Website security: Ngành tài chính là điểm nóng tấn công nửa đầu 2021

Vừa qua, ngành tài chính phải lao đao vì trở thành mục tiêu tấn công của tội phạm mạng. Các cuộc tấn công ứng dụng web vào dịch vụ tài chính tăng 38% trong nửa đầu năm 2021. Có thể thấy, website security đang trở thành vấn đề “đau đầu” của các tổ chức tài chính. Bài viết sau đây sẽ chia sẻ những lý do mà hacker nhắm mục tiêu vào ngành tài chính. Cùng với đó là những giải pháp giúp doanh nghiệp bảo vệ website của mình một cách an toàn.

Hồi chuông cảnh báo cho website security ngành tài chính

Vào giữa thế kỷ trước, thương vụ đánh cắp ngân hàng của Willie Sutton đã gây chấn động dư luận. Tên cướp ngân hàng chuyên nghiệp này đã đánh cắp 2 triệu đô la Mỹ. Một nhà báo đã hỏi Sutton tại sao anh ta lại chọn ngân hàng làm mục tiêu. Anh ta đã trả lời: “Vì đó là nơi có tiền”. Tuy nhiên, trong các cuộc phỏng vấn sau đó, Sutton đã phủ nhận câu nói này. Dù thế nào đi nữa, điều đó vẫn còn tác động đến ngành tài chính cho đến ngày nay.

Mặc dù không thể loại trừ được những vụ cướp tiền ngân hàng theo kiểu cũ. Nhưng hiện nay, loại tiền tệ mà bọn tội phạm mạng nhắm tới đó là dữ liệu cá nhân. Chúng tấn công vào các ứng dụng web của khách hàng, đối tác và nhân viên. Sau khi chiếm được tài khoản của nạn nhân, hacker sẽ thực hiện một loạt các giao dịch tài chính trực tuyến.

Đừng nhầm lẫn khi nói các tổ chức tài chính vẫn là “nơi có tiền”. Vì ngành này đang giữ danh hiệu “lĩnh vực có số vi phạm nhiều nhất”. Nó chiếm đến 35% tổng số vụ vi phạm dữ liệu. Không dừng lại ở đó, dịch COVID-19 đã thúc đẩy sự phát triển của lĩnh vực ngân hàng trực tuyến. Dữ liệu quan trọng của khách hàng bị đánh cắp cũng gia tăng đáng kể. Từ tháng 1 – tháng 5 năm 2021, các cuộc tấn công ứng dụng web vào ngành tài chính tăng 38%. Đó là một hồi chuông cảnh báo cho các tổ chức tài chính về website security.

Tấn công website application gia tăng vào năm 2021

Tội phạm mạng tấn công vào hệ thống website application security của các tổ chức tài chính

Vi phạm dữ liệu nhạy cảm

Ngân hàng trực tuyến và chuyển đổi số đang bùng nổ mạnh mẽ trong lĩnh vực tài chính. Điều đó đồng nghĩa với việc các tổ chức cần phải quản lý một lượng lớn dữ liệu phức tạp. Song song đó, các luật bảo mật dữ liệu cũng đang dần siết chặt. Bảo vệ dữ liệu và website security đang trở thành một thách thức chưa từng có.

Vì tốc độ thay đổi trong ngành nên các biện pháp bảo mật được áp dụng cho tất cả các kho dữ liệu mà không phân loại. Điều này khiến nhiều tổ chức dịch vụ tài chính tăng rủi ro và dễ bị tấn công do vi phạm dữ liệu. Hậu quả là các cuộc tấn công đánh cắp dữ liệu đang leo thang với tốc độ đáng báo động. Hơn 870 triệu bản ghi đã bị xâm phạm chỉ trong tháng 1 năm 2021. Con số này nhiều hơn tổng số hồ sơ bị vi phạm trong cả năm 2017.

Tấn công DDoS

Các cuộc tấn công DDoS nhắm vào lớp trên cùng hoặc lớp ứng dụng (Layer 7) của mô hình OSI. Mục đích là tạo kết nối qua giao thức internet. Sau đó, kẻ tấn công sẽ gửi ồ ạt một lượng lớn traffic yêu cầu truy cập đến máy chủ. Khi máy chủ không còn khả năng đáp ứng nữa, hệ thống sẽ bị sập. 

Số lượng yêu cầu mỗi giây (RPS) càng cao thì mức độ tấn công càng dữ dội. Từ tháng 4/2021, RPS các cuộc tấn công DDoS Layer 7 vào ngành này đã tăng gấp 3 lần. Theo Báo cáo Ngân hàng kỹ thuật số,  “nâng cao trải nghiệm của khách hàng trong lĩnh vực ngân hàng” là mục tiêu hàng đầu của các nhà cung cấp dịch vụ tài chính. Khách hàng chắc chắn sẽ không hài lòng khi không thể truy cập vào các dịch vụ ngân hàng trực tuyến. Họ sẽ phàn nàn trên các trang mạng xã hội và chuyển sang một nhà cung cấp khác. Điều này làm ảnh hưởng đến uy tín của ngân hàng.

