2017年無(wú)疑是金融機(jī)構(gòu)所面臨的網(wǎng)絡(luò)威脅世界發(fā)生重大變化的一年，惡意攻擊者隊(duì)伍不斷壯大及其攻擊方式的多樣性，給2018年的金融行業(yè)帶來(lái)哪些考驗(yàn)與啟示?

一、回顧2017年那些“大事件”

2017年度，全球十余個(gè)國(guó)家的多家銀行機(jī)構(gòu)使用的SWIFT(銀行結(jié)算系統(tǒng))陸續(xù)遭到網(wǎng)絡(luò)攻擊，此類系統(tǒng)正是全球金融生態(tài)系統(tǒng)的基礎(chǔ)。攻擊者能夠利用金融機(jī)構(gòu)內(nèi)部的惡意軟件操縱處理跨境交易的應(yīng)用程序，之后可在全球任意金融機(jī)構(gòu)處提取資金。

其次，2017年網(wǎng)絡(luò)犯罪分子一直試圖滲透金融機(jī)構(gòu)，且惡意活動(dòng)顯著擴(kuò)張。不同的網(wǎng)絡(luò)犯罪組織正大量入侵銀行基礎(chǔ)設(shè)施、電子貨幣系統(tǒng)、加密貨幣交易所、資本管理基金甚至是賭場(chǎng)，并希望借此獲取數(shù)額可觀的資金。

1. 攻擊者越來(lái)越青睞ATM

為了實(shí)施上述網(wǎng)絡(luò)犯罪活動(dòng)，攻擊者們傾向于采用成熟的貨幣化網(wǎng)絡(luò)入侵手段。除了攻擊SWIFT(銀行結(jié)算系統(tǒng))之外，網(wǎng)絡(luò)犯罪分子們還一直在積極利用ATM感染(包括金融機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)中的ATM設(shè)備)，遠(yuǎn)程銀行系統(tǒng)、PoS終端網(wǎng)絡(luò)以及變更銀行數(shù)據(jù)庫(kù)內(nèi)余額數(shù)據(jù)等方法。

[[213919]]

2. 劫持銀行域名干擾銀行客戶操作

網(wǎng)絡(luò)犯罪分子逐漸熱衷于使用劫持銀行域名的方式對(duì)銀行客戶的電子業(yè)務(wù)進(jìn)行攔截。通過這種方式，客戶無(wú)法訪問銀行的系統(tǒng)，而是被重新定向至入侵者創(chuàng)建的虛假系統(tǒng)。犯罪分子能夠在數(shù)小時(shí)內(nèi)陸續(xù)完成釣魚攻擊，安裝惡意代碼、并干擾在線網(wǎng)銀客戶等操作。

在某些國(guó)家，銀行機(jī)構(gòu)對(duì)于物理安全的重視程度持續(xù)走低，這也是導(dǎo)致金融資產(chǎn)易遭受各類攻擊的原因之一。具體來(lái)講，由于攻擊者能夠輕松訪問相關(guān)設(shè)備的電纜線路，并接入小型Raspberry Pi設(shè)備，數(shù)個(gè)月之后這些小裝置將能夠收集到大量與銀行網(wǎng)絡(luò)相關(guān)的信息，并通過LTE連接將截獲的數(shù)據(jù)發(fā)送至入侵者的服務(wù)器端。

二、2018年預(yù)測(cè)

1. 通過金融系統(tǒng)的底層區(qū)塊鏈技術(shù)實(shí)施攻擊

全球范圍內(nèi)幾乎所有大型金融機(jī)構(gòu)都在積極投資構(gòu)建基于區(qū)塊鏈技術(shù)的系統(tǒng)。任何新興技術(shù)都擁有顯著的優(yōu)點(diǎn)，但也會(huì)帶來(lái)某些新的風(fēng)險(xiǎn)。基于區(qū)塊鏈技術(shù)的金融系統(tǒng)并非完美，事實(shí)上區(qū)塊鏈體系中的漏洞與錯(cuò)誤很可能給攻擊者帶來(lái)可乘之機(jī)，甚至破壞金融機(jī)構(gòu)的工作成果。舉例來(lái)說(shuō)，2016年到2017年之間，智能合約中就被發(fā)現(xiàn)存在一系列漏洞與錯(cuò)誤，并影響到以此為基礎(chǔ)建立的部分金融服務(wù)。

