Barclays mencari kolaborator pada ‘rantai membunuh’ untuk melawan penipuan

Spesialis penipuan telah menciptakan taksonomi taktik yang digunakan oleh penipu untuk membuatnya lebih mudah untuk berkomunikasi dan memahami bagaimana penjahat mencuri uang dari bank dan pengecer.

Dua taksonomi baru, satu dari industri perbankan dan yang lainnya dari ritel, diumumkan baru -baru ini selama Konferensi RSAC di San Francisco.

Para ahli dari Barclays dan Fabric Ancaman, serta Federasi Ritel Nasional (NRF) dan Target, memperkenalkan upaya masing-masing untuk mengembangkan apa yang disebut “rantai membunuh” penipuan untuk memetakan dan memahami struktur kejahatan ekonomi.

Rantai Kill Cyber

Konsep rantai pembunuhan penipuan diadaptasi dari konsep militer rantai pembunuhan, dekonstruksi serangan. Lockheed Martin menerapkan istilah ini pada keamanan siber pada tahun 2011, dan para ahli telah men -tweaknya.

Rantai Kill Cybersecurity adalah model pertahanan keamanan yang digunakan untuk mengidentifikasi dan menghentikan serangan siber canggih sebelum mereka mempengaruhi suatu organisasi. Ini memecah beberapa tahap serangan, memungkinkan tim keamanan untuk mengenali, mencegat atau mencegahnya. Pendekatan ini bertujuan untuk meningkatkan pertahanan terhadap ancaman seperti malware, ransomware dan phishing.

Model rantai Kill Cyber ​​Lockheed Martin tradisional menggambarkan tujuh tahap: pengintaian, persenjataan, pengiriman, eksploitasi, pemasangan, perintah dan kontrol, dan tindakan. Beberapa ahli mengadvokasi tahap kedelapan: monetisasi, berfokus secara khusus pada keuntungan finansial penyerang.

Meskipun berpengaruh, model tradisional telah dikritik atas fokusnya terutama pada keamanan malware dan perimeter, struktur linier yang tidak selalu diikuti oleh penyerang dan keterbatasannya terhadap ancaman orang dalam dan teknik serangan yang lebih baru.

Alternatif untuk rantai pembunuhan cyber termasuk Mitre ATT & CK, yang merinci taktik dan teknik dalam struktur non-linear, dan rantai pembunuhan terpadu, yang menggabungkan elemen keduanya. Organisasi sering menggunakan alat seperti SIEM (informasi keamanan dan manajemen acara) dan XDR (deteksi dan respons yang diperluas), bersama dengan ancaman intelijen, untuk mendeteksi dan menghentikan serangan di seluruh tahap ini.

Mengapa penipuan membutuhkan rantai pembunuhan

Menyadari keberhasilan pendekatan terstruktur ini dalam pertahanan dunia maya, pembicara berpendapat bahwa kerangka kerja yang sama diperlukan untuk penipuan, terutama karena serangan kejahatan ekonomi menjadi lebih kompleks dan terjalin dengan taktik cyber.

Senan Moloney, Kepala Global Cybercrime dan Cyber ​​Fraud Fusion di Barclays, menyoroti perlunya rantai pembunuhan penipuan dengan menggunakan contoh kelas penipuan yang mulai mengganggu bank dan pengecer baru -baru ini: Serangan relai NFC.

Sekitar delapan bulan yang lalu, Barclays mulai melihat uptick dalam penipuan yang mengeksploitasi komunikasi dekat-lapangan (NFC), teknologi yang memungkinkan tap-to-pay menggunakan kartu, ponsel, jam tangan pintar, dan perangkat lainnya. Bank membawa perusahaan ancaman pencegahan penipuan dan wakil presiden teknik penipuan, Edward Driehuis, untuk menyelidiki.

Kedua perusahaan pada awalnya memfokuskan secara ketat pada bagaimana serangan relai NFC sendiri bekerja, mengumpulkan informasi dan intelijen dari lembaga keuangan lainnya, tetapi mereka dengan cepat menyadari bahwa taktik itu hanya satu dalam rantai peristiwa yang lebih besar yang mengarah ke metode penipuan baru.

“Salah satu hal yang hilang adalah cara terstruktur dan konsisten untuk berbagi kecerdasan itu dan menggunakan semua potongan potongan demi sepotong, secara berurutan, untuk memahami rantai seluruh serangan kejahatan ekonomi,” kata Moloney. “Berasal dari latar belakang dunia maya, kami segera berpikir bahwa, jika ini berada di dunia cyber, kami akan segera memanfaatkan rantai pembunuhan cyber.”

Penipuan sering memadukan elemen online dan fisik dan melibatkan rekayasa sosial yang canggih, yang dapat menyulitkan berbagai tim dalam organisasi untuk berkomunikasi tentang skema secara efektif.

“Ketika berbicara dengan tim penipuan atau tim kejahatan keuangan menggunakan frasa seperti ‘gerakan lateral,’ ‘eskalasi hak istimewa,’ ‘perintah dan kontrol,’ itu tidak terlalu berarti,” kata Driehuis, merujuk pada jargon teknis umum yang digunakan di dunia cybersecurity.

