Vartotojai buvo sėkmingai nustebinti kai iš tuščių sąskaitų pavyko išsigryninti šimtus
Prieš kelias dienas Airijoje žmonės būriavosi prie bankomatų, kurie dėl techninio Airijos banko sistemų sutrikimo buvo dosnesni nei įprastai. Pranešama, kad klientai galėjo išsigryninti 1 000 eurų (apie 1 090 JAV dolerių), net jei jų sąskaitos buvo tuščios. Ši klaida nuskambėjo plačiai ir ne vienas bėgo iki bankomato, kad pasinaudotų dosnia klaida.
Vietos žiniasklaidos pranešimuose teigiama, kad dėl techninio sutrikimo „Bank of Ireland“ programėlės naudotojai galėjo pervesti pinigų, kurių neturėjo. Tai padaryti galėjo į „Revolut“ skaitmeninės bankininkystės paslaugas teikiančios įmonės sąskaitą. Tada klientai galėjo šiuos pinigus išsigryninti iš bet kurio bankomato.
Paprastai klientai iš savo sąskaitų kasdien gali pervesti tik po 500 eurų, tačiau, Airijos leidinių duomenimis, klientai teigė pervedę ir po 1 000 eurų. Pasklidus šiai žiniai, prie bankomatų susidarė eilės, todėl klientai netikėtai gavo pinigų. Kai kuriais atvejais net buvo iškviesta policija. „BBC“ publikuotame vaizdo įraše matyti, kaip skubama prie kai kurių bankomatų.
Airijos banko techninės problemos prasidėjo antradienį, kai per savo „Twitter“ paskyrą bendrovė paskelbė apie mobiliosios programėlės ir interneto paslaugų sunkumus. Vėliau tą patį vakarą bankas nustatė techninę problemą ir greitai įspėjo klientus nepiktnaudžiauti sutrikimu.
Bankas pareiškė, kad gedimas gali būti pašalintas ir neigė ryšį su atakomis
Banko žinutė pranešė, kad jei jie perveda / išima lėšas, įskaitant viršijančias įprastus limitus, pinigai bus nurašyti nuo jų sąskaitos. Net jei klientai negali patikrinti likučių, jie neturėtų išsiimti / pervesti lėšų, jei gali susidaryti lėšų perteklius. Taip perspėjo banko atstovai.
Šias didžiules eiles prie bankomatų įvairiose šalies dalyse fiksvao įvairiūs šaltiniai. Nors bankas žiniasklaidai pranešė, kad panašių problemų Šiaurės Airijoje nepastebėta. Kitą dieną Airijos bankas šį incidentą sumenkino, teigdamas, kad praėjusią naktį atliktos operacijos nesudarė didelės dalies kasdienių operacijų. Bankas neigė bet kokį ryšį su kibernetine ataka, tačiau atsisakė komentuoti pagrindinę priežastį žurnalistams.
Daugelį viliojanti nemokamų pinigų idėja traukė, tačiau, kaip žinoma, bankai grynųjų pinigų nedalija. Airijos bankas per „Twitter “ platformą pranešė klientams, kad jiems bus išrašyta sąskaita už visus išimtus pinigus. Neaišku, ar šis įspėjimas buvo perduotas kitais kanalais. Žiniasklaida siekė gauti patikinimą, kad kredito reitingai nenukentės, o Airijos bankas teigė, kad klientai, susidūrę su sunkumais dėl perviršio, turėtų kreiptis į jį.
Bankas taip pat teigė, kad klientai nepatirs finansinių nuostolių dėl susijusių mokesčių ar palūkanų, susijusių su veiklos nutraukimu. Naujienų reporteriai pasiteiravo, ar klientai, kurie perviršijo sąskaitos limitą, patirs mokesčių, ir gavo atsakymą, kad tokiu atveju klientai nepatirs jokios žalos, susijusios su palūkanomis. Tačiau vis dėlto tikėtina, kad klientai, kurie tyčia ar atsitiktinai perviršys limitą, gali susidurti su sunkumais, įskaitant bendravimą su klientų aptarnavimo tarnyba.
