別說(shuō)我沒(méi)提醒各位啊!就在這個(gè)月月初，美國(guó)聯(lián)邦調(diào)查局當(dāng)時(shí)還專門給全球各大銀行發(fā)布了一條警告，大致內(nèi)容是“網(wǎng)絡(luò)犯罪分子正在計(jì)劃對(duì)全球范圍內(nèi)的ATM機(jī)進(jìn)行一次大規(guī)模網(wǎng)絡(luò)攻擊”。就在三天之后，印度銀行的ATM服務(wù)器上就出現(xiàn)了惡意軟件，在此次攻擊中，攻擊者成功從該銀行遍布全球的ATM機(jī)中非法提現(xiàn)了數(shù)百萬(wàn)美元。這件事情絕對(duì)需要引起各行各業(yè)的注意，因?yàn)楫?dāng)這樣的事情即將發(fā)生在自己身上時(shí)，其實(shí)我們是沒(méi)有多少時(shí)間去做準(zhǔn)備的。這就好比你收到警報(bào)稱“龍卷風(fēng)還有30分鐘“抵達(dá)戰(zhàn)場(chǎng)”，這個(gè)時(shí)候你再去存儲(chǔ)糧食和水，然后加固房屋的話，一切都太晚了。

這也是我寫這篇文章的原因，因?yàn)樵诠粽嬲l(fā)生之前，我們需要有一套完整的機(jī)制來(lái)處理網(wǎng)絡(luò)攻擊或數(shù)字欺詐。雖然我們無(wú)法完全阻止網(wǎng)絡(luò)犯罪事件的發(fā)生，但是我們可以增加自己在網(wǎng)絡(luò)安全事件中的“存活幾率”，并降低事件所帶來(lái)的影響。我們無(wú)法預(yù)知接下來(lái)將要發(fā)生的網(wǎng)絡(luò)攻擊類型(雖然針對(duì)印度銀行ATM機(jī)的攻擊早在2013年-2017年就已經(jīng)發(fā)生過(guò)了，即臭名昭著的Carbanak和Cobalt惡意軟件攻擊)，但無(wú)論網(wǎng)絡(luò)攻擊如何進(jìn)化和發(fā)展，我們總有辦法去降低這些攻擊所帶來(lái)的影響。

下面是我們提供給廣大金融機(jī)構(gòu)和客戶的十種防范措施(建議)

[[242863]]

一、從多個(gè)角度評(píng)價(jià)當(dāng)前的防攻擊/欺詐策略

從目前的網(wǎng)絡(luò)技術(shù)發(fā)展?fàn)顩r來(lái)看，有效的防攻擊/欺詐策略必須要擴(kuò)展至組織的所有線上及線下渠道，對(duì)于金融機(jī)構(gòu)來(lái)說(shuō)，還包括無(wú)卡支付、電話幫助中心、ATM、移動(dòng)端環(huán)境和云環(huán)境。之所以要覆蓋所有渠道，是因?yàn)槿绻M織的整個(gè)運(yùn)營(yíng)機(jī)制的某個(gè)環(huán)節(jié)出現(xiàn)了問(wèn)題，那么攻擊者就能夠利用其中一個(gè)渠道來(lái)攻擊整個(gè)系統(tǒng)中的其他部分，并導(dǎo)致更嚴(yán)重的事情發(fā)生。這也就是我們?yōu)槭裁葱枰渴鹨粋€(gè)能夠覆蓋組織全渠道的防攻擊/欺詐策略了，這一點(diǎn)非常關(guān)鍵，任何一個(gè)環(huán)節(jié)的疏漏都將導(dǎo)致你“全盤皆輸”。

二、監(jiān)控!監(jiān)控!監(jiān)控!

