Finansal hizmetler endüstrisi, kötü niyetli aktörler tarafından zorlanmaya devam ediyor ve sektördeki bir veri ihlalinin ortalama maliyeti 2024’te 6,08 milyon dolar2023’te 5,90 milyon dolardan.
Neredeyse göz önüne alındığında 4 finans işletmesinden 1’i Bir veri ihlaline kurban etmiş, bu endüstrinin kritik bilgilerini korumak için en gelişmiş savunmalardan bazılarını geliştirmesi şaşırtıcı değildir.
Şimdi, geçen ay yürürlüğe giren Dora düzenlemesine serpin, AB içindeki ani finansal şirketlerin tümü, siber güvenlik hazırlığı söz konusu olduğunda toplanacak başka bir karmaşıklık ve standart seviyesine sahiptir.
Fidye yazılımı ve AI güdümlü kimlik avı gibi sofistike saldırılar, platformumuzdan veriler, bilgi açıklaması ve enjeksiyon güvenlik açıklarının sadece sektörde yaygın olmadığını, aynı zamanda araştırmacılarımız tarafından genellikle karmaşık istismarlardan ziyade küçük gözetimlerden kaynaklanan kritik ve istisnai düzeylerde keşfedildiğini ortaya koymaktadır.
Bu blogda, kendi araştırma topluluğumuzdan finansal hizmetler sektöründe bulunan en iyi güvenlik açıklarını ve 2024’te kullanılmayan kayda değer tehditleri keşfedeceğiz. Son olarak, 2025’te neyi izleyeceğiniz ve kuruluşunuzu çok katmanlı savunma ile nasıl koruyacağınıza dair bazı ipuçlarını paylaşacağız.
Yaygınlık: Bilgi açıklama güvenlik açıkları, finansal hizmetlerde önemli bir endişe olmaya devam ederek gelişmiş hack teknikleri olmadan hassas verilere yetkisiz erişime izin verir.
Dikkate değer tehdit: 2024’te büyük bir veri ihlali, önde gelen bir ipotek borç veren olan Loandepot’u etkiledi ve kişisel bilgilerini ortaya çıkardı. Yaklaşık 17 milyon müşteri. Bilgisayar korsanları, isimler, doğum tarihleri, adresler ve sosyal güvenlik numaraları dahil olmak üzere hassas verilere erişerek bilgi açıklama güvenlik açıklarının ciddi etkisini vurguladı.
Araştırmacılarımızın bulduğu güvenlik açıkları: Intigriti platformundaki bir araştırmacı, bir uygulama isteğinde bir işlem kimliğini değiştirerek diğer kullanıcıların işlemlerini görüntüleyebileceğini keşfetti. Benzer kusurlar hesap ayrıntılarını, işlem günlüklerini ve hatta kredi kartı bilgilerini ortaya çıkarmıştır.
Nedenleri:
Yaygınlık: Uygulamalar kullanıcı girişini uygunsuz bir şekilde ele aldığında, saldırganların istekleri değiştirmesini ve kısıtlı verilere erişmesini sağladığında enjeksiyon güvenlik açıkları ortaya çıkar.
Dikkate değer tehdit: 2024’te önemli bir enjeksiyon olayı dahil BeyondTrust’s Ayrıcalıklı uzaktan erişim (PRA) ve uzaktan destek (RS) ürünleri. Bu platformlar, CVE-2024-12356 olarak tanımlanan bir komut enjeksiyon güvenlik açığı içeriyordu ve bu da saldırganların tehlikeye atılmamış verilere yetkisiz erişim elde etmelerini sağladı.
Araştırmacılarımızın bulduğu güvenlik açıkları: Araştırmacımızdan biri, büyük bir bankacılık mobil uygulamasının müşteri anket özelliğinde kritik bir güvenlik açığı ortaya çıkardı, bu da arka uç isteklerini manipüle etmelerini ve son derece hassas dahili finansal verileri çıkarmalarını sağlayarak uygulamanın güvenlik protokollerinde rahatsız edici bir atlamayı vurguladı.