Ekspertai nustatė net keturias saugumo spragas bankomatų sistemoje „ScrutisWeb“
Panašiu metu kaip Airijos bankų suirutė buvo nustatyta, kad bankomatų parko stebėjimo programinėje įrangoje „ScrutisWeb“ yra keturios saugumo spragos, dėl kurių galima nuotoliniu būdu įsilaužti į bankomatus, įkelti savavališkus failus ir net perkrauti terminalus. Viena jų vertinama net 10 pavojingumo skalėje.
Šiuos trūkumus nustatė saugumo ekspertų komanda, vykdydama kliento projektą, ir jie buvo ištaisyti „ScrutisWeb“ 2.1.38 versijoje. Pasak praėjusį mėnesį JAV kibernetinio saugumo ir infrastruktūros saugumo agentūros (CISA) paskelbto patarimo, sėkmingai pasinaudojęs šiomis pažeidžiamomis vietomis užpuolikas gali įkelti ir paleisti savavališkus failus.
Programa „ScrutisWeb“ naudojama kaip interneto naršykle pagrįsta priemonė bankų ir mažmeninės prekybos bankomatų parkams stebėti. Ji atlieka tokias funkcijas, kaip informacinės sistemos būklės stebėjimas, nustatymas, kai baigiasi popierius, terminalų išjungimas ar paleidimas iš naujo ir net duomenų keitimas nuotoliniu būdu. Pateikiame išsamią informaciją apie keturias aptiktas spragas:
- CVE-2023-33871 (CVSS balas: 7,5): Dėl šios katalogų apėjimo klaidos neįgaliotas naudotojas gali tiesiogiai pasiekti failus, esančius už serverio interneto tinklo ribų.
- CVE-2023-35189 (CVSS balas: 10,0): Ši nuotolinio kodo vykdymo spraga gali leisti neįgaliotam naudotojui įkelti ir paleisti kenkėjišką naudingąjį krūvį.
- CVE-2023-35763 (CVSS balas: 5,5): Dėl šios kriptografinės spragos neįgaliotas naudotojas gali iššifruoti užšifruotus slaptažodžius ir paversti juos atviru tekstu.
- CVE-2023-38257 (CVSS balas: 7,5): Dėl šios nesaugios tiesioginės nuorodos į objektą spragos neįgaliotas naudotojas gali peržiūrėti profilio informaciją, įskaitant naudotojų vardus ir užšifruotus slaptažodžius.
Svarbiausia iš šių pažeidžiamumų yra CVE-2023-35189, nes dėl jos neįgaliotas naudotojas galėtų įkelti bet kokį failą ir tada pasiekti jį per žiniatinklio naršyklę, todėl būtų galima įvesti komandą. Hipotetiškai užpuolikas galėtų pasinaudoti CVE-2023-38257 ir CVE-2023-35763, kad įgytų administracinę prieigą prie „ScrutisWeb“ valdymo konsolės.
Užpuolikai galėjo pasinaudoti nesaugiomis vietomis ir tyliai paslėpti pėdsakus
Ekspertai paaiškino, kad patekęs į sistemą piktavalis galėtų prižiūrėti atskirus parko bankomatus, perjungti juos į valdymo režimą, įkelti failus, perkrauti arba net visiškai išjungti. Be to, CVE-2023-35189 galėjo būti išnaudota siekiant ištrinti „ScrutisWeb“ žurnalo failus, taip padedant užpuolikui paslėpti savo pėdsakus. Tyrėjai pridūrė, kad iš šios atramos kliento infrastruktūroje gali būti papildomai išnaudojama, paverčiant ją į internetą nukreiptu nusikaltėlio įėjimo tašku.
Spartus finansų sektoriaus skaitmeninimas suteikė neprilygstamą patogumą ir efektyvumą. Tačiau kartu prasidėjo ir nauja pažeidžiamumo era. Nuo internetinės bankininkystės iki bankomatų sistemų: finansų įstaigos nuolat kovoja su kibernetinėmis grėsmėmis. Dažniausiai pasitaikančios kibernetinio saugumo problemos finansų ir bankomatų sistemose būna susijusios su programinės įrangos pažeidžiamumais. Kaip matyti iš „ScrutisWeb“ bankomatų parko stebėsenos programinės įrangos atvejo, programinės įrangos pažeidžiamumai gali sukelti didelę saugumo riziką.
