如果你曾經(jīng)玩過育碧出品的《看門狗》系列，那么對于黑客主角團按下手機就可以直接讓ATM吐錢的場景一定不會陌生。當(dāng)然，這樣的場景大概率不會在現(xiàn)實中發(fā)生，但對于金融服務(wù)行業(yè)來講，安全危機始終存在。誠然，新冠疫情為金融企業(yè)數(shù)字化改革進程按下了加速鍵，但在互聯(lián)網(wǎng)流量的激增的同時，互聯(lián)網(wǎng)上攻擊流量也在同步激增，金融行業(yè)尤為顯著，這使得金融行業(yè)在網(wǎng)絡(luò)和應(yīng)用安全問題上的重視和投入日漸提高。

[[400572]]

作為一家大規(guī)模智能邊緣平臺和云安全廠商，阿卡邁技術(shù)公司(Akamai)與威脅情報公司W(wǎng)MC Global針對全球以及金融服務(wù)行業(yè)特定的Web應(yīng)用程序和撞庫攻擊流量進行了分析，并于今天發(fā)布了《互聯(lián)網(wǎng)安全狀況報告：針對金融行業(yè)的網(wǎng)絡(luò)釣魚》，揭示了從2019年到2020年攻擊面同比顯著增加的趨勢。

LFI攻擊占比超SQL注入，DDoS仍居高不下

作為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)之一，吸金能力強、利潤大的金融行業(yè)多年來一直都很受到網(wǎng)絡(luò)攻擊黑產(chǎn)團伙的“照顧”，各種各樣難以防御的網(wǎng)絡(luò)攻擊，使得在線金融服務(wù)、支付系統(tǒng)、大型銀行和POS終端等金融機構(gòu)的業(yè)務(wù)被嚴(yán)重損害，Akamai在過去一年里共監(jiān)測到63億次Web應(yīng)用程序攻擊，其中超過7.36億次針對的是金融服務(wù)行業(yè)，增幅達到了62%。

Akamai在2020年監(jiān)測到的網(wǎng)絡(luò)攻擊多達63億次

在這其中，本地文件包含(LFI)攻擊占比高達52%，是排名第一的應(yīng)用程序攻擊類型，這說明犯罪分子仍然將API和應(yīng)用程序作為首選的攻擊對象。而SQL注入(SQLi)緊隨其后，占比達到了33%。LFI攻擊利用了在服務(wù)器上運行的各種腳本，因此這類攻擊可用于強制泄露敏感信息。LFI攻擊還可用于在客戶端執(zhí)行命令(比如容易受到攻擊的JavaScript文件)，這可能導(dǎo)致跨站點腳本攻擊(XSS)和拒絕服務(wù)(DoS)攻擊。XSS是針對金融服務(wù)的第三大常見攻擊類型，占觀察到的攻擊流量的9%。

LFI攻擊超越了SQL注入，成為針對金融行業(yè)的最常見攻擊類型

作為傳統(tǒng)攻擊方式的DDoS，近年來則以更多、更復(fù)雜的形式呈現(xiàn)出來。具體而言，單次攻擊的帶寬越來越高，攻擊的PPS值(每秒數(shù)據(jù)包)也越來越高。超大帶寬峰值流量的DDoS攻擊對于任何一家企業(yè)來講，都是很大的挑戰(zhàn)，金融服務(wù)業(yè)也是如此，根據(jù)Akamai的分析，過去三年間，針對金融服務(wù)行業(yè)的DDoS攻擊增加了93%，這表明系統(tǒng)破壞仍然是犯罪分子的目的，因此黑客往往會攻擊日常業(yè)務(wù)所需的服務(wù)和應(yīng)用程序。

