Hơn một phần tư các công ty đã gặp phải tấn công bằng mã độc trên thiết bị di động vào qúy 3 năm 2018, với phần lớn các cuộc tấn công này nhắm mục tiêu hoặc có nguồn gốc từ các thiết bị chạy hệ điều hành Android. 

Theo ông Anthony Giandomenico, chuyên gia chiến lược An ninh cao cấp của Fortinet, các dịch vụ ngân hàng trực tuyến và các ứng dụng di động vẫn luôn là đích ngắm của tội phạm mạng với mức độ ngày càng gia tăng. Đối với ngành dịch vụ tài chính, bất kể nạn nhân của vụ tấn công mạng là ai, mục tiêu sau cuối của hầu hết các vụ việc này vẫn là lợi ích tài chính. Việc tận dụng đánh cắp thông tin, cho dù là thẻ tín dụng, dữ liệu ngân hàng hay việc bán thông tin nhận dạng cá nhân - PII trên các trang web đen, cuối cùng đều liên quan đến lợi dụng cá nhân hoặc một tổ chức nào đó có liên quan tới lĩnh vực dịch vụ tài chính.

Gia tăng mục tiêu nhắm tới các dịch vụ ngân hàng trực tuyến và các ứng dụng di động

Theo “Báo cáo Tổng quan các mối đe dọa an ninh mạng” của Fortinet, hơn một phần tư các công ty đã gặp phải tấn công bằng mã độc trên thiết bị di động vào qúy 3 năm 2018, với phần lớn các cuộc tấn công này nhắm mục tiêu hoặc có nguồn gốc từ các thiết bị chạy hệ điều hành Android. Trên thực tế, trong tất cả mối đe dọa mà các tổ chức phải đối mặt sử dụng tất cả các phương pháp tấn công khác nhau trong quý trước, 14% trong số đó liên quan tới hệ điều hành Android. Theo so sánh, chỉ có 0.000311% các mối đe dọa hướng tới hệ điều hành iOS của Apple.

Ví dụ như hành vi khai thác trái phép nhắm tới các ứng dụng ngân hàng trên thiết bị di động chiếm một phần lớn trong xu hướng gia tăng của các mối đe dọa cần phải được giải quyết. Xâm phạm các thiết bị di động không chỉ cho phép kẻ tấn công đánh cắp dữ liệu được lưu trữ trong thiết bị, mà còn có thể sử dụng để thu thập thông tin ngân hàng cá nhân bằng các ứng dụng lừa đảo, ngăn dữ liệu liên lạc giữa người dùng và dịch vụ ngân hàng trực tuyến của họ, đồng thời giám sát các giao dịch tài chính khi mua hàng hóa và dịch vụ trực tuyến. Ví dụ như mã độc Android.banker.A2f8a đã nhắm tới hơn 200 ứng dụng ngân hàng khác nhau để đánh cắp thông tin đăng nhập, xâm nhập tin nhắn SMS và đăng tải danh sách liên hệ cũng như các dữ liệu khác lên trên một máy chủ độc hại. Nó cũng hiển thị một màn hình bị che phủ trên cùng của các ứng dụng hợp pháp nhằm thu thập thêm thông tin.

Các ứng dụng này không chỉ đang được tải xuống từ các trang web nguy hiểm. Chỉ trong khoảng 2 tháng, 29 phần mềm ác tính Trojan ngân hàng ẩn mình dưới dạng các ứng dụng hợp pháp đã bị xóa khỏi Google Play, nhưng trước đó chúng đã được cài đặt bởi 30,000 người dùng. Tuy nhiên ngay cả điều đó cũng chỉ là một phần nhỏ của các sự kiện tấn công bị phơi bày. Các thiết bị đã bị xâm nhập cũng đang trở thành một cổng kết nối mà thông qua đó hệ thống mạng dịch vụ tài chính rộng lớn hơn có thể bị khai thác trái phép.

Các xu hướng đe dọa khác mà ngành tài chính cần phải theo dõi

Ngoài các mối đe dọa trên thiết bị di động, Fortinet đã ghi nhận thêm ba chiến lược tấn công trong quý 3 năm 2018 mà các chuyên gia an ninh tài chính cần đặc biệt lưu ý.

Phần mềm độc hại cryptojacking đã trở thành một cửa ngõ cho các cuộc tấn công khác. Trong nhiều ngành công nghiệp trong đó có dịch vụ tài chính, Cryptojacking đã vượt qua mã độc tống tiền (ransomware) để trở thành một mã độc được lựa chọn phổ biến. Trong khi mã độc tống tiền vẫn tiếp tục là mối lo ngại nghiêm trọng đối với các hệ thống mạng tài chính, số lượng các chữ ký cryptojacking đặc trưng đã tăng gần gấp đôi trong năm qua, trong khi số lượng các nền tảng bị cryptojacking xâm nhiễm đã tăng vọt 38%. Thủ phạm bao gồm những kẻ tấn công cao cấp sử dụng mã độc đã được tùy chỉnh và các tùy chọn “như một dịch vụ” sẵn có trên các trang web đen dành cho những tên tội phạm mới. Mặc dù phần mềm ác tính cryptojacking thường được coi là một mối đe dọa phiền toái khi chỉ chiếm quyền kiểm soát những chu kỳ CPU không được sử dụng, thế nhưng ngày càng nhiều kỹ thuật tấn công mới được triển khai bao gồm khả năng vô hiệu hóa các chức năng bảo mật quan trọng trên thiết bị, từ đó khiến cryptojacking thực sự trở thành một cổng kết nối cho các cuộc tấn công khác xâm nhập.

