5 minute read
DISRUPTION IN THE CYBER SECURITY SPACE
from SiGMA Issue 13
by SiGMA Group
PERTURBATION DANS L’ESPACE DE CYBER
S Curit
IGAMINGSECURITY IS A TECH COMPANY SPECIALISING IN CYBER SECURITY SERVICES FOCUSED ON THE IGAMING SECTOR. LUKE SCERRI JOINS IGAMINGSECURITY CTO FRANCESCO MIFSUD TO DISCUSS THE LATEST TRENDS AND CHALLENGES OF THIS SIDE OF THE INDUSTRY.
WHAT IS THE COMPANY’S PHILOSOPHY?
Our philosophy is to always utilise our extensive knowledge and experience to secure iGaming companies, their employees and all their clients. When it comes to casino or sportsbook punters we always try to help them keep to the mantra “Play … Safely”. Over the years we have created an exclusive internal knowledge base via which we extract trends and patterns used by black hat hackers. All our team members contribute on a regular basis to keep this Knowledge Base alive and as relevant as it can get vis-a-vis exploits, risks and vulnerabilities posed at iGaming companies side.
WHAT IN YOUR EYES ARE THE CURRENT BIGGEST CYBER THREATS?
It might sound a bit cliche’ but I would say “Phishing” would be the top one by far (in 2020). Phishing techniques have been evolving since ever and these days we are seeing more target spear phishing attacks. Hackers have realised that putting effort into the content and design of emails, yields better results. Nowadays phishing emails look incredibly similar to ‘normal day-to-day emails’.
Generally, Phishing is the most commonly used delivery method for further attacks; it opens a plethora of other opportunities (to black hat hackers!). Threats include:-
• Delivery of ransomware
• Installation of CryptoJacking malware
• Drive-by-downloads
• Unsolicited Bank Transfers
• Elicitation of information for further attacks
• And the obvious data breaches which are the basis for credential stuffing attacks.
HOW DOES YOUR APPROACH DIFFER FROM OTHER CYBER SECURITY COMPANIES?
Well for starters, we are entirely focused on the iGaming vertical. Along the years we have created an array of (testing) processes and an overarching methodology. We are one of the very few global e-security firms offering Phishing as a service. We do not try to offer a one-size-fitsall off-the-shelf solution. Our cybersecurity services are completely managed and there is no need for (external) additional resources.
IGAMINGSECURITY EST UNE ENTREPRISE TECHNOLOGIQUE SPÉCIALISÉE DANS LES SERVICES DE CYBERSÉCURITÉ AXÉS SUR LE SECTEUR DES JEUX D'ARGENT. LUKE SCERRI REJOINT FRANCESCO MIFSUD, CHEF DE DIRECTION TECHNIQUE D'IGAMINGSECURITY, POUR DISCUTER DES DERNIÈRES TENDANCES ET DES DÉFIS DE CE SECTEUR.
QUELLE EST LA PHILOSOPHIE DE L’ENTREPRISE?
Notre philosophie est de toujours utiliser nos connaissances et notre expérience approfondies pour sécuriser les sociétés de jeux d’argent en ligne, leurs employés et tous leurs clients. Lorsqu'il s'agit de joueurs de casinos ou de paris sportifs, nous essayons toujours de les aider à respecter le mantra "Jouez ... en toute sécurité". Au fil des ans, nous avons créé une base de connaissances interne exclusive grâce à laquelle nous extrayons les tendances et les modèles utilisés par les hackers. Tous les membres de notre équipe contribuent régulièrement à maintenir cette base de connaissances vivante et aussi pertinente que possible face aux exploits, aux risques et aux vulnérabilités des sociétés de jeux d’argent.
QUELLES SONT, À VOS YEUX, LES PLUS
GRANDES CYBERMENACES ACTUELLES?
Cela peut sembler un peu "cliché" mais je dirais que le "Phishing" serait de loin la plus importante (en 2020). Les techniques de phishing ont évolué et, de nos jours, il y a de plus en plus de cibles pour les attaques de phishing. Les hackers ont réalisé qu'en faisant des efforts sur le contenu et la conception des mails, on obtient de meilleurs résultats. Aujourd'hui, les mails de phishing ressemblent incroyablement aux "mails ordinaires".
En général, le phishing est la méthode la plus utilisée pour les nouvelles attaques ; il ouvre une multitude d'autres possibilités (aux hackers !). Les menaces comprennent :
• Remise de rançon
• Installation de logiciels malveillants de type CryptoJacking
• Téléchargements intempestifs
• Virements Bancaires non sollicités
• Obtention d'informations en vue de nouvelles attaques
• Les violations de données qui sont à la base des attaques de “Credential Stuffing”
EN QUOI VOTRE APPROCHE DIFFÈRE-T-ELLE DE CELLE DES AUTRES SOCIÉTÉS DE CYBERSÉCURITÉ?