過去三年DDoS攻擊量持續(xù)增長

如今，黑產(chǎn)已經(jīng)形成了規(guī)?；倪\營狀態(tài)。黑產(chǎn)中“攻擊即服務(wù)”概念興起，黑客基于行業(yè)排名逐個搜尋攻擊目標(biāo)，有計劃地開展、有計劃地滲透、有計劃地發(fā)動攻擊、有計劃地勒索。尤其是針對金融行業(yè)。一開始，黑客組織會發(fā)出威脅性的電子郵件，警告如果公司不支付比特幣，則將對公司發(fā)起網(wǎng)絡(luò)攻擊，例如DDoS，這些郵件會明確受害者機構(gòu)內(nèi)的目標(biāo)資產(chǎn)并承諾會進行一次小的“測試”攻擊來證明情況的嚴(yán)重性。

撞庫攻擊持續(xù)顯著增加，網(wǎng)絡(luò)釣魚成關(guān)鍵推手

去年一整年，針對Facebook等大型企業(yè)的撞庫攻擊在不斷上升，黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應(yīng)的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶。Akamai的報告顯示，去年有超過1930億次的撞庫攻擊，其中多達34億次針對的是金融服務(wù)機構(gòu)，同比增長超過45%。

金融服務(wù)業(yè)在2020年每天都要經(jīng)歷千萬級別的撞庫攻擊

這并不難理解，去年前兩個季度，在全球范圍內(nèi)發(fā)生了多次大規(guī)模的數(shù)據(jù)泄露事件，例如Zoom的數(shù)據(jù)泄露事件，這造成了眾多數(shù)據(jù)開始在暗網(wǎng)傳播，一旦被黑客收集到，他們就會在包括金融機構(gòu)在內(nèi)的企業(yè)進行撞庫攻擊，作為最初始的安全保障，密碼一直都是安全鏈中的薄弱環(huán)節(jié)，而犯罪分子會毫不猶豫地利用這點、

而撞庫攻擊數(shù)量的持續(xù)顯著增加，則與金融服務(wù)行業(yè)的網(wǎng)絡(luò)釣魚狀況有直接的關(guān)系。Akamai安全研究員兼《互聯(lián)網(wǎng)安全狀況報告》作者Steve Ragan認為，“犯罪分子會使用各種方法來擴充其收集到的登錄憑據(jù)，而網(wǎng)絡(luò)釣魚則是他們攻擊手段中的關(guān)鍵工具之一。通過以該行業(yè)中的銀行客戶和員工為目標(biāo)，犯罪分子令其潛在受害者的數(shù)量以指數(shù)方式增加。”

網(wǎng)絡(luò)金融釣魚是金融機構(gòu)面臨的巨大威脅之一，攻擊者一般通過發(fā)送大量貌似可信銀行的詐騙郵件，誘導(dǎo)用戶輸入個人資料、賬戶敏感信息，以及銀行的交易和轉(zhuǎn)賬數(shù)據(jù)。一旦釣魚詐騙者獲取這些重要數(shù)據(jù)，就會入侵用戶賬戶并非法轉(zhuǎn)移用戶金融資產(chǎn)。今年2月份，硅谷頂級風(fēng)險投資公司紅杉資本就遭遇了釣魚郵件攻擊，造成的損失不可估量。

雖然企業(yè)也在使用多因素認證(MFA)和雙因素認證(2FA)以增強基本密碼的安全性，但近年來的網(wǎng)絡(luò)釣魚手段也開始針對MFA和2FA，受害者在被誘導(dǎo)之后，會在談話過程中泄露一次性密碼(OTP)，使得攻擊者繞過密碼的安全保護。

更麻煩的是，網(wǎng)絡(luò)釣魚現(xiàn)如今已發(fā)展成為一種服務(wù)，高級的黑客會創(chuàng)建復(fù)雜的釣魚工具包，并配備完整的后端操作支持和功能，并將其出售給技術(shù)較低的罪犯。本次由Akamai與WMCGlobal共同發(fā)布的報告就研究了兩種特定的網(wǎng)絡(luò)釣魚工具包“Kr3pto”和“Ex-Robotos”。其中Kr3pto針對的是11家英國銀行，而Ex-Robotos則將其詐騙目標(biāo)對準(zhǔn)了企業(yè)員工。

