Τράπεζα στις Ηνωμένες Πολιτείες θύμα επίθεσης phishing

15-04-2016

Περιφερειακό τραπεζικό ίδρυμα στις Ηνωμένες Πολιτείες παραλίγο να χάσει 5.3 εκατομμύρια δολάρια εξαιτίας επίθεσης phishing που δέχτηκε διοικητικό στέλεχός του.

Η απάτη απετράπη την τελευταία στιγμή όταν η Ομοσπονδιακή Τράπεζα έστειλε ενημέρωση στο εν λόγω ίδρυμα ότι τα αποθεματικά του θα μειώνονταν σε επίπεδα κάτω των 500 χιλιάδων δολαρίων σε περίπτωση εκτέλεσης των εντολών μεταφοράς που είχαν ενεργοποιηθεί μέσω της επίθεσης phishing.

Οι εντολές μεταφοράς χρημάτων φαίνονταν να είχαν δοθεί από οικονομική διευθύντρια του ιδρύματος μέσω του εξειδικευμένου λογισμικού που υπήρχε στην υπολογιστική της μονάδα. Το συγκεκριμένο στέλεχος ανέφερε ότι ποτέ δεν είχε προχωρήσει στην έκδοση των εντολών μεταφοράς χρημάτων. Επιπρόσθετα, συμπλήρωσε ότι το τελευταίο χρονικό διάστημα είχε παρατηρήσει περίεργη συμπεριφορά στην υπολογιστική της μονάδα χωρίς όμως να αναφέρει το γεγονός σε κανέναν.

Αποδείχτηκε ότι η υπολογιστική της μονάδα είχε μολυνθεί με το Zeus Trojan το οποίο χρησιμοποιείται συνήθως για την υποκλοπή πληροφοριών από τράπεζες. Στο συγκεκριμένο στέλεχος είχε αποσταλεί ψευδές email από τον CIO της τράπεζας ο οποίος τη συνεχάρη για τη συνεργασία της με την ομάδα του στα πλαίσια της υλοποίησης ενός έργου.  Παρόλο που η συγκεκριμένη διευθύντρια δεν είχε συμμετάσχει ποτέ στο έργο που αναφέρονταν στο email, προχώρησε και πάτησε τον σύνδεσμο που περιέχονταν σε αυτό, με συνέπεια να μολύνει την υπολογιστική της μονάδα με το προαναφερόμενο κακόβουλο λογισμικό. Αυτό το απλό λάθος θα ζημίωνε το τραπεζικό ίδρυμα με 5.3 εκατομμύρια δολάρια αν η Ομοσπονδιακή Τράπεζα δεν προχωρούσε στην αποστολή του ενημερωτικού email.

Περιστατικά σαν κι αυτό αποδεικνύουν ότι ο ανθρώπινος παράγοντας είναι ο ασθενέστερος κρίκος σε οποιαδήποτε στρατηγική Ασφάλειας Πληροφοριών. Για το λόγο αυτό οι εργαζόμενοι μιας επιχείρησης ή ενός οργανισμού θα πρέπει να εκπαιδεύονται σε συνεχή βάση σε θέματα Ασφάλειας Πληροφοριών. Μέσω των εκπαιδευτικών προγραμμάτων  πρέπει να ενημερώνονται για τους κινδύνους που προέρχονται από τις επιθέσεις phishing, τα στοιχεία που επιτρέπουν τον εντοπισμό τους και τις ενέργειες που απαιτούνται να εκτελούν προκειμένου να αντιμετωπίζονται έγκαιρα και αποτελεσματικά οι κίνδυνοι που μπορεί να προκύψουν από αυτό το είδος των επιθέσεων.