Những công ty tài chính có khả năng đầu tư ngân sách cho dịch vụ bảo mật tốt sẽ được người dùng ưu tiên lựa chọn. Từ đó sẽ tăng khả năng bán thêm hoặc bán chéo các sản phẩm dịch vụ khác của công ty.

Tấn công DDoS Layer 7 vào ngành dịch vụ tài chính

Mối đe dọa RDoS

Cuối năm 2020, số lượng các mối đe dọa từ chối dịch vụ đòi tiền chuộc (RDoS) đã tăng đáng kể. Mục tiêu tấn công là hàng nghìn tổ chức thương mại lớn trên toàn cầu. Bao gồm nhiều tổ chức trong lĩnh vực dịch vụ tài chính.

RDoS là các mối đe dọa từ chối dịch vụ phân tán (DDoS). Hacker dùng các mã độc tống tiền nhằm chiếm đoạt tài chính. Những kẻ tấn công mạo danh tên tuổi của các Hacker nổi tiếng trong các email tống tiền để đòi tiền bitcoin. Nếu nạn nhân không chấp nhận thỏa thuận, hậu quả sẽ là các cuộc tấn công DDoS nhằm vào hệ thống mạng của họ.

Trong nửa đầu năm nay, những mối đe dọa RDoS vào hệ thống website security đang ngày càng gia tăng. Kịch bản tấn công vào hệ thống security của website năm nay khá giống với năm trước, trong đó:

1. Kẻ tống tiền gửi một email, đôi khi kèm theo một cuộc tấn công khởi động để đe doạ (thường làm công ty rơi vào trạng thái ngoại tuyến trong khoảng thời gian ngắn).
2. Mục tiêu được thông báo trước một tuần để thanh toán theo thứ tự.
3. Kẻ tống tiền đe dọa sẽ trở lại với một cuộc tấn công lớn hơn vào một thời gian đã định.

Các cuộc tấn công từ phía khách hàng

Các cuộc tấn công từ phía máy khách xảy ra khi người dùng tải nội dung độc hại từ một website. Hacker lợi dụng điều này để xâm nhập vào trang web. Chúng chặn các phiên của người dùng, chèn nội dung thù địch và thực hiện các cuộc tấn công lừa đảo. Trong các dịch vụ tài chính, hacker sẽ khai thác các tập lệnh của bên thứ ba. Những tập lệnh này được sử dụng bởi hàng nghìn website trong nhiều ngành. Sau đó, chúng sẽ đọc lướt thông tin thanh toán.

Các website tài chính đang dần phụ thuộc vào các tập lệnh của bên thứ ba để phục vụ khách hàng tốt hơn. Nhưng do số lượng các giao dịch kỹ thuật số để xử lý giao dịch tài chính và dữ liệu khác rất lớn. Nên các website tài chính là mục tiêu của các cuộc tấn công từ phía khách hàng. Có được thông tin thẻ tín dụng, hacker sẽ sử dụng chúng để thực hiện các giao dịch mua hàng. Hoặc chúng sẽ bán cho bọn tội phạm khác. Trong cả hai trường hợp, hậu quả đều rất khó lường. Cả người dùng và nhà cung cấp dịch vụ tài chính đều không biết cho đến khi nó xảy ra.

Các cuộc tấn công chuỗi cung ứng

Kể từ năm 1999, hệ thống lỗ hổng và rủi ro thường thấy (CVE) đã báo cáo hơn 150.000 CVE – lỗ hổng zero day – trong các ứng dụng và phần mềm phổ biến. Trong số này, hơn 11.500 lỗ hổng đạt mức độ nghiêm trọng (mặc dù người ta thường hiểu rằng phần lớn các lỗ hổng phần mềm vẫn chưa được báo cáo). 

Toàn bộ quá trình xử lý các dịch vụ tài chính tích hợp một bộ ứng dụng phần mềm phức tạp liên quan đến hỗ trợ văn phòng, văn phòng trung gian, quản lý rủi ro, nhà phát triển kinh doanh, tài chính và CNTT. Giao diện lập trình ứng dụng (API) là cốt lõi của các ứng dụng này. Nó cho phép chúng giao tiếp với nhau. Các API thường tự lập tài liệu thông tin. Chẳng hạn như cách thức thực hiện và cấu trúc bên trong của chúng có thể làm thông tin tình báo. Dựa vào thông tin đó, hacker sẽ tấn công vào phần mềm chuỗi cung ứng. 

Các yếu tố như mã xác thực yếu, thiếu mã hóa, lỗ hổng logic nghiệp vụ và điểm cuối không an toàn khiến các API thậm chí còn dễ bị tấn công hơn. Khi các tổ chức dịch vụ tài chính hợp tác với các công ty khác để cung cấp và nhận dịch vụ, bề mặt tấn công chuỗi cung ứng phát triển và làm tăng nguy cơ tấn công.

