicht über ein Rahmenwerk für Cybersicherheitsvorfälle. Wenn dies der Fall wäre, wäre es besser in der Lage gewesen, Anrufe von verzweifelten Kunden zu bearbeiten, die sie darauf aufmerksam machten Betrugsversuche verhindern und betroffene Konten schneller sperren, um weitere betrügerische Transaktionen zu verhindern Ort.
Es gibt weitere Fragen dazu, warum der SMS-Header der Bank so leicht gefälscht werden konnte und ob dies der Fall ist hat im Vorfeld keine Maßnahmen ergriffen, um die Phishing-Betrügereien zu verhindern oder gar zu untersuchen aufgetaucht.
Die örtlichen Strafverfolgungsbehörden hatten mehrere Hinweise veröffentlicht, darunter bereits einen letzten April und noch einer in November, über gefälschte SMS-Nachrichten mit gefälschten SMS-Headern von Banken.
Hat OCBC diese Warnungen beachtet? Oder hielt es die Bank für in Ordnung, sie zu ignorieren, da die Hinweise den Verbrauchern als Warnung dienten, die notwendigen Maßnahmen zu ergreifen und „die erste Verteidigungslinie“ zu sein?
Siehe auch
Unternehmen brauchen eine bessere Reaktion auf Verstöße und klare regulatorische Richtlinien
Den meisten Unternehmen mangelt es heute immer noch an einem geeigneten Rahmen, der ihnen hilft, sich schnell zurechtzufinden und zu reagieren Wenn es zu einer Cybersicherheitsverletzung kommt, können Regierungen durch die Bereitstellung klarer Richtlinien und Protokolle helfen.
Lies jetztHätte in diesem Fall nicht OCBC die allererste Verteidigungslinie sein sollen?
In einer Antwort vom 17. Januar auf Berichte über die SMS-Phishing-Betrügereien erklärte der Kommunikationsdirektor der Infocomm Media Development Authority (IMDA). Marketing-Foo Wen Dee sagte, im vergangenen August sei ein Pilotprojekt gestartet worden, um Organisationen die Registrierung von SMS-Absender-ID-Headern zu ermöglichen, die sie wünschen sichern. Dies mithilfe der SMS-Absender-ID-Schutzregistrierung zu tun, würde dazu beitragen, sicherzustellen, dass Nachrichten, die über die unbefugte Verwendung der geschützten SMS-Absender-ID gesendet werden, blockiert werden.
Foo schrieb: „Der Erfolg dieser Maßnahme erfordert jedoch, dass Organisationen wie Banken an dem Pilotprojekt teilnehmen, was Folgendes umfassen würde.“ Registrieren der SMS-Absender-IDs, die sie schützen möchten, und Auswahl der zugelassenen SMS-Aggregatoren, die SMS auf dem Bankkonto versenden dürfen. Namen.
„Als das Register initiiert wurde, haben sich einige Banken für das Register angemeldet. Auch andere Organisationen wie Lazada und SingPost haben sich angemeldet. Wir fordern mehr Unternehmen, die SMS-Absender-IDs verwenden, dazu auf, dies zu tun“, sagte sie. Sie fügte hinzu, dass IMDA mit Telekommunikationsunternehmen in Singapur zusammenarbeite, um weitere Maßnahmen einzuführen, darunter die Sperrung häufig gefälschter Nummern.
Es ist interessant, dass Foo sich dafür entschieden hat, keine Beispiele von Banken aufzulisten, die am Pilotprojekt teilgenommen haben, während sie dies für Organisationen in anderen Sektoren tat.
Hat OCBC also seine SMS-Absender-ID in die Registrierung eingetragen? Und wenn ja, geschah dies vor oder erst nach dem Auftauchen der Phishing-Betrügereien im Dezember? Und warum war sie die einzige Bank, die von der Flut an Angriffen so schwer getroffen wurde?
