در حال حاضر ما با زندگی و ابزارهای دیجیتال عجین شده ایم و بدیهی است که با گذشت زمان بیشتر درگیر آن ها شویم. زمان زیادی را در این مکان صرف می کنیم و برای جستجوی کوچیکترین چیزها از وب سایت های مربوط و موتورهای جستجو کمک می گیریم. راهی معقول است، اینطور نیست؟ کاملا واضح است. اما به خوبی می دانیم که حرکت ما به سمت عرصه ی دیجیتالی، اهدافی مهم را برای مجرمان سایبری به همراه خواهد داشت.
در حالی که گرایش جامعه بیشتر و بیشتر به سمت فعالیت های آنلاین می رود، مجرمان سایبری هم بیشتر در این زمینه فعالیت می کنند و حیطه ی کاری خود را گسترش می دهند. اما امروزه کاربران راحتی استفاده از ابزارهای دیجیتالی را مثل استفاده از اثر انگشت را در تمامی دستگاه های خود به از دست دادن مقادیر زیادی از پول خود که مطمئنا بدست آوردن آن ده ها برابر سخت تر است، ترجیح می دهند.
مطالعه ی اخیر توسط لابراتوار کسپرسکی و B2B بین المللی نشان می دهد که بیش از 800 نماینده از موسسات مالی در سراسر جهان اهداف اصلی مجرمان سایبری به منظور سرقت از پول و اطلاعات آن ها شده اند و البته این نهاد ها برنامه ریزی های لازم را در سال آینده برای حفاظت از مشتریان خود در برابر تهدیدات سایبری داشته اند.
علاوه بر این، در این عصر دیجیتال، تمام نقل و انتقالات و پرداخت ها به صورت آنلاین انجام می گیرد. البته در کشور ما این انتقالات به صورت 100% آنلاین انجام نمی شود با این حال بیشترین نگرانی در انگلستان برای موسسات مالی شامل فیشینگ و مهندسی اجتماعی (54%)، حمله به سرویس های آنلاین و دیجیتال بانک ها (35%)، سیستم های POS (29%)، حمله به سیستم های اداری (29%) و حمله به دفاتر و شعبات محلی(28%) بوده است.
موضوعات داغ و جهانی سال 2016
حملات فیشینگ
در سال 2016، سهم فیشینگ مالی از 13.14% به 47.48% رسید. این رقم بالا در لابراتوار کسپرسکی برای فیشینگ مالی سیستم های مبتنی بر ویندوز بوده است.
سهم فیشینگ مالی برای کاربران مک 31.38% بوده است.
بدافزارهای بانکی
در سال 2016، تعداد حملات تروجان های بانکی از 30.55% به 1,088,900 افزایش یافت.
کاربران در روسیه، آلمان، ژاپن، هندوستان، ویتنام و آمریکا بیشتر قربانیان توسط بدافزارهای بانکی بودند.
بدافزارهای بانکی اندروید
در سال 2016، تعداد کاربرانی که با بدافزارهای بانکی اندروید مواجه شده بودند از 43% به 305,000 در سراسر جهان رسید. این مقادیر زیاد ناشی از تروجانی است که از یک نقض امنیتی تنها در یک نرم افزار محبوب تلفن همراه به مدت ماه ها استفاده کرد.
تنها سه مدل از تروجان های بانکی برای حمله به تعداد بسیاری از کاربران (81%) اختصاص داده شده بود.
نتایج
باتوجه به اینکه کار اصلی بانک ها با سرمایه و پول در ارتباط است ، این ویژگی آن ها را در برابر حملات سایبری و اهداف اصلی مجرمان آسیب پذیرتر می کند. با توجه به مطالعات انجام شده، هزینه های واقعی یک حادثه ی سایبری در یک موسسه مالی یا همان بانک در انگلستان به بیش از 737,000$ می رسد. میانگین تلفات مشتریان در این نهادها به 10,312$ و البته ضررات مالی که مصرف کنندگانی که قربانی چنین حملاتی می شوند به $1,446 می رسد.
این بررسی ها همچنین نشان داد که دو سوم از بانک ها قربانی برخی از انواع کلاهبرداری های مالی شده اند.
نگاهی به آینده
هنگامی که صحبت از معاملات آنلاین و امنیت آن می شود؛ سر صحبت تنها با بانک ها و موسسات مالی نیست. این مخاطرات برای تمام افراد و موسسات وجود دارد. اما طبیعی است که موسسات مالی بیشتر در معرض خطر قرار بگیرند و نیازمند امنیتی قویتر هستند.
10 روندی که موسسات مالی می بایستی برای افزایش امنیت مشتریان خود در سال 2017 انجام دهند :
1 - حملات هدفمند اغلب از نقاطی وارد می شوند که کسی تصورش را نمی کند. حملات هدفمند به یک روند جهانی تبدیل شده است و این تهدیدات در سازمان های مالی به احتمال زیاد از طریق شخص ثالث یا پیمانکارانی که روابط مالی دارند انجام می شود. به عنوان مثال ممکن است مجرمان بخش مالی سازمانی را با ایمیل هایی مخرب بمباران کنند، مسلما این ایمیل ها حاوی بدافزارها یا حملات فیشینگ هستند.
