Alors que les titulaires de licences de banques numériques de Singapour devraient commencer leurs activités cette année, une vague d'escroqueries en ligne a coûté la vie aux victimes. les économies constituent un autre signal d’alarme et démontrent que les réglementations sont parfois le seul moyen de sortir les organisations du complaisance.
En matière de cybersécurité, les gouvernements et les entreprises vantent souvent l'importance des « responsabilité", les consommateurs étant invités à pratiquer également une bonne cyber-hygiène pour aider à prévenir les attaques et à protéger leurs propres actifs. Une récente vague d'escroqueries en ligne à Singapour révèle cependant que la faute sera portée sur les individus lorsque possible et démontre que la réglementation est parfois le seul moyen de sortir les organisations de complaisance.
Personnes, processus et technologie. Combien de fois cette trinité a-t-elle été prêchée comme les trois principes fondamentaux de toute adoption numérique réussie et d’une approche holistique pour garantir une bonne posture de sécurité? Mais lequel des trois a le plus grand poids? La technologie joue-t-elle le rôle le plus important dans la cybersécurité? Ou les processus sont-ils l’élément le plus critique de cette équation?
Lorsqu’il s’agit de blâmer, il semble qu’il incombe largement aux consommateurs de protéger leurs données personnelles et d’en supporter les conséquences s’ils tombent dans le piège d’escroqueries en ligne.
Une récente série de escroqueries en ligne impliquant au moins 469 clients d'OCBC Bank a entraîné des pertes de plus de 8,5 millions de dollars SG (6,32 millions de dollars), dont 2,7 millions de dollars escroqués au cours du seul week-end de Noël de trois jours. Plusieurs des victimes auraient perdu toutes leurs économies, notamment un homme de 43 ans dont le compte a été effacé de 500 000 S$, un homme de 38 ans ingénieur logiciel qui a perdu 250 000 S$, et un cadre financier de 33 ans qui avait son compte vidé de 68 000 S$.
Voir également
Singapour doit rendre le contrôle des données aux utilisateurs pour regagner la confiance du public
La confiance joue un rôle important dans la volonté des consommateurs de partager leurs données personnelles, mais elle s'érodera si les entreprises continuent de bénéficier d'un accès plus large aux données personnelles et les Singapouriens ne se sentent pas habilités à protéger leur propre cybersécurité hygiène.
Lisez maintenantDans ces cas, qui ont fait surface pour la première fois le 1er décembre de l'année dernière, des fraudeurs ont manipulé les détails de l'identifiant de l'expéditeur du SMS pour les expulser. messages qui semblent provenir d'OCBC. Ces messages SMS incitaient les victimes à résoudre des problèmes avec leurs comptes, les redirigeant vers du phishing. sites Web et leur demander de saisir leurs informations de connexion bancaires, y compris leur nom d'utilisateur, leur code PIN et leur mot de passe à usage unique (OTP).
Étant donné que l'identifiant d'expéditeur légitime d'OCBC a été cloné et usurpé avec succès, ces messages sont apparus dans le même fil que les alertes ou notifications précédentes de la banque, laissant croire aux victimes qu'elles l'étaient légitime.
Dans sa déclaration Publié le 30 décembre, OCBC a clairement indiqué que les clients constituaient « la première ligne de défense » contre de telles escroqueries et qu'une fois les fonds retirés de leur compte, la possibilité de recouvrement était « très faible ». La banque a déclaré avoir publié son premier avis le 23 décembre, mettant en garde le public contre les escroqueries et déconseillant aux clients de cliquer sur les liens intégrés dans les messages SMS.
Bouleversés par la façon dont la violation a été gérée, les clients d'OCBC concernés ont exprimé leur frustration face au temps qu'ils ont passé à passer. ont été mis en attente dans leurs efforts pour contacter la hotline de la banque et faire verrouiller leurs comptes pour endiguer le des fuites. Plusieurs ont noté un manque d'urgence de la part des agents clients d'OCBC lorsqu'ils ont été informés de la faille de sécurité.
Dans son entretien avec la plateforme médiatique locale Vaisseau mère, la victime, un homme de 43 ans, a ajouté que le personnel de la banque avec lequel il correspondait ne semblait même pas être au courant des escroqueries en cours. Notant que son compte avait été piraté le 20 décembre, il s'est demandé si OCBC avait fait suffisamment pour alerter ses propre personnel et clients des risques de sécurité croissants alors que les attaques se multipliaient depuis Debut Décembre.