Nesvarbu, ar tai būtų dėl prastai parašyto kodo, ar dėl atnaujinimų trūkumo, ar dėl nesaugios trečiųjų šalių integracijos, šiais trūkumais gali pasinaudoti piktavaliai. Kiti nusikaltėlių metodai gali būti tiesioginės kibernetinės atakos. Finansų įstaigos yra dažni sukčiavimo atakų taikiniai. Sukčiai dažnai apsimeta bankais per suklastotus el. laiškus ar svetaines, kad surinktų asmeninę informaciją, dėl kurios atsiranda neteisėta prieiga.
Kenkėjiškų programų ir išpirkos reikalaujančių programų atakos sukelia daug problemų. Bankomatai ir internetinės bankininkystės sistemos gali būti užkrėstos kenkėjiška programine įranga, kuri įrašo klavišų paspaudimus arba užšifruoja vertingus duomenis ir reikalauja išpirkos už iššifravimą. Kartais grėsmė kyla iš vidaus. Darbuotojai, turintys prieigą prie slaptos informacijos, gali piktnaudžiauti savo privilegijomis, tyčia ar netyčia sukeldami saugumo pažeidimus.
Ši industrija vis dažniau kenčia tapusi kibernetinių nusikaltėlių taikiniu
Šis nutikimas su Airijos banku galėjo būti susijęs su kibernetinėmis atakomis, nes nesaugias vietas programinėje įrangoje išnaudojantys nusikaltėliai nesnaudžia ir gali duag daugiau, nei atrodo. Ir incidentas su atrastomis spragomis nėra naujas.
- Bangladešo banko apiplėšimas (2016 m.): 2016 m. įsilaužėliai pasinaudojo SWIFT tinklu ir iš Bangladešo banko atliko 81 mln. dolerių vertės apgaulingų operacijų. Tai išryškino tarpbankinių ryšių sistemų pažeidžiamumą.
- Išpirkos reikalaujanti programinė įranga „WannaCry“ (2017 m.): Pasaulinė išpirkos reikalaujančio viruso ataka paveikė įvairius sektorius, įskaitant finansų įstaigas. Ypač pažeidžiami buvo bankomatai su pasenusiomis operacinėmis sistemomis, o tai rodo, kaip svarbu reguliariai atlikti atnaujinimus.
Reguliariai atliekamas saugumo auditas ir vertinimas padeda nustatyti galimus pažeidžiamumus ir juos pašalinti, kol jais dar negalima pasinaudoti. Įdiegus daugiafaktorinį patvirtinimą (MFA), sukuriamas papildomas saugumo lygis, apsunkinantis neįgaliotų naudotojų prieigą prie sistemų. Darbuotojų mokymas apie geriausią kibernetinio saugumo praktiką sumažina vidinių grėsmių ir žmogiškųjų klaidų riziką.
Bankai ir kitos finansų įstaigos turi taikyti saugius ryšio protokolus, šifruoti neskelbtinus duomenis ir naudoti ugniasienes, kad užkirstų kelią neteisėtai prieigai. Nuolat besikeičianti kibernetinio saugumo aplinka kelia nuolatinių iššūkių finansų ir bankomatų sistemoms. Tobulėjant technologijoms, tobulėja ir kibernetinių nusikaltėlių taktika bei priemonės.
Statymai yra neįtikėtinai dideli. Finansų įstaigos saugo ne tik pinigus, bet ir pasitikėjimą, privatumą ir pačią infrastruktūrą, kuria remiasi šiuolaikinė ekonomika. Atidžiai stebėdamas, nuolat tobulindamas saugumo protokolus ir bendradarbiaudamas su kibernetinio saugumo ekspertais, finansų sektorius gali rasti kelią, kuriame inovacijos būtų suderintos su saugumu. Pasaulyje, kuriame skaitmeninė transformacija yra neišvengiama, patikima kibernetinio saugumo sistema yra ne tik geriausia praktika, bet ir būtinybė.
