Перейти к основному содержанию

4823 просмотра

Киберпреступники против финансовых организаций: чего ждать в 2018 году

Цифровые банки продолжают революцию в финансовом секторе экономики, в особенности на рынках развивающихся стран, но их активность не осталась незамеченной киберпреступниками

Киберпреступники против финансовых организаций: чего ждать в 2018 году

Киберпреступники против финансовых организаций: чего ждать в 2018 году

2017 год – это год больших перемен для финансовых организаций в мире киберугроз, и похоже заявленные риски автоматом перешли в 2018-й. Как результат, практически все крупные финансовые организации мира стали активно инвестировать в системы на основе технологии Blockchain.

Во-первых, мы стали свидетелями продолжения волны атак на финансовые организации через системы, отвечающие за общение со SWIFT – основополагающей частью финансовой экосистемы мира. С помощью вредоносных программ злоумышленники получили возможность манипулировать приложениями, отвечающими за трансграничные транзакции и, по сути, открыли возможность выводить деньги из любой финансовой организации мира, ведь это ПО унифицировано, и им пользуются практически все крупные игроки финансового рынка. Жертвами подобных атак стали ряд банков более чем из 10 стран мира.

Во-вторых, спектр связанных с финансами организаций, в которые старались проникнуть киберпреступники, значительно расширился. Различные группировки проникали в инфраструктуру банков, систем электронных денег, бирж криптовалют, фондов управления капиталом и даже казино с целью вывода очень крупных сумм денег.

Злоумышленники полагаются на уже проверенные схемы монетизации доступа к сети. Помимо манипуляций со SWIFT они активно использовали заражение банкоматов, в том числе из сети самого банка, манипулировали системами ДБО, сетями POS-терминалов и вносили изменения в базы данных банков с целью корректировки сумм на банковских картах.

Атаки на банкоматы стоит отметить отдельно. Этот вид кражи стал настолько популярен, что в 2017 году впервые появилась услуга ATM Malware-as-a-service: злоумышленники на underground-форумах предоставляют все необходимые вредоносные программы и видеоинструкции для получения доступа к банкоматам. Купившим подписку нужно лишь выбрать удобный банкомат, вскрыть его, используя инструкцию, и заплатить организаторам сервиса за активацию вредоносной программы на банкомате, чтобы начать процесс выдачи денег. Естественно, подобные схемы уменьшают входной порог в этот вид киберпреступлений, что ведет к значительному увеличению количества киберпреступников.

Впервые мы столкнулись с перехватом электронных операций клиентов банка посредством временного «угона» доменных имен. Таким образом, клиенты были ограждены от настоящей инфраструктуры банка поддельной, которая находилась в руках злоумышленников. В течение нескольких часов киберпреступники имели возможность проводить фишинговые атаки, устанавливать вредоносный код и манипулировать операциями клиентов, которые использовали в этот момент онлайн-сервисы банка.

Интересно отметить, что в некоторых странах Латинской Америки атаки на финансовые активы банков стали возможны только потому, что банки упустили из виду самое «неважное» – физическую безопасность. В отдельных случаях это было связано с легким доступом к кабельным магистралям, в которые были внедрены маленькие устройства, работающие на основе Raspberry Pi. Эти устройства в течение нескольких месяцев пассивно собирали информацию о сети банков и отсылали перехваченные данные через LTE-соединение на серверы злоумышленников.

Прогнозы на 2018 год

Появление атак на банковские системы, построенные на блокчейне, через уязвимости и ошибки в этой технологии

Практически все крупные финансовые организации мира активно инвестируют в системы на основе технологии Blockchain. Естественно, любая новая технология несет в себе ряд преимуществ и ряд новых рисков. Финансовые системы на основе Blockchain не живут сами по себе, а соответственно, уязвимости и ошибки в реализации технологии могут дать возможность злоумышленникам обогатиться или парализовать работу финансового института. Отметим, что в 2016–2017 годах уже был обнаружен ряд уязвимостей и ошибок в смарт-контрактах, на основе которых было построено определенное количество сервисов в финансовых учреждениях.