2 - تهدیداتی با پیچیدگی کمتر در حال افزایش است. عصر بدافزارهای پیچیده سپری شده است. مجرمان سایبری راهکارهای دیگری را برای حملات خود در نظر گرفته اند. بانکها اشاره کرده اند که 75% دچار مهندسی اجتماعی می شوند و تنها 17% از حمله ها شامل بدافزارها می باشد. چنین حملاتی نیازمند تلاش های بیشتر در زمینه ی برقراری امنیت می باشد.
3 - تبعیت از قوانین کافی نیست. حفاظت واقعی فراتر از اجتماعات در سازمان ها و الزامات قانونی است. تقویت امنیت و معرفی تکنولوژی های حفاظت جدید نیازمند رویکردی متعادل تر برای تخصیص منابع است.
4 - کلید اصلی تست نفوذ به طور منظم است. همیشه آسیب پذیری های کشف نشده ای وجود دارند که قابل مشاهده نیستند، البته در بسیاری از موارد هم کارشناسان IT آن ها را شناسایی می کنند. با اجرای ابزارهای پیچیده برای شناسایی یا تست های نفوذ، آسیب پذیری های غیر قابل مشاهده، شناسایی و قابل رویت می شوند. در صورتی که سیستم قابل هک باشد، مجرمان سایبری یا افراد حرفه ای می توانند به راحتی با توجه به آسیب پذیری ها و نقوص امنیتی آن را هک کنند.
5 - برقراری استراتژی پیچیده و کارآمد. کارمندان در هر سطحی که باشند می توانند مورد حملات و سوء استفاده های مجرمان قرار بگیرند. گاهی اوقات شخص ثالث ها می توانند به یک کارمند شرکت تبدیل شوند و دستورالعمل های پنهانی را انجام دهند. در سازمان ها باید استراتژی کارآمد فراتر از حفاظتی معمولی برقرار شود تا با تکنیک های خاص بتواند فعالیت های مشکوک را در زیرساخت ها تشخیص و شناسایی کند.
6 - همیشه افراد ناشی و کم تجربه وجود دارد. فراموش نکنید که با توجه به درآمدزایی بسیار بالای هک و باج خواهی در جهان، هکرهای بسیاری به این جرم می پیوندند و البته وارد شدن به این بیزینس به هیچ وجه کاری آسان نیست. آن ها با عملکرد هوشمندانه ی خود به راحتی پول افراد ساده لوح و کم تجربه را مورد هدف قرار می دهند. بدتر از آن، نسل های جدید جرایم اینترنتی است که خیلی هم به کم تجربه و بودن افراد وابسته نیست و در یک آن می توانند با تروجان بانکی حساب بانکی قربانی را خالی کنند.
7 - ممکن است خطرات چند بعدی باشند. اکثر عموم در تمام موارد خطر را تا جایی جدی نمی گیرند که کار از کار گذشته و دیگر دیر شده است. یک سازمان ممکن است در سال گذشته با هیچ نوعی از خطرات مواجه نشده باشد و تجربه ی آن را نداشته باشد، اما این بدان معنی نیست که هرگز با آن مواجه نمی شود و هیچ گونه خطری آن را تا ابد تهدید نمی کند. بانک ها به وضوح می توانند شاهد خطرات متعدد بدافزارهای تلفن همراه باشند. اما مطمئنا آن ها تاثیر آن را احساس نکرده اند. در این مورد توصیه می کنیم هرگز منتظر نباشید تا با خطر مواجه شوید و سپس اقدامی را برای آن در نظر بگیرید، معقولانه است که قبل از به دام افتادن در چنگال مجرمان سایبری، راهکاری امن و قوی و البته قابل اعتماد را برای خود و سازمان خود در نظر بگیرید.
8 - پول تنها چیزی نیست که از دست می دهید. برخی از بانک ها حاضر به پرداخت های اضافی به منظور جبران خسارت ها و ضررات ناشی از نقوص امنیتی، به جای افزایش بهره وری و راندمان سیستم های امنیتی خود هستند. البته از دست رفتن پول تمام ماجرا نیست و از دست دادن اعتبار و شهرت آن ها مسئله ای است که نمی توان آن را نادیده گرفت. آیا برقراری سیستم های امنیتی و قوی به از دست دادن مقادیر هنگفتی از پول و البته اعتبار آن ها می ارزد؟
9 - امنیت و برقراری آن مسئولیتی مشترک است. خطرات بسیاری وجود دارند که به یکدیگر متصل می شوند و نیاز به اقداماتی برای هماهنگی آن ها وجود دارد. به عنوان مثال، اگر مجرمان قصد آلوده کردن یک دستگاه خودپرداز را با یک ویروس داشته باشند، برای اطمینان از حداکثر سود ممکن است برنامه ی جمع آوری پول های نقد دستگاه خود پرداز را خریداری کنند. مبارزه با چنین تهدیداتی نیازمند اقداماتی از سوی مسئول بخش خدمات دستگاه خودپرداز، امنیت اطلاعات، امنیت داخلی و غیره است. چنین همکاری در تمام زمان ها به منظور امنیت بیشتر لازمه ی کار است و مطمئنا چالش های امنیتی در حال رشد و پیچیده شدن هستند.
10 - تکنولوژی های جدید نیازمند مراقبت بیشتر هستند. فناوری های مالی دیجیتال در حال رشد هستند و نیاز است که راهکارهای امنیتی در سازمان های مالی بتوانند توسعه ی آن ها را امن و محفوظ نگه دارد. سازمان های مالی می بایستی توجه بیشتری به مسائل امنیتی در سرمایه گذاری های بلاک چین یا اینترنت اشیاء داشته باشند.