Hệ thống website security yếu kém của chuỗi cung ứng khiến doanh nghiệp dễ trở thành mục tiêu tấn công. Tội phạm mạng nắm rõ các lỗ hổng trong các ứng dụng phần mềm và API. Chúng sẽ tìm cách vượt qua hệ thống website security và gây tổn hại cho doanh nghiệp của bạn. Nguyên nhân bởi vì các phần mềm của một tổ chức không phải là độc quyền. Những kẻ tấn công sẽ tìm cách khai thác nhiều loại ứng dụng phần mềm khác nhau mà một công ty có thể đang sử dụng. 

Kể từ cuộc tấn công Sunburst vào cuối năm 2020 và những cuộc tấn công khác sau đó, nhiều người mong đợi các tổ chức sẽ tăng cường security của website. Nhưng điều đó đã không xảy ra. Vì vậy, các cơ quan quản lý buộc phải vào cuộc. Cơ quan tiền tệ Singapore và FFIEC (Hội đồng Kiểm tra Các Định chế Tài chính Liên bang) ở Mỹ đã ban hành hướng dẫn mới để phục hồi chuỗi cung ứng trong lĩnh vực này. Hơn nữa, vào tháng 4/2021, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) và Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã đưa ra hướng dẫn mới về cách phòng vệ trước các rủi ro chuỗi cung ứng phần mềm khác nhau.

Hacker vượt qua hệ thống security của website để đánh cắp dữ liệu gì?

Theo thống kê từ một tổ chức an ninh mạng, 74% dữ liệu bị đánh cắp trong vài năm qua là dữ liệu cá nhân. Kẻ đánh cắp có thể khai thác riêng những thông tin này. Hoặc chúng kết hợp với những thông tin khác để xác định, liên hệ hoặc định vị một cá nhân.  

Vi phạm dữ liệu cá nhân trên diện rộng là một hồi chuông cảnh báo cho vấn đề website security. Nhiều tổ chức không trang bị đầy đủ các biện pháp bảo vệ. Trong nhiều trường hợp, hacker đánh cắp dữ liệu cá nhân từ các tổ chức tài chính còn dễ dàng hơn so với các ngành khác. Vì những dữ liệu đó thường xuyên được chia sẻ giữa các hệ thống, người dùng và nhà cung cấp. 

Các quy định bảo vệ dữ liệu cá nhân đang trở nên nghiêm ngặt hơn. Các tổ chức phải xác định và phân loại dữ liệu cá nhân trên toàn bộ hệ thống của họ. Chỉ khi họ biết chúng được lưu trữ ở đâu, những ứng dụng và người dùng nào đang truy cập vào nó. Lúc này, họ mới có thể mở rộng các biện pháp bảo mật để bảo vệ dữ liệu đó.

Giải pháp website application security dành cho doanh nghiệp

Đầu tiên, hãy đảm bảo bạn có thể kiểm soát dữ liệu. Sau đó, bạn mới có thể bảo vệ nó và tất cả các đường dẫn đến nó. Các website, application và API của tổ chức được bảo vệ một cách tự động. Và điều đó không ảnh hưởng đến luồng traffic quan trọng của doanh nghiệp. Nó cũng phải chống lại các cuộc tấn công DDoS và chiếm đoạt tài khoản bên ngoài hệ thống mạng. 

Để đảm bảo website security ngành tài chính, bạn phải trang bị các giải pháp bảo vệ nâng cao như tường lửa ứng dụng web (WAF), quản lý bot, thời gian vận hành và bảo vệ API. Phát hiện và gắn thẻ dữ liệu cá nhân nhạy cảm cũng như làm phong phú và tương quan dữ liệu để cung cấp khả năng phân tích hành vi chính xác nhằm ngăn chặn và giảm thiểu các mối đe dọa. Điều này cho phép bạn tự động hóa việc mở rộng kiểm soát bảo mật cho tất cả dữ liệu. Dù đó là dữ liệu On-Premise hay dựa trên đám mây, dữ liệu hiện tại và được lưu trữ. Đảm bảo liên tục báo cáo tuân thủ, quản trị và bảo mật cho tất cả các nguồn dữ liệu.

Các tổ chức tài chính nói riêng và các doanh nghiệp nói chung hãy nâng cao cảnh giác. Thủ thuật của bọn tội phạm mạng là không thể lường trước được. Vì vậy, các giải pháp website application security là hết sức cần thiết. Nếu bạn đang băn khoăn các giải pháp website security, hãy tham khảo danh sách các dịch vụ chống DDoS được tin cậy nhất hiện nay. Quan trọng không phải là giải pháp tốt nhất, mà đó là giải pháp phù hợp với doanh nghiệp nhất.