别说我没提醒各位啊!就在这个月月初,美国联邦调查局当时还专门给全球各大银行发布了一条警告,大致内容是“网络犯罪分子正在计划对全球范围内的ATM机进行一次大规模网络攻击”。就在三天之后,印度银行的ATM服务器上就出现了恶意软件,在此次攻击中,攻击者成功从该银行遍布全球的ATM机中非法提现了数百万美元。这件事情绝对需要引起各行各业的注意,因为当这样的事情即将发生在自己身上时,其实我们是没有多少时间去做准备的。这就好比你收到警报称“龙卷风还有30分钟“抵达战场”,这个时候你再去存储粮食和水,然后加固房屋的话,一切都太晚了。
这也是我写这篇文章的原因,因为在攻击真正发生之前,我们需要有一套完整的机制来处理网络攻击或数字欺诈。虽然我们无法完全阻止网络犯罪事件的发生,但是我们可以增加自己在网络安全事件中的“存活几率”,并降低事件所带来的影响。我们无法预知接下来将要发生的网络攻击类型(虽然针对印度银行ATM机的攻击早在2013年-2017年就已经发生过了,即臭名昭著的Carbanak和Cobalt恶意软件攻击),但无论网络攻击如何进化和发展,我们总有办法去降低这些攻击所带来的影响。
下面是我们提供给广大金融机构和客户的十种防范措施(建议)
[[242863]]
一、从多个角度评价当前的防攻击/欺诈策略
从目前的网络技术发展状况来看,有效的防攻击/欺诈策略必须要扩展至组织的所有线上及线下渠道,对于金融机构来说,还包括无卡支付、电话帮助中心、ATM、移动端环境和云环境。之所以要覆盖所有渠道,是因为如果组织的整个运营机制的某个环节出现了问题,那么攻击者就能够利用其中一个渠道来攻击整个系统中的其他部分,并导致更严重的事情发生。这也就是我们为什么需要部署一个能够覆盖组织全渠道的防攻击/欺诈策略了,这一点非常关键,任何一个环节的疏漏都将导致你“全盘皆输”。
二、监控!监控!监控!
重要的事情说三遍,在之前的ATM攻击事件中,美国联邦调查局一直强调银行需要对ATM的所有相关活动进行监控,但我们认为组织需要把监控对象的范围扩大化,即监控组织内所有的数字渠道,拿ATM机攻击事件来举个例子,各大金融机构和组织应该持续监控的东西有:
- 远程网络协议以及管理员工具的使用情况,因为在网络犯罪活动中,攻击者往往需要使用这些工具来入侵/访问组织的网络系统。
- 通过非标准端口传输的加密网络通信数据。
- 原本不应该向外传输的网络通信数据。
三、在第一时间收到事件通知
确保组织的安全管理人员能够在第一时间收到:
- 潜在的欺诈行为指标,例如不正常的取款交易等等,这个可以通过ATM系统中的网络请求处理频率的变化来判断。
- 金融机构的ATM对其他发卡行的取款限制是否发生变化。
- 网络通信数据中的威胁指标,包括已知的安全威胁情报。
四、禁用ATM的PIN码修改功能
建议各大金融机构禁用ATM的PIN码修改功能,监控电话服务中心的PIN码修改请求,以及其他非金融事件的修改请求,例如客户手机号码和家庭住址等信息的修改。
五、更新ATM的操作系统
从技术角度出发,在2020年Windows 7彻底“挂掉”之前,银行是不需要将ATM机的操作系统更新至Windows 10的。但是等到“最后一刻”才更新系统的这种行为会放大整个系统所面临的安全风险,因为此时的系统中可能存在着各种各样已过期的软件,而这些软件会给攻击者提供可乘之机。由于缺乏定期的安全更新补丁,以及运行大量不受服务支持的软件,ATM机将无法有效抵御新型恶意软件的攻击。
六、针对芯片卡交易部署EMV终端
在ATM取款欺诈活动中,攻击者首先需要盗窃目标用户的支付卡数据,然后将数据复制到其他的芯片卡上,并用伪造的支付卡进行违规取款,但是克隆一张芯片卡,还是比较困难的。ATM行业协会将EMV技术称为了行业内针对伪造卡片的主要保护手段。
[[242864]]
从客户的角度出发,金融机构应该鼓励广大用户去做以下几件事:
七、申请交易提醒
当客户的支付卡进行了交易之后,用户应该立即收到交易提醒。
八、定期查看卡片的日提款限额
定期查看卡片的日提款限额,以便在第一时间发现异常。
九、检查在线账号
定期检查在线账号的交易情况,及时上报可疑的交易活动。
十、定期修改密码
定期修改支付卡和在线账号的密码,将卡片遗失的损失降到最低。
后话
请大家记住,金融欺诈这个生态系统的规模每天都在壮大,复杂性也在不断增加。无论下一轮大规模的网络攻击活动何时到来,我们都应该随时准备着,而这种努力不仅是机构和组织需要付出的,广大用户同样需要付出。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/129930.html<
