19.9.19

Η Trend Micro υπογραμμίζει τους κινδύνους ασφάλειας του Open Banking

ΔΙΑΒΑΣΤΕ ΠΡΩΤΑ: "ΙΣΧΥΡΗ" ΤΑΥΤΟΠΟΙΗΣΗ: Θα ισχύει από το Σάββατο για διαδικτυακές και άλλες αγορές

Η Trend Micro, ένας παγκόσμιος ηγέτης στις λύσεις για την ασφάλεια στον κυβερνοχώρο, δημοσίευσε σήμερα έρευνες που αποδεικνύουν ότι οι σημαντικοί νέοι ευρωπαϊκοί τραπεζικοί κανόνες θα μπορούσαν να αυξήσουν σημαντικά τις κυβερνοεπιθέσεις για τις επιχειρήσεις χρηματοπιστωτικών υπηρεσιών και τους πελάτες τους.  Η νέα έρευνα αναλύει τον αντίκτυπο της Revised Payment Services Directive (PSD2) της Ευρωπαϊκής Ένωσης, η οποία έχει σχεδιαστεί για να παρέχει στους χρήστες μεγαλύτερο έλεγχο των οικονομικών τους δεδομένων και την επιλογή να μοιράζονται τη νέα σειρά καινοτόμων χρηματοοικονομικών τεχνολογιών (FinTech). Αυτό παγκοσμίως χρησιμοποιείται με τον όρο «Open Banking».

«Ο χρηματοπιστωτικός τομέας υπήρξε ανέκαθεν ένας εξαιρετικά ελκυστικός στόχος για τους hacker και η PSD2 και το Open Banking θα προσφέρουν στους hacker ακόμη περισσότερες ευκαιρίες για να κλέψουν ευαίσθητες προσωπικές και οικονομικές πληροφορίες«, δήλωσε ο Ed Cabrera, ανώτερος υπάλληλος της Trend Micro. «Η ανησυχία μας είναι ότι η βιομηχανία μπορεί να μην είναι πλήρως προετοιμασμένη να αντιμετωπίσει αυτές τις πολύ εκτεταμένες επιθέσεις, γι ‘αυτό θέλαμε να κατανοήσουμε τους κινδύνους προτού εμφανιστούν, για να προειδοποιήσουμε τις εταιρείες να χειριστούν καλύτερα την κατάσταση».

Η έκθεση επισημαίνει διάφορα πιθανά σενάρια επίθεσης στο πλαίσιο του νέου ρυθμιστικού καθεστώτος:
  • Επιθέσεις σε API: Τα δημόσια API βρίσκονται στο επίκεντρο του Open Banking, επιτρέποντας σε εγκεκριμένα τρίτα μέρη να έχουν πρόσβαση στα τραπεζικά δεδομένα των χρηστών για να παρέχουν καινοτόμες νέες χρηματοπιστωτικές υπηρεσίες. Τα ελαττώματα σε αυτά τα API θα επιτρέψουν στους επιτιθέμενους να εκμεταλλευτούν τους back-end servers για να κλέψουν δεδομένα.
  • Επιθέσεις σε εταιρείες FinTech: Οι χρήστες θα αναγκαστούν να αποκτήσουν μια νέα σχέση εμπιστοσύνης με παρόχους που ενδέχεται να έχουν λιγότερους πόρους από τις τράπεζες τους και δεν έχουν ιστορικό προστασίας δεδομένων. Σε μια γρήγορη έρευνα της OpenTraining FinTechs, η Trend Micro διαπίστωσε ότι έχουν κατά μέσο όρο 20 υπαλλήλους και δεν διαθέτουν κάποιον εξειδικευμένο επαγγελματία ασφαλείας. Αυτό τους καθιστά ιδανικούς στόχους για τους hacker και εγείρει τις ανησυχίες σχετικά με τα κενά ασφαλείας στα mobile app, τα API, τις τεχνικές κοινής χρήσης δεδομένων και τις ενότητες ασφαλείας που θα μπορούσαν να εφαρμοστούν λανθασμένα.
  • Επιθέσεις στα apps ή τα mobile platform: Οι περισσότερες υπηρεσίες Open Bank θα αναπτυχθούν ως εφαρμογές για κινητά, καθιστώντας τες πρωταρχικό στόχο για τους εισβολείς. Η εύρεση του ονόματος χρήστη, του κωδικού πρόσβασης ή των κλειδιών κρυπτογράφησης μέσα στην εφαρμογή θα επέτρεπε σε έναν εγκληματία να ανακτήσει τα τραπεζικά δεδομένα του χρήστη. Ακόμη και αν οι εφαρμογές δεν έχουν άδεια να κάνουν πληρωμές, θα μπορούσαν να περιέχουν δεδομένα συναλλαγών, επιτρέποντας σε έναν hacker να δημιουργήσει ένα ιδιαίτερα ακριβές προφίλ των θυμάτων του.
  • Επιθέσεις εναντίον του χρήστη: Επειδή οι νέες εφαρμογές Open Banking θα καταστούν το κύριο μέσο πρόσβασης των χρηστών σε οικονομικά δεδομένα και υπηρεσίες, οι επιθέσεις phishing θα μπορούσαν να αποκομίσουν μεγάλα ποσά ως ανταμοιβή για τους εισβολείς.

Για να προετοιμαστεί για το μεταβαλλόμενο τοπίο, η Trend Micro διευκρινίζει πώς τα χρηματοπιστωτικά ιδρύματα μπορούν να βελτιώσουν την ανθεκτικότητα στον κυβερνοχώρο. Αυτά περιλαμβάνουν τη διασφάλιση ότι δεν περιλαμβάνονται ποτέ ευαίσθητες πληροφορίες στις λεγόμενα URL path, δίνοντας προτεραιότητα σε ασφαλή πρωτόκολλα και εξαλείφοντας τις επικίνδυνες πρακτικές. Oι προγραμματιστές και οι χρήστες εφαρμογών Open Banking πρέπει να υιοθετήσουν μια προσέγγιση ασφαλούς σχεδιασμού, συμπεριλαμβανομένων των τακτικών ελέγχων του software.

https://www.secnews.gr/189531/trend-micro-open-banking/

No comments :