[[213920]]

2.  金融領(lǐng)域?qū)⒊霈F(xiàn)更多供應(yīng)鏈攻擊

大型金融機(jī)構(gòu)在網(wǎng)絡(luò)安全方面投入了大量資源，因此對(duì)基礎(chǔ)設(shè)施進(jìn)行滲透絕非易事。然而，未來(lái)一年內(nèi)，網(wǎng)絡(luò)犯罪分子可能會(huì)積極利用威脅向量對(duì)“為金融機(jī)構(gòu)提供軟件”的廠商發(fā)動(dòng)攻擊。與金融機(jī)構(gòu)本身相比，這些軟件供應(yīng)商的自我保護(hù)能力大多相對(duì)較低。去年，此類攻擊就讓NetSarang、CCleaner以及MeDoc等成為受害者，攻擊者對(duì)各類軟件的更新補(bǔ)丁進(jìn)行了替換或篡改。

在接下來(lái)的一年中，網(wǎng)絡(luò)犯罪分子還將針對(duì)金融機(jī)構(gòu)專用軟件(ATM與PoS終端軟件)發(fā)動(dòng)更多攻擊。幾個(gè)月前，首例此類攻擊嘗試被發(fā)現(xiàn)——攻擊者將一個(gè)惡意模塊嵌入至固件安裝文件，并將其放置在美國(guó)某ATM軟件供應(yīng)商的官方網(wǎng)站上。

3. 入侵并篡改大眾傳媒，獲取經(jīng)濟(jì)回報(bào)

2017年被稱為“假新聞”年。攻擊者入侵并篡改Twitter帳戶、Facebook頁(yè)面、Telegram等大眾傳媒操縱輿論，甚至靠說(shuō)謊賺錢，通過股票/加密貨幣交易獲取經(jīng)濟(jì)回報(bào)。

盡管證券交易大部分由負(fù)責(zé)操縱源數(shù)據(jù)的機(jī)器人進(jìn)行，且此類數(shù)據(jù)僅被單純用于執(zhí)行某些交易操作，但它有能力引發(fā)貨物、金融工具以及加密貨幣在價(jià)格層面的巨大變化。事實(shí)上，名人發(fā)布的一條推文或者是社交網(wǎng)絡(luò)上由大量假帳號(hào)放出的一波消息都有可能左右市場(chǎng)行情。相信入侵者們肯定會(huì)采取這樣的方法。如此一來(lái)，安全專家?guī)缀醪豢赡軓膮⑴c攻擊的帳戶中找到誰(shuí)才是實(shí)際受益者。

[[213921]]

4. ATM惡意軟件自動(dòng)化

首例面向ATM設(shè)備的惡意軟件始于2009年，那之后，此類設(shè)備一直受到網(wǎng)絡(luò)詐騙分子的高度關(guān)注，而相關(guān)攻擊手段也一直不斷演變。這類行為在2017年變得極為受歡迎，甚至出現(xiàn)了首個(gè)針對(duì)ATM的MaaS(惡意軟件即服務(wù))：

網(wǎng)絡(luò)犯罪分子在地下論壇可提供一切必要的惡意程序與視頻教程; 而購(gòu)買者只需要選擇目標(biāo)ATM設(shè)備，按照說(shuō)明進(jìn)行操作，向網(wǎng)絡(luò)犯罪分子付費(fèi)以激活A(yù)TM上的惡意程序，而后即可開始取款。此類服務(wù)的出現(xiàn)大大增加了網(wǎng)絡(luò)犯罪分子的數(shù)量，甚至使得非技術(shù)專業(yè)人士也能夠?qū)嵤┚W(wǎng)絡(luò)犯罪。

