Noll
Det inre arbetet i en cyber-attack mot Tesco Bank som såg £2.26 m stulna från 9 000 kunder – och resulterade i att banken att löpa över £16.4 mkr för de brister som tillät det att hända – det har uppdagats.
Financial Conduct Authority (FCA) har drabbat banken med en £16.4 m fin och sade Tesco Bank misslyckats med att “visa vederbörlig skicklighet, aktsamhet och omsorg” för att skydda nuvarande kontoinnehavare mot en it-attack.
Nästan två år från händelsen, den exakta identiteten på de cyberkriminella är fortfarande okänd, men KONKURRENSVERKET nyligen publicerad rapport till Tesco Bank attack detaljer om hur hackare kunde göra av med över £2m under loppet av 48 timmar i November 2016.
Attacken började kl 02:00 på lördag den 5 November 2016, genom 04:00, Tesco Bank bedrägeri analys och upptäckande började skicka automatiska sms till banker personliga nuvarande kontoinnehavare be dem ringa om “misstänkta aktiviteter” på sina konton, vilket är hur banken själv först blev medveten om attacken.
Som bedrägeriförsök ökat, samtal snabbt överväldigad Tesco Bank bedrägerier online. Även Tesco Bank kontroller stannade nästan 80 procent av de obehöriga transaktioner, attacken drabbade 8,261 av 131,000 Tesco Bank personliga bankkonton.
Angriparna mest sannolikt används en algoritm som genereras äkta Tesco Bank betalkort nummer och, med hjälp av de virtuella kort, de försökte att göra tusentals obehörig betalning med betalkort.
KONKURRENSVERKET sagt Tesco Bank misslyckanden inkludera det sätt på vilket den bank som distribueras betalkort nummer och misstag som har gjorts i reaktion på attacken, som innebar att inga åtgärder vidtogs för nästan en dag efter händelsen var först upptäcktes.
Ett antal brister i hur Tesco Bank hanteras säkerhet vänster kunder sårbar för it-attacker i en incident som var “i stort sett onödig”, sade KONKURRENSVERKETS analys av händelsen, vilket Tesco Bank hade denna gång varit tight-lipped om – till frustration för andra finansiella institutioner.
Dålig utformning av Tesco Bank-och betalkort spelat en betydande roll i att skapa trygghet och svagheter som lett till att tusentals kunder har fått sina konton tömda. En av dessa är inblandade PANNAN nummer – den 16-siffriga kortnummer sekvens används för att identifiera alla betalkort.
Tesco Bank av misstag utfärdat betalkort med sekventiell PAN nummer. Detta ökade sannolikheten att angripare skulle hitta nästa PAN nummer i sekvensen.
Det tog 21 timmar efter attacken började innan Tesco Bank Bedrägeri Strategi Laget informerades om händelsen.
Bara efter vad som KONKURRENSVERKET beskriver som “en serie av fel” – inklusive Tesco Bank är Finansiell Brottslighet Operations Team skickar ett e-postmeddelande till fel adress i stället för att ringa ett samtal som förfarandet kräver – var bedrägeri laget medvetna om attacken.
Under hela den tiden, ingenting hade gjorts för att stoppa attackerna, med bedrägliga transaktioner fortsätter att suga pengar från konton som banken fått fler och fler samtal från oroliga kunder.
Det var bara ett Bedrägeri Strategi Laget äntligen hade blivit uppmärksammad på att vissa framsteg har gjorts i fråga om att motverka angrepp. Det konstaterades att den stora majoriteten av transaktionerna kommer från Brasilien och var med en betalnings metod som kallas “PoS-91′ – att göra transaktioner som grundar sig på magnetremsor som bär identifierande information om betalkort.
Denna metod används i stor utsträckning utanför Europa och framför allt inte begränsa värde eller antal transaktioner och antal framgångsrika attacker visade att angriparna hade fått den relevanta PAN nummer.
En gång PoS 91 identifierades som den mest använda kanalen för bedrägliga transaktioner och Brasilien, som är den plats som de inträffar, Tesco Bank Bedrägeri Strategi Laget sätta en regel på plats för att blockera dessa transaktioner från och med den 1:48 på söndagen den 6: e November – nästan hela 24 timmar efter attacken började.
Men problemet var ju inte slut för det: – fel som har gjorts i genomförandet av denna regel som gjorde det ineffektiva – de används valutan Euro kod istället för Brasilien, landet kod – och ingen märkte det förrän senare.
Som ett resultat, antalet försök till övergångar fortsatte att stiga, att nå 80 000 invånare och med måndag den 7 November – med Tesco Bank blockering 90 procent av dessa.
I ett försök att motverka detta, Tesco Bank tagit in externa experter för att avslöja problem i bedrägeri detection system som tillät dessa att gå igenom – det visade sig vara ett kodningsfel av Tesco Bank är Finansiell Brottslighet Operations-Teamet hade gjort när det ursprungligen programmerat bedrägeri detection system.
När den upptäcktes, var det nästan två dagar efter den bedrägliga transaktioner igång och kunder hade förlorat en kombinerad summa av £2.26 m till cyber brottslingar.
Generellt, KONKURRENSVERKET fann att Tesco Bank misslyckats med vederbörlig skicklighet, omsorg och aktsamhet för design och distribution av bankkort, hur du konfigurerar specifika autentisering och upptäckt av bedrägeri regler eller när vidta lämpliga åtgärder för att förhindra att de förutsebara risker för bedrägeri.
KONKURRENSVERKET har också kritiserat Tesco Bank för att inte reagera på händelsen med “tillräcklig noggrannhet, skicklighet och brådska”
Som en del av arbetet för att förhindra bedrägerier, alla 136,000 Tesco Bank kortfristiga kontohavare fått sina konton tillfälligt fryst, som KONKURRENSVERKET rapport säger orsakat många “besvär och olägenhet” när betalningar inte kunde göras. Offren för attacken var och en hade sina konton återinföras till den pre-attack balans och en del även fått ersättning för.
I efterdyningarna av attacken, Tesco Bank är nu sägs ha lagt en “omfattande program och betydande resurser i frågor som gjorde det sårbara för angrepp – men, när den trycks på vad dessa förbättringar är, Tesco Bank inte skulle ge mer detaljer.
Medan Brasilien har beskrivits som en plats för dem som låg bakom attacken skulle kunna träna på två år från attack-det finns fortfarande ingen information om vem som låg bakom attacken – och inga gripanden har gjorts.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
It-säkerhet: Din chef inte bryr sig och det är inte OK längre Equifax bara tog ännu en hit från 2017 hacka CNET Cyber hot intelligence mot business risk intelligence: Vad du behöver veta Uppgifter om efterlevnad och säkerhet strategi i en post-GDPR världen TechRepublic Detta malware döljer sig som bank security raid ditt konto
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0