Inondée par la mauvaise presse qui a suivi, OCBC a déclaré mercredi que tous les clients touchés par les escroqueries recevraient « des paiements de bonne volonté complets » comprenant le montant qu'ils ont perdu. Ceci est arrivé après son déclaration précédente Lundi, l'entreprise avait commencé à effectuer des "paiements de bonne volonté" depuis le 8 janvier, mais n'a pas précisé si cela s'appliquait à tous les clients ou s'ils recevraient la totalité du montant perdu.
OCBC considère probablement cette radiation de 8,5 millions de dollars comme un coût nécessaire à la gestion de crise, mais elle le fera Il faudra probablement beaucoup plus avant que la banque soit en mesure de regagner la confiance de ses clients et de sa marque. réputation.
Il fait également face à d'éventuelles répercussions de la part de l'Autorité monétaire de Singapour (MAS), régulateur du secteur, qui a déclaré qu'elle "envisagerait mesures de surveillance appropriées » après que la banque ait mené une enquête « approfondie » pour identifier et combler les lacunes de ses processus.
Pendant ce temps, MAS mercredi introduit plusieurs mesures que les banques devraient mettre en œuvre à la suite des escroqueries par phishing. Il s'agit notamment de la suppression des hyperliens des messages électroniques ou SMS envoyés aux consommateurs, d'un délai de 12 heures dans l'activation des logiciels mobiles. jetons, et la mise en place d'une équipe d'assistance client dédiée et « bien dotée en ressources » pour traiter les commentaires des clients sur les fraudes potentielles cas.
Notant que ces nouvelles mesures visaient à renforcer la sécurité des services bancaires numériques à Singapour, le MAS a ajouté que les institutions financières devraient mettre en œuvre des garanties supplémentaires, telles que l'application d'un délai de réflexion avant les demandes de modification d'un compte clé, y compris le contact d'un client détails.
Des solutions plus permanentes sont également en préparation pour lutter contre l'usurpation d'identité par SMS, notamment l'adoption du registre SMS Sender ID par toutes les parties prenantes concernées, a indiqué le MAS.
Un renforcement de la réglementation est nécessaire pour que les entreprises prennent la sécurité au sérieux
Ces mesures, à mon avis, tardent à venir.
Trop d’organisations, y compris les banques, ont adopté depuis bien trop longtemps mauvaises pratiques commerciales qui exposent les clients à des risques d’attaques de sécurité. Ils ont également été de plus en plus sévères dans le quantité de données personnelles qu'ils demandent des clients en échange d’un accès à des services, y compris des services critiques.
Plus important encore, alors que le nombre de cyberattaques et de violations continue d’augmenter, les entreprises ne disposent toujours pas d’un plan approprié pour les aider davantage. réagir rapidement aux incidents de sécurité et endiguer toute fuite potentielle de données.
OCBC n’avait clairement pas mis en place de cadre en matière d’incidents de cybersécurité. Si tel était le cas, il aurait été en mesure de mieux gérer les appels de clients affolés les alertant de la situation. escroqueries et bloquer plus rapidement les comptes concernés pour empêcher d'autres transactions frauduleuses d'être effectuées. lieu.
D'autres questions se posent quant à savoir pourquoi l'en-tête SMS de la banque a été si facilement usurpé et si cela pris des mesures préalables pour prévenir, ou même enquêter, sur les escroqueries par phishing dès la première fois. fait surface.
Les forces de l'ordre locales avaient publié plusieurs notes consultatives, dont une dès avril dernier et un autre dans Novembre, à propos de faux SMS avec des en-têtes SMS usurpés de banques.
OCBC a-t-elle tenu compte de ces alertes? Ou la banque a-t-elle jugé acceptable de les ignorer puisque les notes d'information servaient d'avertissement aux consommateurs pour qu'ils prennent les mesures nécessaires et soient « la première ligne de défense »?
Voir également
Les entreprises ont besoin d’une meilleure réponse aux violations et de directives réglementaires claires
Aujourd’hui, la plupart des entreprises ne disposent toujours pas d’un cadre approprié pour les aider à naviguer et à réagir rapidement. Lorsqu’une faille de cybersécurité se produit, les gouvernements peuvent aider en fournissant des lignes directrices et des protocoles clairs.