Новые инциденты, связанные с проникновением в сеть финансовой организации через взлом поставщиков ПО

Крупные финансовые организации инвестируют значительные ресурсы в защиту от кибератак, поэтому проникновение в инфраструктуру подобной организации – задача не из простых. Однако существует подход, который, будут активно использовать злоумышленники в 2018 году – атаки на поставщиков ПО для финансовых организаций. В массе своей они защищены куда хуже, чем конечная цель хакеров. В прошлом году мы были свидетелями ряда инцидентов, связанных с подобными атаками: ShadowPad, CCleaner, MeDoc. Из этого списка атак видно, что ПО, чьи обновления подменяются или модифицируются злоумышленниками, имеет совершенно разные сферы применения. В этом же году киберпреступники будут проводить атаки через ПО, используемое именно в финансовых организациях, в том числе через программное обеспечение для банкоматов и POS-терминалов. Первые попытки Лаборатория Касперского зарегистрировала несколько месяцев назад, когда злоумышленники встроили вредоносный модуль в инсталляционный файл прошивки и разместили его на официальном сайте одного из американских вендоров, выпускающих ПО для ATM.

Манипулирование и взломы СМИ и социальных медиа (Twitter, Facebook, каналы Telegram) ради извлечения прибыли из спровоцированных информационными фальшивками рыночных колебаний

Ушедший год запомнится многим фразой fake news. Но за этим словосочетанием может стоять не только манипуляция общественным мнением, но и нечестный способ заработка. В то время, когда торговля на всех типах бирж осуществляется в основном роботами, манипуляция исходными данными, на которые роботы опираются, проводя те или иные сделки, может привести к колоссальным изменениям в цене на товары, финансовые инструменты и криптовалюты. По сути, всего один твит с аккаунта влиятельно человека или создание волны сообщений в социальных сетях с помощью фальшивых аккаунтов может привести в движение рынки, чем и воспользуются злоумышленники. При этом понять, кто из получивших прибыль в результате подобной атаки являлся ее заказчиком, будет практически невозможно.

Автоматизация вредоносного ПО для банкоматов

С момента появления первого зловреда для банкоматов в 2009 году эти устройства находятся в поле постоянного внимания киберпреступников, происходит непрерывная эволюция атак на них. Прошедший год ознаменовал появление ATM malware-as-a-service, следующим шагом станет полная автоматизация подобных атак, когда к банкомату будет подключаться мини-компьютер, автоматически производящий заражение и активацию вредоносной программы, выдающей злоумышленнику деньги или собирающей для группировки преступников данные о картах. Это значительно сократит время, необходимое злоумышленникам для совершения кражи.

Новые атаки на криптовалютные биржи

Криптовалюты за прошедший год привлекли огромное количество инвесторов, что, в свою очередь, привело к расцвету новых сервисов по торговле различными монетами и токенами. Традиционные игроки финансового рынка, обладающие развитой защитой от кибератак, не спешат с выходом на это поле. Данная ситуация создает для злоумышленников идеальный момент для проведения атак на площадки для обмена криптовалюты. С одной стороны, новые компании просто еще не успели обкатать свои системы безопасности, с другой стороны, весь бизнес обмена криптовалюты с технической точки зрения построен на хорошо известных принципах и технологиях, а соответственно, злоумышленники знают, как проникнуть в инфраструктуру новых площадок и сервисов, работающих с криптовалютами, и располагают подходящим для этого арсеналом.

Резкий рост традиционного мошенничества с платежной информацией, спровоцированный массовыми утечками данных в 2017 году

Крупные утечки персональных данных, в том числе случай с бюро кредитных историй Equifax, в результате которого злоумышленники получили данные более чем о 140 млн жителей США, и утечка информации о клиентах Uber, где были потеряны данные еще о 57 млн граждан, создали ситуацию, когда традиционная безопасность банков, основанная на анализе данных о текущих или потенциальных клиентах с целью выдачи денег, может дать серьезный сбой. Детальное знание персональных данных жертвы дает злоумышленникам возможность представиться другим человеком и получить ее деньги или ценные бумаги в финансовой организации, ведь с «документальной» точки зрения все будет чисто. Поэтому 2018 ознаменуется всплеском вполне традиционных мошеннических схем, только в этот раз на стороне злоумышленников будут играть все те «большие данные», которые организации годами собирали о своих клиентах и которые оказались недостаточно хорошо защищены, чтобы не попасть в руки кибермошенников.