Model rantai pembunuhan penipuan yang dibahas bertujuan untuk memecah jenis serangan menjadi potongan -potongan kecil yang lebih mudah dipahami dan didiskusikan. Masing -masing potongan ini adalah TTP: Taktik, Teknik atau Prosedur. Model ini memungkinkan Barclays untuk memetakan dan mengidentifikasi kesenjangan dan peluang mitigasi.

Rantai pembunuhan penipuan

Model dari Barclays dan Ancaman Kain menguraikan 10 fase dan digunakan untuk memetakan serangan seperti dompet digital dan penipuan relai NFC: pengintaian, pengembangan sumber daya, manipulasi psikologis, komunikasi palsu, kompromi kredensial, akses akun, kompromi otorisasi, peristiwa penipuan, monetisasi dan pencucian uang.

Dalam presentasi terpisah, NRF dan Target menyajikan taksonomi penipuan ritel yang mencakup empat kategori: pra-kompromi, akses awal, kontrol dan monetisasi.

Evan Gaustad, direktur senior deteksi ancaman, penipuan dan penyalahgunaan di Target, menekankan nilai kosakata yang sama, mencatat bahwa skema terperinci seperti perusakan kartu hadiah melibatkan banyak peran dan langkah yang berbeda.

Gaustad mengingat pertemuan dengan pengecer lain dan Departemen Keamanan Dalam Negeri, di mana para pihak mencoba membicarakan apakah orang yang berada dalam rekaman keamanan adalah pelindung kartu hadiah. Pertanyaan itu rumit, karena perusakan kartu hadiah melibatkan beberapa langkah: mengambil kartu hadiah dari toko, mengirimnya ke lokasi pusat, mengeluarkan kode akses dari kartu, mengemasnya kembali, dan menempatkannya kembali di rak toko.

“Jadi, ini bukan salah satu pelindung,” kata Gaustad. “Sebenarnya ada lima pekerjaan berbeda dalam skema ini.”

Kedua presentasi juga menyoroti bahwa banyak serangan penipuan sekarang melibatkan mengeksploitasi kerentanan manusia, faktor yang tidak selalu tercakup dalam kerangka kerja cyber tradisional yang berfokus pada eksploitasi teknis.

Misalnya, serangan dompet digital umum menggunakan toko-toko web smishing atau palsu untuk memikat para korban untuk mengkompromikan detail kartu mereka dan kata sandi satu kali, yang kemudian digunakan oleh penipu untuk menyediakan kartu ke perangkat mereka sendiri secara real-time. NFC Relay, atau “Ghost Tap,” Attacks, memungkinkan penipu untuk melakukan pembayaran fisik dengan kartu yang disediakan dari kejauhan dengan menyampaikan sinyal NFC.

Takeaways

Pengambilan kunci dari kedua presentasi adalah pentingnya “bergeser ke kiri” atau upaya pencegahan dan gangguan bergerak ke tahap sebelumnya dari rantai serangan, daripada hanya mengandalkan pemantauan transaksi hilir.

Ini membutuhkan peningkatan visibilitas dan kolaborasi di berbagai tim internal (Ancaman Intelijen, Deteksi Penipuan Online, Risiko Penipuan, AML). Selain itu, kolaborasi dengan entitas eksternal seperti perusahaan telekomunikasi, platform media sosial, teknologi besar, dan penegakan hukum sangat penting, karena penipu sering memanfaatkan layanan mereka.

Strategi Mitigasi Khusus yang dibahas oleh para penyaji mencakup peningkatan perjalanan penyediaan dompet digital (misalnya, hanya menambahkan kartu ke dompet digital dari aplikasi perbankan daripada dengan memasukkan nomor kartu dan informasi melalui aplikasi dompet digital), menghindari ketergantungan pada SMS untuk kata sandi satu kali dan meningkatkan feed data untuk aturan deteksi yang lebih baik berdasarkan faktor-faktor seperti lokasi geografis untuk point-of-of-soal-layanan.

Kedua inisiatif dimaksudkan untuk kolaboratif dan terbuka untuk industri. Tim Barclays dan Ancaman Fabric telah meluncurkan situs web, fraudkillchain.comdan komunitas LinkedIn untuk diskusi dan umpan balik. Mereka menekankan pentingnya menghindari paywalls, untuk mempromosikan kolaborasi.

“Anda akan melihat bahwa di situs web itu, tidak ada branding Barclays atau Fabric Ancaman atau orang lain,” kata Moloney. “Begitulah cara kita menyimpannya.”

Taksonomi dari NRF dan Target tersedia di depan umum Situs web NRF Dan Repositori GitHub Targetdengan rencana untuk menambahkan lebih banyak skema dan menyesuaikan kerangka kerja untuk organisasi individu.

Presentasi menggarisbawahi bahwa sementara kemajuan sedang dibuat dalam memahami dan memerangi penipuan, tetap ada pekerjaan yang signifikan, dan adopsi luas kerangka kerja umum dan peningkatan kolaborasi sangat penting untuk mengimbangi ancaman yang berkembang.