Lisez maintenantL'OCBC n'aurait-elle pas dû être la toute première ligne de défense dans cette affaire?
Dans une réponse du 17 janvier aux rapports sur les escroqueries par hameçonnage par SMS, le directeur des communications et de l'Infocomm Media Development Authority (IMDA) marketing Foo Wen Dee a déclaré qu'un projet pilote avait été lancé en août dernier pour permettre aux organisations d'enregistrer les en-têtes SMS Sender ID qu'elles souhaitaient. sauvegarde. Le faire avec le registre de protection de l'ID de l'expéditeur SMS permettrait de garantir que les messages envoyés via une utilisation non autorisée de l'ID de l'expéditeur SMS protégé seraient bloqués.
Foo a écrit: « Le succès de cette mesure nécessite toutefois que des organisations telles que les banques participent au projet pilote, qui inclurait enregistrer les identifiants d'expéditeur de SMS qu'ils souhaitent protéger et choisir les agrégateurs de SMS agréés qui sont autorisés à envoyer des SMS sur les banques au nom de.
"Lorsque le registre a été lancé, certaines banques se sont inscrites au registre. D'autres organisations telles que Lazada et SingPost se sont également inscrites. Nous exhortons davantage d'entreprises qui utilisent des identifiants d'expéditeur de SMS à le faire", a-t-elle déclaré. Elle a ajouté que l'IMDA travaillait avec des opérateurs de télécommunications à Singapour pour déployer d'autres mesures, notamment le blocage des numéros couramment usurpés.
Il est intéressant de noter que Foo a choisi de ne pas citer d'exemples de banques qui ont participé au projet pilote, alors qu'elle l'a fait pour des organisations d'autres secteurs.
Alors, OCBC a-t-elle mis son identifiant d'expéditeur de SMS dans le registre? Et si c’est le cas, l’a-t-il fait avant ou seulement après que les escroqueries par phishing aient fait surface en décembre? Et pourquoi a-t-elle été la seule banque touchée, et si durement, par cette vague d’attentats?
Ce sont des questions qui ne peuvent rester sans réponse, d’autant plus que Singapour est sur le point de pousser plus loin ses efforts. régime bancaire numérique en pleine vitesse. Les quatre soumissionnaires retenus pour les licences bancaires numériques du pays devraient commencer leurs opérations début 2022.
Marqués par les nombreux rapports faisant état d'épargnes de toute une vie effacées des comptes bancaires, et la faute étant imputée aux victimes, combien se précipiteront pour s'inscrire aux services proposés par les banques numériques? Si les fraudeurs parviennent à trouver des failles dans les systèmes et les processus de banques traditionnelles établies telles que OCBC, que peuvent-ils faire de plus avec des banques qui fonctionnent entièrement sur des infrastructures en ligne?
En outre, plusieurs victimes des escroqueries OCBC ne faisaient pas partie de groupes vulnérables, moins férus de technologie et plus susceptibles aux cyberescroqueries. Il s'agissait de jeunes, vraisemblablement déjà familiarisés avec la consommation de services en ligne, et de professionnels des secteurs financier et informatique.
Même s’ils se laissaient berner par les cyber-escrocs, quel espoir y aurait-il pour d’autres, moins habitués aux services bancaires numériques?
La confiance des consommateurs joue un rôle clé en favorisant l'adoption et, si rien n'est fait à la suite de la dernière série d'événements, cela pourrait mettre un frein aux espoirs de Singapour d'une ère bancaire numérique florissante. D’un autre côté, cela pourrait en fait donner un nouvel avantage concurrentiel aux nouveaux acteurs du numérique, maintenant que la relation de confiance entre les banques historiques et les clients s’est quelque peu érodée.
S’il reste à voir comment l’industrie se remettra de la saga OCBC, ce qui est devenu évident est la nécessité d’une réglementation plus stricte pour sortir les entreprises de leur inertie.
D'une part, l'inclusion par le MAS de la réponse aux incidents parmi certaines des mesures que les banques doivent adopter est un pas en avant positif.