Увеличение количества атак на финансовые организации со стороны спонсируемых государствами группировок хакеров

Печально известная группировка Lazarus, которая с большой вероятностью спонсируется государством и работает в интересах Северной Кореи, за прошедшие два года атаковала ряд банков в разных уголках мира, включая страны Латинской Америки, Европы, Азии и Океании, с целью вывода крупных сумм денег, исчисляемых десятками и сотнями миллионов долларов. К тому же данные, опубликованные ShadowBrokers, говорят о том, что опытные APT-группы, спонсируемые государством, целят в финансовые организации, чтобы получить данные о движении денежных потоков. Очень вероятно, что в 2018 году и другие APT-группы из стран, только включившихся в кибершпионскую игру, последуют этой дорогой с целью как заработать деньги, так и получить информацию о клиентах, движении средств и внутренних процедурах финансовых организаций.

Финтех и мобильные пользователи как новая основная цель традиционной киберпреступности

Цифровые банки продолжают революцию в финансовом секторе экономики, в особенности на рынках развивающихся стран. Так, в Бразилии и Мексике они все больше и больше набирают обороты, что, конечно же, не осталось незамеченным киберпреступниками. Эксперты Лаборатории Касперского уверены, что внутри преступного мира будет расти популярность атак именно на банки, особенностью которых является полное отсутствие филиалов и традиционного обслуживание клиентов. Под ударом окажутся и клиенты таких организаций, использующие банковское мобильное приложение для работы со своими деньгами. Первое следствие – уменьшение количества троянцев под Windows, нацеленных на кражу денег через традиционный интернет-банкинг. Второе следствие – рост количества цифровых банков ведет к органическому росту числа пользователей, которые являются легкими целями для киберпреступников – людей без опыта пользования мобильного банкинга, зато с установленным на смартфоне банковским приложением. Они и будут основными целями как атак с применением мобильных вредоносных программ, например Svpeng, так и схем, полностью построенных на социальной инженерии – обманом убедить человека перевести деньги через мобильное приложение значительно проще, чем заставить его же пойти в банк и сделать перевод.

Последние несколько лет количество и качество атак, нацеленных на организации финансового сектора, растут непрерывно. Речь идет об атаках именно на инфраструктуру и сотрудников самой организации, а не ее клиентов. Аналитики пришли к ситуации, когда те финансовые учреждения, которые не подумали о защите от хакерских атак, уже в ближайшем времени столкнутся с последствиями вторжения киберзлоумышленников. Результатом станет полная остановка, а затем и потеря бизнеса.

Для предотвращения подобной ситуации необходимо постоянно адаптировать свои системы безопасности к новым возникающим угрозам, что невозможно без анализа данных о наиболее важных и релевантных кибератаках, нацеленных на финансовые организации, в работе со специализированными отчетами об атаках, содержащими информацию, которую необходимо сразу внедрять в общую систему защиты.

713 просмотров

Как собеседование при приеме на работу изменится в следующее десятилетие

Уже совсем скоро рекрутеры смогут получать больше данных не из резюме, а изучая индивидуальные особенности кандидатов и их физиологические признаки

Фото: Kelsey Mcclellan

Большинство рекрутеров и менеджеров по поиску персонала согласятся: собеседование – далеко не самый лучший способ поиска идеального кандидата для работы. Бывает, что претенденты на должность преувеличивают свои сильные стороны, а менеджеры принимают решения, основываясь на субъективной информации.
 
И поскольку быстрый технологический прогресс заставляет компании постоянно менять стиль работы, эта проблема только усугубляется. Профессиональные навыки и опыт, когда-то считавшиеся крайне необходимыми, теперь оказывают все меньшее влияние на шансы кандидата достичь успеха на работе. 