Das sind Fragen, die nicht unbeantwortet bleiben dürfen, zumal Singapur gerade dabei ist, diese Frage voranzutreiben Digital-Banking-Regime Vollgas geben. Die vier erfolgreichen Bieter der digitalen Banklizenzen des Landes werden voraussichtlich Anfang 2022 ihre Geschäftstätigkeit aufnehmen.
Wie viele werden angesichts der zahlreichen Berichte über die Löschung von Lebensersparnissen von Bankkonten und die Schuld auf die Opfer sich beeilen, sich für die Dienste digitaler Banken anzumelden? Wenn Betrüger in der Lage sind, Lücken in den Systemen und Prozessen etablierter traditioneller Banken wie OCBC zu finden, was können sie dann noch mit Banken tun, die vollständig auf Online-Infrastrukturen basieren?
Darüber hinaus gehörten mehrere Opfer der OCBC-Betrügereien nicht zu gefährdeten Gruppen, die weniger technisch versiert und anfälliger für Cyberbetrug waren. Es handelte sich um junge Menschen, die vermutlich bereits mit der Nutzung von Online-Diensten vertraut waren, und um Fachleute aus der Finanz- und IT-Branche.
Wenn selbst sie von den Cyber-Betrügern getäuscht wurden, welche Hoffnung gibt es dann für andere, die weniger an digitale Bankdienstleistungen gewöhnt sind?
Das Vertrauen der Verbraucher spielt eine Schlüsselrolle Dies trägt dazu bei, die Akzeptanz voranzutreiben, und könnte, wenn nach der jüngsten Reihe von Ereignissen nicht angegangen wird, Singapurs Hoffnungen auf ein florierendes Zeitalter des digitalen Bankwesens einen Strich durch die Rechnung machen. Auf der anderen Seite könnte es tatsächlich zu einem neuen Wettbewerbsvorteil für neue digitale Player führen, da die vertrauensvolle Beziehung zwischen etablierten Banken und Kunden möglicherweise etwas erodiert ist.
Während abzuwarten bleibt, wie sich die Branche von der OCBC-Saga erholen wird, ist klar geworden, dass strengere Vorschriften erforderlich sind, um Unternehmen aus der Trägheit zu befreien.
Einerseits ist die Einbeziehung der Reaktion auf Vorfälle durch MAS als Teil der Maßnahmen, die Banken ergreifen müssen, ein positiver Schritt nach vorne.
Ein ZDNet-Bericht, den ich letzte Woche veröffentlicht habe, erörterte die Bedeutung von Reaktion auf Cybersicherheitsvorfälle bei der Stärkung der Cyber-Resilienz und Netzwerkverfügbarkeit. Wie bereits erwähnt, hätte ein solider Plan zur Reaktion auf Vorfälle OCBC dabei helfen können, weitere Mittellecks einzudämmen und ihre Kunden sowie die Bank vor dem Verlust von 8,5 Millionen Singapur-Dollar zu bewahren.
Es sollte klare Richtlinien und gegebenenfalls Vorschriften geben, die sicherstellen, dass Unternehmen und Banken innerhalb einer festgelegten Zeit reagieren, wenn Kunden ihre Hotline wegen einer möglichen Sicherheitsverletzung anrufen. Die Nichteinhaltung dieser Anforderungen kann zu finanziellen Strafen führen oder dazu führen, dass die verletzten Organisationen nicht auf die Haftung verzichten können.
Unternehmen sollten außerdem verpflichtet werden, im Anschluss an die Untersuchung des Dienstes einen Vorfallbericht zu veröffentlichen Verstoß, der die Ursache des Verstoßes und ggf. ergriffene Abhilfemaßnahmen zum Schließen der Sicherheitslücken hervorhebt beliebig. Bei Bedarf sollte dieser Bericht zusätzliche Maßnahmen enthalten, die Kunden möglicherweise ergreifen müssen, um ihre personenbezogenen Daten bei der Organisation besser zu schützen.