Un rapport ZDNet que j'ai publié la semaine dernière discutait de l'importance de réponse aux incidents de cybersécurité en renforçant la cyber-résilience et la disponibilité des réseaux. Comme mentionné précédemment, un solide plan de réponse aux incidents aurait pu aider OCBC à empêcher de nouvelles fuites de fonds et à éviter à ses clients, ainsi qu'à la banque, une perte de 8,5 millions de dollars singapouriens.
Il devrait y avoir des directives claires, et des mandats si nécessaire, qui garantissent que les entreprises et les banques répondent dans les délais impartis lorsque les clients appellent leur hotline au sujet d'une éventuelle faille de sécurité. Le non-respect de ces exigences devrait entraîner des sanctions financières ou l'incapacité des organisations en infraction de renoncer à leur responsabilité.
Les entreprises devraient également être tenues de publier un rapport d'incident, à la suite de leur enquête sur le service. violation, qui met en évidence la cause de la violation et les mesures correctives prises pour boucher les failles de sécurité, le cas échéant. n'importe lequel. Si nécessaire, ce rapport doit inclure des mesures supplémentaires que les clients pourraient devoir prendre pour mieux protéger leurs données personnelles au sein de l'organisation.
Par exemple, cela fait deux mois que DBS a subi sa plus grave interruption de service en novembre dernier, au cours duquel ses clients n'ont pas pu se connecter ou accéder aux services en ligne et mobiles de la banque pendant la majeure partie de deux jours. DBS a ensuite imputé la faute à ses serveurs de contrôle d'accès, mais a proposé quelques détails sur la cause du problème avec les systèmes.
Envisage-t-elle de publier prochainement un rapport détaillant son examen de l’incident? A-t-elle au moins soumis ses conclusions au MAS? Dans le cas contraire, comment les clients de DBS pourront-ils être certains que les processus et systèmes de la banque n'ont pas déclenché l'interruption de service et que leurs données et comptes sont correctement sécurisés?
Par ailleurs, la mise en œuvre de mesures de sécurité jugées essentielles pour lutter contre les menaces croissantes, telles que l'enregistrement et la protection des identifiants d'expéditeur de SMS, devraient être obligatoires et appliqués, plutôt que laissés tels quels. facultatif.
Si MAS peut libérer directives interdisant la commercialisation de crypto services pour protéger les consommateurs contre le commerce « impulsif », alors il peut sûrement faire de même en exigeant l'adoption de mesures essentielles pour protéger les économies des gens?
Même si les craintes selon lesquelles une réglementation excessive peut étouffer l’innovation sont fondées, des lois et des règles sont nécessaires lorsque il y a un échec flagrant, de la part des entreprises, à faire ce qui est exigé chez leurs clients intérêt.
Oui, la cybersécurité est une responsabilité partagée, mais cela ne signifie pas que les entreprises doivent lever les bras à la première occasion et dites « nous vous l'avions bien dit » lorsque les clients font une erreur et tombent dans le piège - pour utiliser un terme auquel les organisations victimes de violations font généralement référence - »de plus en plus sophistiqué" escroqueries en ligne.
Des efforts équivalents doivent également être déployés pour traiter et contenir immédiatement l’impact des incidents de sécurité, quelle que soit la manière dont la violation s’est produite. Assumer une position de violation ne signifie pas que les entreprises doivent ignorer la diligence raisonnable.
Et la prochaine fois que quelqu'un évoquera le compromis entre commodité et sécurité, rappelez-lui les comptes bancaires qui ont été vidés de leurs économies via un seul lien dans un message SMS.
COUVERTURE CONNEXE
- Singapour poussé à introduire des mesures de sécurité face aux escroqueries bancaires en ligne
- Les entreprises ont besoin d’une meilleure réponse aux violations et de directives réglementaires claires
- DBS Bank fournit peu de détails sur une interruption de service de plusieurs heures
-
L'ère de la banque numérique à Singapour mettra l'accent sur les PME et la confiance des consommateurs
- Les entreprises de la région Asie-Pacifique sont confrontées à des cyberattaques croissantes et il leur faut plus d'une semaine pour y remédier
- Supposons que la position en matière de violation ne signifie pas que les entreprises doivent ignorer la diligence raisonnable en matière de cybersécurité
- Singapour doit rendre le contrôle des données aux utilisateurs pour regagner la confiance du public