«Если принять как факт то, что одни специальности исчезают и появляются другие, что в 2030-х и 2040-х годах 80% специальностей будут совершенно новыми, а значение опыта и навыков снижается, вы наверняка сделаете ставку на такие качества, как любопытство, способность учиться, коммуникабельность и уровень мотивации», – говорит Томас Чаморро-Премузик, профессор психологии Университетского колледжа Лондона и Колумбийского университета и главный специалист по привлечению талантов в компании Manpower Group.

В недалеком будущем, принимая решение - подходит кандидат или нет, - работодатели смогут больше полагаться не на резюме и собеседования, а на поведение кандидата, его когнитивные способности, индивидуальные особенности и физиологические реакции. Уже сейчас разрабатывается технология, которая позволит работодателям анализировать историю онлайн-активности кандидатов, их биометрические данные и в реальном времени изучать реакции на симуляцию стандартных рабочих задач. 

С появлением таких технологий возникают и вопросы об их этичности и объективности. Кроме того, как предсказывают некоторые эксперты, неизбежно появятся трудности юридического характера. В ноябре прошлого года некоммерческая организация Electronic Privacy Information Center подала жалобу в Федеральную торговую комиссию США, пытаясь убедить ведомство начать расследование в отношении компании HireVue, которая занимается разработкой средств для найма сотрудников на базе искусственного интеллекта. Суть жалобы заключалась в том, что подобная технология является непрозрачной и неподотчетной. Компания HireVue отказалась от комментариев по поводу жалобы, заявив, что разработанная ею технология «гораздо более объективна, чем традиционные процессы отбора кандидатов». В текущем месяце в силу вступает закон штата Иллинойс, обязывающий компании уведомлять кандидатов о том, что компания использует методы видеоинтервью на базе искусственного интеллекта (ИИ) при приеме людей на работу. Кроме того, на рассмотрении в Конгрессе находится законопроект об обязательной проверке алгоритмов на предмет их объективности. Так какие же технологии способны кардинально изменить привычное собеседование при приеме на работу? 

Персональный профиль при помощи ИИ 

По мере того, как все большее значение приобретают навыки межличностных коммуникаций, все больше работодателей станут использовать ИИ для создания персональных профилей, сгенерированных за счет анализа аккаунтов кандидатов в социальных сетях, в LinkedIn, а также любых других письменных сообщений, опубликованных онлайн, как и слов, которые кандидаты используют в симуляциях виртуальной реальности и опубликованных видео. 

Два производителя, среди которых компания Humantic, уже предлагают рекрутерам и работодателям решения, основанные на обработке естественного языка – как раз с целью быстрого создания профилей кандидатов. Эти компании утверждают, что технология базируется на традиционных методах проверки личных качеств кандидата. Однако вместо заполнения огромных анкет алгоритм позволяет быстро и недорого провести персональный анализ. Как сообщает сам стартап, это может быть сделано как с согласия человека, так и без него. 

Сотрудник компании Advantage Talent из Атланты Трэйси Левин в своей работе по поиску кандидатов на руководящие позиции использует решение Humantic для того, чтобы выяснить, насколько кандидаты открыты новым идеям. По ее собственным словам, этот инструмент помогает ей избегать субъективных суждений. 

В то же время некоторые эксперты сейчас задаются вопросом, насколько точность этих алгоритмов соответствует точности традиционных методов. Решения на базе ИИ также способны определять медицинское состояние кандидатов по их профилям в социальных сетях, например, выявлять депрессию. Правда, профессиональные психологи выступают против, утверждая, что использовать подобную информацию для принятия решения о приеме на работу нечестно, а для работодателей еще и незаконно. 

Бен Тэйлор, бывший специалист по данным в HireVue, считает: если персональные профили станут доминировать, может возникнуть рынок алгоритмов для очистки истории кандидата в социальных сетях и других онлайн-аккаунтах от нежелательной информации. 

«Кредитный рейтинг» для навыков 

Вероятно, уже скоро компании смогут автоматически определять рейтинг навыков кандидатов, основываясь лишь на анализе опубликованного онлайн-текста – допустим, поста в LinkedIn или записи в Twitter. Эксперты считают, что в первую очередь этот метод будет использован для оценки способностей инженеров-программистов, поскольку зачастую они публикуют программный код на таких платформах, как GitHub. 