重要的事情說(shuō)三遍，在之前的ATM攻擊事件中，美國(guó)聯(lián)邦調(diào)查局一直強(qiáng)調(diào)銀行需要對(duì)ATM的所有相關(guān)活動(dòng)進(jìn)行監(jiān)控，但我們認(rèn)為組織需要把監(jiān)控對(duì)象的范圍擴(kuò)大化，即監(jiān)控組織內(nèi)所有的數(shù)字渠道，拿ATM機(jī)攻擊事件來(lái)舉個(gè)例子，各大金融機(jī)構(gòu)和組織應(yīng)該持續(xù)監(jiān)控的東西有：

• 遠(yuǎn)程網(wǎng)絡(luò)協(xié)議以及管理員工具的使用情況，因?yàn)樵诰W(wǎng)絡(luò)犯罪活動(dòng)中，攻擊者往往需要使用這些工具來(lái)入侵/訪問(wèn)組織的網(wǎng)絡(luò)系統(tǒng)。
• 通過(guò)非標(biāo)準(zhǔn)端口傳輸?shù)募用芫W(wǎng)絡(luò)通信數(shù)據(jù)。
• 原本不應(yīng)該向外傳輸?shù)木W(wǎng)絡(luò)通信數(shù)據(jù)。

三、在第一時(shí)間收到事件通知

確保組織的安全管理人員能夠在第一時(shí)間收到：

• 潛在的欺詐行為指標(biāo)，例如不正常的取款交易等等，這個(gè)可以通過(guò)ATM系統(tǒng)中的網(wǎng)絡(luò)請(qǐng)求處理頻率的變化來(lái)判斷。
• 金融機(jī)構(gòu)的ATM對(duì)其他發(fā)卡行的取款限制是否發(fā)生變化。
• 網(wǎng)絡(luò)通信數(shù)據(jù)中的威脅指標(biāo)，包括已知的安全威脅情報(bào)。

四、禁用ATM的PIN碼修改功能

建議各大金融機(jī)構(gòu)禁用ATM的PIN碼修改功能，監(jiān)控電話服務(wù)中心的PIN碼修改請(qǐng)求，以及其他非金融事件的修改請(qǐng)求，例如客戶手機(jī)號(hào)碼和家庭住址等信息的修改。

五、更新ATM的操作系統(tǒng)

從技術(shù)角度出發(fā)，在2020年Windows 7徹底“掛掉”之前，銀行是不需要將ATM機(jī)的操作系統(tǒng)更新至Windows 10的。但是等到“最后一刻”才更新系統(tǒng)的這種行為會(huì)放大整個(gè)系統(tǒng)所面臨的安全風(fēng)險(xiǎn)，因?yàn)榇藭r(shí)的系統(tǒng)中可能存在著各種各樣已過(guò)期的軟件，而這些軟件會(huì)給攻擊者提供可乘之機(jī)。由于缺乏定期的安全更新補(bǔ)丁，以及運(yùn)行大量不受服務(wù)支持的軟件，ATM機(jī)將無(wú)法有效抵御新型惡意軟件的攻擊。

六、針對(duì)芯片卡交易部署EMV終端

在ATM取款欺詐活動(dòng)中，攻擊者首先需要盜竊目標(biāo)用戶的支付卡數(shù)據(jù)，然后將數(shù)據(jù)復(fù)制到其他的芯片卡上，并用偽造的支付卡進(jìn)行違規(guī)取款，但是克隆一張芯片卡，還是比較困難的。ATM行業(yè)協(xié)會(huì)將EMV技術(shù)稱為了行業(yè)內(nèi)針對(duì)偽造卡片的主要保護(hù)手段。

[[242864]]

從客戶的角度出發(fā)，金融機(jī)構(gòu)應(yīng)該鼓勵(lì)廣大用戶去做以下幾件事：

七、申請(qǐng)交易提醒

當(dāng)客戶的支付卡進(jìn)行了交易之后，用戶應(yīng)該立即收到交易提醒。

八、定期查看卡片的日提款限額

定期查看卡片的日提款限額，以便在第一時(shí)間發(fā)現(xiàn)異常。

九、檢查在線賬號(hào)

定期檢查在線賬號(hào)的交易情況，及時(shí)上報(bào)可疑的交易活動(dòng)。

十、定期修改密碼

定期修改支付卡和在線賬號(hào)的密碼，將卡片遺失的損失降到最低。

后話

請(qǐng)大家記住，金融欺詐這個(gè)生態(tài)系統(tǒng)的規(guī)模每天都在壯大，復(fù)雜性也在不斷增加。無(wú)論下一輪大規(guī)模的網(wǎng)絡(luò)攻擊活動(dòng)何時(shí)到來(lái)，我們都應(yīng)該隨時(shí)準(zhǔn)備著，而這種努力不僅是機(jī)構(gòu)和組織需要付出的，廣大用戶同樣需要付出。