Slik hacker skurkene banker
Ny angrepstrend i USA tegner et skremmende bilde for finansnæringen.
Minst tre banker i USA har tapt millioner av dollar etter at skurker fikk kontroll over applikasjonen som styrer den bakenforliggende pengeoverføringsflyten.
- Dette viser at hackerne kommer seg lenger og lenger inn i banksystemene. Det er det ingen tvil om, sier Avivah Litan fra Gartner, som jevnlig har konfidensielle møter med banker, der sikkerhet står på agendaen.
Hackere har lenge gått etter individuelle brukere og snappet opp innloggingsdetaljene deres for å overføre fra deres kontoer. Såkalte penge-esler rekrutteres som mellommenn for å motta pengesummen og sende den videre til skurkene. Ofte sendes pengene utenlands, og da blir det mer vanskelig å få dem tilbake.
Men disse siste angrepene ser ut til å være mer skadelige enn dette for finansnæringen.
Avledningsmanøver
I sine betalingsløsninger har bankene linket internutviklet programvare opp mot leverandørers betalingsprogramvare, via spesiallagde grensesnitt. I disse systemene er det tilgang til hele pengeoverføringsflyten.
Litan tror angriperne kan ha brukt en form for trojaner for å komme seg på innsiden av bankenes nettverk.
Pengeoverøfringsapplikasjonene er som regel godt beskyttet, kun få bankansatte er heldige nok til å ha brukernavn og passord til disse systemene. Men når skurkene først besitter et sett brukernavn og passord hit, har de plutselig kontroll over hele overføringsflyten. Det er vesentlig mer effektivt enn å gå etter én og én forbruker.
Det er på det rene at angriperne har brukt tjenestenektsangrep som avledningsmanøver rett før pengeoverføringene fant sted, forklarer Litan via sin blogg.
Langsomt
Bankene opplever ofte tjenestenektsangrep, der webserverne oversvømmes av falske brukere helt til de overbelastes. Litan tror bankene bedre kan beskytte seg om de senker hastigheten på pengeoverøfirngssystemene hvis et tjenestenektsangrep er under veis.
- Hvis du er under angrep, må du låse igjen noen dører. Du trenger ikke stoppe alt, men gjør det litt treigere, er hennes stalltips overfor Computerworlds nyhetstjeneste.