Finansal hizmetlerde diğer yaygın enjeksiyon güvenlik açığı türleri:
SQL Enjeksiyonu (SQLI): Hassas verileri veritabanlarından çıkarmak için kötü amaçlı sorguların enjekte edilmesi
Sunucu tarafı şablon enjeksiyonu (SSTI): Rasgele komutları yürütmek için web şablonlarını manipüle etme
Komut Enjeksiyonu: Savunmasız uç noktalarla yetkisiz sistem komutlarının yürütülmesi
Yaygınlık: Fidye yazılımı finansal firmaları küresel olarak etkilemeye devam ediyor, saldırganlar giderek daha fazla kritik verileri hedefliyor ve multimilyon dolarlık ödemeler talep ediyor.
Dikkate değer tehdit: “Hayalet” Çin’den gelen fidye yazılım grubu, 70’den fazla ülkede finansal kurumlara saldırdı, kritik verileri şifreledi ve serbest bırakılması için ödeme talep etti.
Azaltma Stratejileri:
2025’e ilerledikçe, finansal hizmetler endüstrisi ortaya çıkan siber güvenlik zorluklarına hazırlanmalıdır:
AI odaklı sosyal mühendislik: Siber suçluların, son derece ikna edici ses ve video kimlik avı saldırıları yapmak için üretken yapay zeka kullanmaları ve hileli iletişimin tespit edilmesini zorlaştırması bekleniyor.
Gelişmiş Fidye Yazılımı Taktikleri: Fidye yazılımı saldırılarının sofistike olarak artması bekleniyor ve saldırganlar potansiyel olarak kritik tedarikçileri birbirine bağlı finansal sistemleri bozmayı hedefliyor.
AI ile çalışan saldırılar: Saldırganların saldırıları otomatikleştirmek, uyarlanabilir kötü amaçlı yazılım oluşturmak ve geleneksel algılama yöntemlerinden kaçınmak için AI kullanmaları muhtemeldir.
Kimlik Hırsızlığı Evrimi: Yapay zeka tarafından üretilen derin dişlerin ve sentetik kimliklerin yükselişi, kimlik doğrulama süreçlerini karmaşıklaştırabilir ve daha sofistike sahtekarlık planlarına yol açabilir.
Bir Müşteri Deneyimi Olarak Güvenlik Farklayıcısı: Tüketiciler giderek karmaşıklaşan sahtekarlıkla karşılaştıkça, sağlam siber güvenlik önlemleri kilit bir faktör haline gelmesi tahmin edildi Finansal hizmetler içindeki müşteri güveni ve sadakatinde.
Yüksek profilli siber saldırılar manşetlere hakim olsa da, araştırmamız bilgi açıklaması ve enjeksiyon saldırıları gibi basit güvenlik açıklarının finansal uygulamalarda yaygın kaldığını göstermektedir. Bu kusurların birçoğu gelişmiş istismar gerektirmez – sadece bir saldırganın bir sistemle nasıl etkileşime girdiğine dair küçük manipülasyonlar.
Finansal kurumlar odağı aşağıdakilere kaydırmalıdır:
API Güvenliği ve Erişim Denetimlerini Güçlendirme
Enjeksiyon saldırılarını önlemek için titiz giriş validasyonunun uygulanması
İçeriden gelen tehditler için gerçek zamanlı izlemeyi geliştirmek
Finans sektörü giderek daha dijital hale geldikçe, güvenlik ekipleri reaktif yanıtlar üzerindeki proaktif savunmalara öncelik vermelidir. Siber suçlular gelişiyor – finansal hizmetlerin de aynı şeyi yapma zamanı.
Finansal bir organizasyonda bir siber güvenlik ekibinin bir parçası mısınız ve Bug Bounty hakkında daha fazla bilgi edinmek ister misiniz? Dora uyumluluğu ile desteğe mi ihtiyacınız var? Ücretsiz danışma için iletişime geçin Bugün uzmanlarımızdan biriyle.