Lưu lượng mạng được mã hóa đạt đến một mức tỷ lệ mới. Lưu lượng truy cập được mã hóa luôn là một yếu tố chính của các tổ chức tài chính, giờ đây chiếm một tỷ lệ chưa từng thấy – 72% trong tất cả lưu lượng truy cập mạng, tăng từ 55% cách đây chỉ một năm trước. Mặc dù việc mã hóa chắc chắn có thể giúp bảo vệ dữ liệu và các giao dịch, nhưng đó cũng là thách thức đối với các giải pháp bảo mật truyền thống. Các giới hạn hiệu suất IPS và tường lửa trọng yếu của hầu hết các giải pháp bảo mật cũ tiếp tục hạn chế khả năng của các công ty trong việc kiểm tra dữ liệu được mã hóa ở tốc độ mạng. Do đó, thay vì cố gắng làm chậm lại các giao dịch tài chính nhạy cảm về thời gian, tỷ lệ lưu lượng truy cập gia tăng này chỉ đơn giản là không được phân tích đầy đủ đối với các hành vi độc hại, khiến điều đó trở thành một cơ chế lý tưởng cho tội phạm phát tán mã độc hoặc trích xuất dữ liệu.

Mạng botnet ngày càng trở nên thông minh hơn. Số lượng ngày nhiễm botnet có thể duy trì  trong một tổ chức đã tăng 34% trong quý 3, tăng từ 7,6 lên 10,2 ngày, cho thấy các botnet đang trở nên tinh vi hơn, khó phát hiện hơn và khó loại bỏ hơn. Đây cũng là kết quả của việc nhiều tổ chức vẫn không kiểm soát tốt an ninh mạng, bao gồm các giải pháp như vá hoặc cập nhật lại các thiết bị dễ bị tổn hại, bảo vệ hệ thống IoT và các thiết bị không thể được kiểm soát một cách trực tiếp, đồng thời thanh tẩy toàn bộ hệ thống mạng sau khi phát hiện ra bất kỳ một cuộc tấn công. Tầm quan trọng của việc kiểm soát an ninh đồng nhất vẫn được coi là then chốt để giải quyết toàn bộ phạm vi của các cuộc tấn công do nhiều botnet có khả năng “giả chết” trước các hoạt động rà soát, và chỉ quay trở lại sau khi việc vận hành kinh doanh bình thường tiếp tục diễn ra ở trạng thái mà nguyên nhân gốc rễ của rủi ro hoặc thành phần bị nhiễm mã độc đầu tiên vẫn chưa bị loại trừ triệt để.

Xử lý thách thức

Thách thức mà rất nhiều tổ chức tài chính hiện nay đang phải đối mặt đó là những nỗ lực chuyển đổi số mới đã phân tán nguồn lực bảo mật mỏng, hạn chế khả năng hiển thị và chia nhỏ hoạt động kiểm soát của nhiều đội ngũ IT. Giải quyết những phương pháp tấn công mới nhất này bao gồm: Khởi động quá trình chuyển đổi bảo mật; Tích hợp tự động hóa; Xác định và theo dõi tất cả các thiết bị di động và IoT; Bảo mật thông tin cho mọi khách hàng sử dụng ứng dụng dịch vụ ngân hàng trên điện thoại di động.

Ngoài ra, một số ngân hàng lớn đã bắt đầu bổ sung những giải pháp như sinh trắc học vào ứng dụng của họ để bảo vệ người tiêu dùng và bảo mật dữ liệu cũng như các giao dịch tốt hơn. Các tổ chức cũng nên thường xuyên quét internet để phát hiện các ứng dụng lừa đảo, cảnh báo khách hàng khi chúng được tìm thấy, đồng thời gây áp lực lên các cửa hàng ứng dụng trực tuyến để loại bỏ chúng ra khỏi danh sách của họ.

Những thách thức về an ninh mạng tiếp tục gia tăng và các tổ chức tài chính, đặc biệt là những công ty đang thực hiện những nỗ lực chuyển đổi số, đang là mục tiêu lớn mà các tội phạm mạng đang nhắm tới. Các ngân hàng thương mại, công đoàn tín dụng, công ty môi giới chứng khoán, công ty quản lý tài sản và công ty bảo hiểm hỗ trợ giao dịch điện tử thông qua các ứng dụng di động đang ngày càng bị nhắm mục tiêu và khai thác trái phép bởi những tên tội phạm mạng. Đồng thời, họ cũng đang phải chịu những thách thức tương tự của các tổ chức khác, bao gồm việc tìm ra cách kiểm tra và bảo mật lưu lượng mã hóa gia tăng, đấu tranh với sự tồn tại của botnet và xử lý các xu hướng phần mềm độc hại mới như cryptojacking.

Để giải quyết thành công các thách thức hiện nay, các đội ngũ phụ trách bảo mật của các tổ chức dịch vụ tài chính cần phải xem xét lại chiến lược của họ, từ việc tự động hóa các biện pháp kiểm soát an ninh của họ tới việc thay thế các thiết bị bảo mật bị cô lập bằng kiến trúc bảo mật Security Fabric được tích hợp có thể dễ dàng bao phủ bề mặt tấn công đang ngày càng mở rộng.