С учетом профессиональных навыков вроде программирования и личных качеств, например, умения выстраивать коммуникации с окружающими, кандидатам может быть присвоен определенный номер, напоминающий кредитный рейтинг.

«Можно будет увидеть сразу весь рынок, хотя на самом деле его пока еще нет», – говорит Тэйлор. 

Сотрудник Urban Institute и бывший уполномоченный Комиссии США по соблюдению равноправия при трудоустройстве комиссар Дженни Ян сравнивает подобный подход с опытом использования баллов по итогам Академического оценочного теста, которые сопровождают человека при каждом принятии на работу в течение всей его жизни.

«У меня не вызывают обеспокоенности какие-то статичные вещи, которые трудно изменить – зачастую они коррелируют с благополучием», – говорит она.

Виртуальное тестирование на профпригодность 

Работодатели уже используют VR-устройства для тестирования и обучения. Израильская компания ActiView предлагает применять VR-решения для оценки кандидатов при приеме на работу. В первую очередь речь идет о кандидатах, имеющих скромное резюме – например тех, кто только закончил учебу.

Надев шлем виртуальной реальности, кандидаты играют в когнитивную игру, а в это время система анализирует их поведенческие паттерны. «Продумываете ли вы стратегию своих действий перед тем, как приступить к решению проблемы, или нет? Насколько вы решительны в этом?» – приводит пример Гил Ашер, технический директор компании. Затем соискателю показывается имитация проблем, с которыми он может столкнуться на работе.

Другие производители инструментов оценки на базе VR не спешат использовать их для принятия решений о найме людей, поскольку некоторые кандидаты могут испытывать головокружение или морскую болезнь, надевая VR-шлем. 

«Разрабатывая систему оценки, нужно проявлять осторожность – чтобы обеспечить людям равные условия», – говорит Даг Рейнольдс, исполнительный вице-президент компании Development Dimensions International, разрабатывающей инструменты оценки и VR-системы для создания эмоционально комфортного состояния на рабочем месте. 

Как утверждает ActiView, компания использует современные VR-шлемы и тестирует неподвижные VR-модели, что уменьшает головокружение. Впрочем, если у кандидатов проблемы сохраняются, они всегда могут запросить альтернативный тест.

Такие компании, как HireVue, тестируют кандидатов при помощи видеосимуляций и проверяют их пригодность через алгоритмы. Среди клиентов фирмы были Hilton Worldwide Holdings, Unilever PLC и другие компании из списка Fortune 500. (Компания Unilever отказалась от комментариев. Hilton заявил, что в прошлом использовал инструменты прогнозной оценки HireVue как «один из многих источников данных», которые рекрутеры компании применяют для принятия решения о найме.)

«Подходящий мозг» для работы 

В ближайшие пять лет, говорят ученые, носимые медицинские устройства научатся измерять артериальное давление, движения глаз и электропроводность кожи (то есть степень электрокожного сопротивления), предсказывая состояние возбуждения и обеспокоенности. Эти технологии смогут помочь компаниям оценивать уровень стресса и вовлеченности соискателей, а также навыки их саморегуляции в ходе VR-симуляций. 

Некоторые эксперты утверждают, что такие системы даже способны отслеживать мозговые волны и выявлять, у кого из кандидатов мозг наиболее оптимально подходит для работы на конкретной позиции (вывод делается на основе данных о структуре мозга сотрудников, преуспевших в этой роли ранее).

Правда, корректно интерпретировать биометрические данные чрезвычайно трудно. Даже если вы сумеете обнаружить мозговые волны, то как определить, «вызваны ли они стрессом или просто глубокими раздумьями?», спрашивает Сантош Кумар, профессор компьютерных наук в Университете Мемфиса, который сам разрабатывает носимые медицинские устройства.

Кроме того, биометрическая информация способна выявлять ряд проблем со здоровьем – например, сердечно-сосудистые и психические заболевания, ограниченность в физических возможностях – и это может быть незаконным действием.

Перевод с английского языка осуществлен редакцией Kursiv.kz

Читайте нас в TELEGRAM | https://t.me/kursivkz

drweb_ESS_kursiv.gif