Kr3pto網(wǎng)絡(luò)釣魚工具包以短信方式向金融機構(gòu)及其客戶發(fā)起攻擊。自2020年5月以來，共計在英國總計欺詐了11家銀行，涉及8000多個域名。在2021年第一季度超過31天的時間里，WMCGlobal追蹤到了與Kr3pto短信發(fā)送目標(biāo)受害者有關(guān)的4000多起活動。

Kr3pto的目標(biāo)就是受害者的用戶名和密碼，該工具包首先會發(fā)送釣魚郵件，一旦受害者進入登錄頁面，釣魚攻擊就開始了，同時獲取受害者使用的OTP，例如安全問題和答案，以及基于短信的PIN，工具包可以動態(tài)適應(yīng)受害者在銀行的登錄體驗，進而迷惑受害者。

Kr3pto的釣魚頁面

在企業(yè)撞庫網(wǎng)絡(luò)釣魚方面，Ex-Robotos則提供了一個基準(zhǔn)，根據(jù)Akamai智能邊緣平臺(Akamai Intelligent Edge Platform)的數(shù)據(jù)，43天內(nèi)用于Ex-Robotos的APIIP地址的點擊量超過22萬次。事實上，在2021年1月31日至2月5日間，該地址的峰值流量達到了平均每天數(shù)萬次。

Ex-Robotos包括兩種釣魚方式，一種是語音郵件，另一種則集中在受保護文檔上。但都遵循同樣的運行程序，大多數(shù)受害者是企業(yè)用戶，而他們的郵件則可能在更早之前已被犯罪分子獲取，并成為攻擊目標(biāo)。一旦受害者的密碼被收集，Ex-Robotos就會通過電子郵件發(fā)送這些密碼，并為犯罪分子的撞庫攻擊提供數(shù)據(jù)。

顯示數(shù)據(jù)收集功能的Ex-Robotos代碼

Kr3pto和Ex-Robotos在全球范圍內(nèi)都被犯罪分子廣泛使用，一旦犯罪分子獲得了憑證，就可以進行更多的攻擊，這意味著金融機構(gòu)及其他企業(yè)需要采用更強大的2FA/MFA替代品保護自己的密碼安全。

WMC Global高級威脅狩獵師Jake Sloane表示：“像Kr3pto和Ex-Robotos這樣的工具包只是當(dāng)今威脅企業(yè)和消費者的眾多工具包中的兩種而已。請記住，員工也是消費者，隨著居家辦公的普及以及企業(yè)環(huán)境中移動設(shè)備的使用，犯罪分子會毫不掩飾地攻擊這些人員——無論他們身在何處，所以近期短信形式的網(wǎng)絡(luò)釣魚攻擊數(shù)量激增也就很好解釋了。”

數(shù)字時代，保護資產(chǎn)安全至關(guān)重要

頻發(fā)的網(wǎng)絡(luò)安全案件，給企業(yè)的信息安全建設(shè)敲響了警鐘。一旦遭遇網(wǎng)絡(luò)安全事故，企業(yè)的資產(chǎn)、業(yè)務(wù)和聲譽都將蒙受巨大損失，甚至?xí)訐u自身的生存根基。那么，企業(yè)如何在享受信息技術(shù)紅利的同時，抵御越來越致命的網(wǎng)絡(luò)安全風(fēng)險?

相比“應(yīng)對”威脅，“提前感知”威脅，顯然是提升安全防護效率、降低安全風(fēng)險最經(jīng)濟的方式。因此，威脅情報的安全投入對于企業(yè)占據(jù)攻防先機至關(guān)重要，也是企業(yè)在安全左移趨勢下做好安全前置的有效途徑。

另一方面，以“持續(xù)驗證，永不信任”為核心的零信任，無論是從安全高配，還是在降本增效方面，都是遠程業(yè)務(wù)常態(tài)化過程中企業(yè)進行安全建設(shè)的高性價比價值點。即使企業(yè)存在被攻陷的風(fēng)險，在多維身份認證、最小權(quán)限動態(tài)訪問控制以及可變信任管理等策略的保護下，也可以提供持續(xù)的安全防護。