ATM MaaS的出現(xiàn)意味著這類攻擊將逐步實(shí)現(xiàn)全面自動(dòng)化——微型計(jì)算機(jī)將自動(dòng)接入自動(dòng)取款機(jī)，進(jìn)而實(shí)施惡意軟件安裝及吐鈔操作——或者收集卡內(nèi)數(shù)據(jù)。這將大大縮短入侵者實(shí)施犯罪所需要的時(shí)間。

5. 更多攻擊指向加密貨幣交易平臺(tái)

過去一年中，加密貨幣吸引到大量投資者，這又反過來(lái)推動(dòng)各類虛擬幣與代幣交易呈現(xiàn)出蓬勃發(fā)展的態(tài)勢(shì)。不過擁有強(qiáng)大網(wǎng)絡(luò)安全保障能力的傳統(tǒng)金融機(jī)構(gòu)，卻并未急于殺入這一領(lǐng)域。

這種狀況為攻擊者們破壞加密貨幣交易流程帶來(lái)了理想的機(jī)會(huì)。一方面，新興企業(yè)很難正確測(cè)試其安全系統(tǒng)。另一方面，從技術(shù)角度講，整體加密貨幣交易業(yè)務(wù)建立在眾所周知的原則與技術(shù)基礎(chǔ)之上。因此，攻擊者很清楚而且能夠輕松獲取到足以滲透至加密貨幣服務(wù)站點(diǎn)的必要工具。

6. 隨著前一年大量數(shù)據(jù)泄露事故的出現(xiàn)，2018年傳統(tǒng)銀行卡欺詐活動(dòng)將迅速增加

2017年發(fā)生了一系列數(shù)據(jù)泄露事件——包括最近剛剛發(fā)生的、導(dǎo)致超過1.4億美國(guó)民眾數(shù)據(jù)泄露的Equifax案，以及造成5700萬(wàn)客戶數(shù)據(jù)曝光的Uber案——這些都表現(xiàn)出傳統(tǒng)銀行業(yè)在安全方面的不足，因?yàn)樾孤抖际腔趯?duì)當(dāng)前或潛在客戶的數(shù)據(jù)分析。

舉例來(lái)說(shuō)，攻擊者可以利用其中包含的受害者個(gè)人信息偽造銀行客戶身份，從而要求銀行提供資金轉(zhuǎn)移或者安全信息提示。正因?yàn)槿绱耍?018年很可能迎來(lái)新一波傳統(tǒng)欺詐活動(dòng)高峰，而各企業(yè)多年來(lái)收集(但未加以妥善保護(hù))的客戶大數(shù)據(jù)將幫助攻擊者順利完成其欺詐活動(dòng)。

7. 更多民族國(guó)家支持型攻擊將降臨至金融機(jī)構(gòu)頭上

臭名昭著的拉扎魯斯集團(tuán)，其后可能有朝鮮支持，它近年來(lái)先后對(duì)世界范圍內(nèi)多家銀行施以攻擊——包括位于南美洲、歐洲、亞洲以及大洋洲的銀行機(jī)構(gòu)。其主要目標(biāo)在于竊取大筆資金，總金額已達(dá)數(shù)億美元。此外，由“影子經(jīng)紀(jì)人”方面發(fā)布的數(shù)據(jù)顯示，經(jīng)驗(yàn)豐富的國(guó)家支持型APT組織也在將矛頭指向金融機(jī)構(gòu)，以便進(jìn)一步把握資金的流向。明年很可能會(huì)有更多剛剛加入網(wǎng)絡(luò)間諜“競(jìng)賽”的國(guó)家要求其APT組織同樣以金融機(jī)構(gòu)攻擊作為起點(diǎn)——既能賺錢又可獲取客戶信息、了解資金流向及金融機(jī)構(gòu)內(nèi)部程序，何樂而不為?