Pour commencer, nous nous concentrons entièrement sur le secteur des jeux d'argent en ligne. Au fil des ans, nous avons créé un ensemble de processus (de tests) et une méthodologie globale. Nous sommes l'une des rares entreprises mondiales de cybersécurité à proposer le phishing en tant que service. Nous n'essayons pas d'offrir une solution unique, nos services de cybersécurité sont entièrement gérés et il n'est pas nécessaire de faire appel à des ressources (externes) supplémentaires.
In addition to our processes and methodologies, we have developed proprietary custom tools that aid us in penetration testing of the various elements of a company’s tech-mix:- cloud, emailing and messaging systems, web sites and applications, mobile apps for both iOS and Android and, external and internal infrastructure.
WHICH ARE THE 3 MOST COMMON VULNERABILITIES FOUND IN IGAMING PLATFORMS?
Having assessed and tested numerous iGaming platforms and traffic generation websites I can safely say that we come across vulnerabilities ranging from simple deviations from good practice such as ‘Username enumeration’, ‘Verbose Errors’ and ‘Clickjacking’ all the way to Broken Access Control.
We see a common trend whereby online casinos, affiliate sites and/or sportsbooks ‘sacrifice’ security to enhance user journeys and user experience.
En plus de nos processus et méthodologies, nous avons développé des outils propriétaires personnalisés qui nous aident à tester la pénétration des différents éléments du mix technologique d'une entreprise : le cloud, les systèmes de messagerie et de courrier électronique, les sites web et les applications, les applications mobiles pour iOS et Android et les infrastructures externes et internes.
QUELLES SONT LES TROIS VULNÉRABILITÉS LES PLUS COURANTES QUE L'ON TROUVE DANS LES PLATES-FORMES DE JEUX D’ARGENT EN LIGNE?
Après avoir évalué et testé de nombreuses plates-formes de jeux d’argent et sites web générateurs de trafic, je peux affirmer sans aucun doute que nous faisons face à des vulnérabilités allant de simples écarts par rapport aux bonnes pratiques telles que le "recensement des noms d'utilisateur", les "Verbose Errors" et le "Clickjacking" et pouvant aller jusqu'au "Contrôles d’accès frauduleux".
Nous constatons une tendance commune selon laquelle les casinos en ligne, les sites affiliés et/ou les sportsbooks "sacrifient" la sécurité pour améliorer l'expérience de l'utilisateur.
Broken Access controls is a common occurrenceAuthorisation is the part of the web or mobile application that decides who has permission to access what. Broken Access Controls lead to issues in the authorisation area of the web or mobile application. This can lead to:
• Cross-account leakage and/or manipulation of data
• Elevation of privilege (both horizontal and vertical)
• Insecure Direct Object References
Another common issue we frequently encounter is the utilisation of open source and/or ready-made components with known vulnerabilities. iGaming platforms can end up being very component-heavy and constantly keeping all dependencies (and their dependencies) up-to-date can be quite challenging. This complexity more often than not leads to unpatched systems.
TO FINISH OFF … WHERE DO YOU SEE IGAMINGSECURITY IN 3 - 5 YEARS?
Our aim is to always strive to be on the forefront of cybersecurity. I am confident that with the services we provide we will always be one of the leading players in the iGaming cybersecurity sphere in the years to come; building boundary walls around clients and their digital assets.
Les contrôles d'accès frauduleux sont monnaie courante. L'autorisation est la partie de l'application web ou mobile qui décide qui a le droit d'accéder à quoi. Les contrôles d'accès frauduleux entraînent des problèmes dans le domaine de l'autorisation de l'application web ou mobile. Cela peut conduire à :
• Fuite et/ou manipulation de données entre comptes
• Élévation des privilèges (à la fois horizontale et verticale)
• Références Directes à un Objet non Sécurisé
Un autre problème que nous rencontrons fréquemment est l'utilisation de composants open source et/ou prêts à l'emploi présentant des vulnérabilités connues. Les plateformes de jeux d’argent peuvent finir par être très lourdes en composants et il peut être assez difficile de maintenir constamment à jour toutes les dépendances (et leurs dépendances). Cette complexité conduit le plus souvent à des systèmes non patchés.
POUR TERMINER, OÙ VOYEZ-VOUS IGAMINGSECURITY DANS 3
À 5 ANS?
Notre objectif est de toujours nous efforcer d'être à la pointe de la cybersécurité. Je suis convaincu qu'avec les services que nous fournissons, nous serons toujours l'un des principaux acteurs de la cybersécurité des jeux d'argent en ligne dans les années à venir, en construisant une “zone de protection” autour des clients et de leurs actifs numériques.