Zum Beispiel sind seitdem zwei Monate vergangen DBS erlitt die schwerste Dienstunterbrechung Im vergangenen November konnten sich Kunden zwei Tage lang nicht bei den Online- und Mobildiensten der Bank anmelden oder darauf zugreifen. DBS machte später die Schuld für den Fehler auf seine Zugangskontrollserver verantwortlich, bot aber an wenige Details darüber, was das Problem mit den Systemen verursacht hat.
Plant sie, bald einen Bericht zu veröffentlichen, in dem die Überprüfung des Vorfalls detailliert beschrieben wird? Hat es seine Ergebnisse zumindest dem MAS vorgelegt? Wenn nicht, wie können DBS-Kunden dann sicher sein, dass die Prozesse und Systeme der Bank die Dienstunterbrechung nicht ausgelöst haben und dass ihre Daten und Konten angemessen gesichert sind?
Darüber hinaus ist die Umsetzung von Sicherheitsmaßnahmen, die zur Bekämpfung wachsender Bedrohungen als entscheidend erachtet werden, wie z Die Registrierung und der Schutz von SMS-Absender-IDs sollten vorgeschrieben und durchgesetzt werden und nicht so belassen werden Optional.
Wenn MAS freigeben kann Richtlinien, die die Vermarktung von Krypto verbieten Dienstleistungen zum Schutz der Verbraucher vor „impulsivem“ Handel anbieten, kann es dann doch doch nicht das Gleiche tun, um die Annahme entscheidender Maßnahmen zum Schutz der Lebensersparnisse der Menschen vorzuschreiben?
Während Bedenken berechtigt sind, dass eine Überregulierung Innovationen ersticken kann, sind in diesem Fall Gesetze und Regeln erforderlich Es gibt ein eklatantes Versäumnis seitens der Unternehmen, die Anforderungen ihrer Kunden zu erfüllen. Interesse.
Ja, Cybersicherheit ist eine gemeinsame Verantwortung, aber das bedeutet nicht, dass Unternehmen bei der ersten Chance ihre Waffen strecken können Sagen Sie „Wir haben es Ihnen gesagt“, wenn Kunden einen Fehler machen und darauf hereinfallen – um einen Begriff zu verwenden, auf den verstoßene Unternehmen häufig hinweisen –“zunehmend anspruchsvoller„Online-Betrug.
Ebenso sollten Anstrengungen unternommen werden, um die Auswirkungen von Sicherheitsvorfällen sofort anzugehen und einzudämmen, unabhängig davon, wie es zu dem Verstoß kam. Nehmen Sie die Bruchposition ein bedeutet nicht, dass Unternehmen die Due-Diligence-Prüfung überspringen dürfen.
Und wenn jemand das nächste Mal den Kompromiss zwischen Komfort und Sicherheit erwähnt, erinnern Sie ihn über einen Link in einer SMS-Nachricht an die Bankkonten, denen die Lebensersparnisse entzogen wurden.
VERWANDTE ABDECKUNG
- Singapur drängte auf die Einführung von Sicherheitsmaßnahmen inmitten von Online-Banking-Betrügereien
- Unternehmen brauchen eine bessere Reaktion auf Verstöße und klare regulatorische Richtlinien
- Die DBS Bank bietet nur wenige Details zu stundenlangen Serviceunterbrechungen
-
Das Zeitalter des digitalen Bankings in Singapur wird den Schwerpunkt auf KMU und das Vertrauen der Verbraucher legen
- APAC-Firmen sind mit zunehmenden Cyberangriffen konfrontiert, deren Behebung mehr als eine Woche dauert
- Die Annahme einer Sicherheitsverletzung bedeutet nicht, dass Unternehmen die Sorgfaltspflicht im Bereich der Cybersicherheit überspringen dürfen
- Singapur muss die Datenkontrolle an die Nutzer zurückgeben, um das Vertrauen der Öffentlichkeit zurückzugewinnen