8. 金融科技登場(chǎng)與純移動(dòng)端用戶

傳統(tǒng)PC端網(wǎng)上銀行木馬的數(shù)量有所下降; 新興移動(dòng)端銀行用戶將成為犯罪分子的首選攻擊目標(biāo)。

數(shù)字銀行將繼續(xù)在全球范圍內(nèi)，特別是在新興市場(chǎng)當(dāng)中徹底顛覆原有金融行業(yè)。以巴西與墨西哥為例，此類銀行服務(wù)正快速發(fā)展，這當(dāng)然引起了網(wǎng)絡(luò)犯罪分子的關(guān)注。網(wǎng)絡(luò)犯罪分子將越來(lái)越多地襲擊此類銀行及其客戶。此類金融機(jī)構(gòu)的特點(diǎn)在于，其完全不具備分支機(jī)構(gòu)以及傳統(tǒng)的客戶服務(wù)體系。銀行與客戶之間的所有溝通實(shí)際上都是通過移動(dòng)應(yīng)用進(jìn)行的。這可能引發(fā)以下幾種后果：

首先是Windows木馬數(shù)量的減少，這意味著攻擊者不再以傳統(tǒng)網(wǎng)上銀行作為資金竊取的首選目標(biāo)。

其次，數(shù)字金融機(jī)構(gòu)數(shù)量的持續(xù)增加將給網(wǎng)絡(luò)犯罪分子帶來(lái)更多可作為目標(biāo)的用戶群體——特別是其中并不具備移動(dòng)銀行業(yè)務(wù)使用經(jīng)驗(yàn)，但卻在移動(dòng)設(shè)備上安裝有銀行應(yīng)用的用戶。這些人很可能成為Svpeng等社交工程類惡意軟件的主要攻擊對(duì)象。而且說(shuō)服客戶通過移動(dòng)應(yīng)用進(jìn)行轉(zhuǎn)賬，要比強(qiáng)迫其前往實(shí)體銀行執(zhí)行轉(zhuǎn)賬操作容易得多。

三、危害與方案

在過去幾年中，針對(duì)金融機(jī)構(gòu)的攻擊活動(dòng)在數(shù)量與質(zhì)量層面皆在不斷提升。更具體地講，這些攻擊專門針對(duì)金融機(jī)構(gòu)的基礎(chǔ)設(shè)施及其員工，而非以其客戶為目標(biāo)。

尚未將網(wǎng)絡(luò)安全納入考量的各金融機(jī)構(gòu)也將很快看到黑客攻擊的后果，而這些后果將對(duì)其業(yè)務(wù)造成嚴(yán)重的負(fù)面影響，甚至導(dǎo)致業(yè)務(wù)完全停滯以及大額經(jīng)濟(jì)損失。

為了防止此類情況的發(fā)生，各金融機(jī)構(gòu)有必要不斷調(diào)整自身安全系統(tǒng)，從而適應(yīng)新的威脅與挑戰(zhàn)。而這一切的基礎(chǔ)，無(wú)疑在于對(duì)最重要且關(guān)聯(lián)性最強(qiáng)的網(wǎng)絡(luò)攻擊數(shù)據(jù)與信息作出分析——否則保護(hù)工作將無(wú)從談起。

要做到有效防范，不但要選擇正確的安全方案，還應(yīng)采用專門的攻擊情報(bào)報(bào)告機(jī)制，因?yàn)榇祟惽閳?bào)中包含有可立刻部署至整個(gè)保護(hù)系統(tǒng)中的信息。舉例來(lái)說(shuō)，在未來(lái)幾個(gè)月中，采用YARA規(guī)則與IOC(即違規(guī)指標(biāo))將成為金融機(jī)構(gòu)必須重視的一大關(guān)鍵性任務(wù)。