?[[393712]]?

2020年對安全行業(yè)而言是充滿挑戰(zhàn)的一年，由于新冠疫情的蔓延，網(wǎng)絡(luò)犯罪分子越來越多地將特定類別的用戶和企業(yè)作為攻擊目標(biāo)，尤其是像可能從中獲取巨大收益的金融相關(guān)產(chǎn)業(yè)。2020年對金融產(chǎn)業(yè)來說也是多事之秋，除了要應(yīng)對如Lazarus之類的老牌金融犯罪組織外，還要應(yīng)對一些通常不以金融機(jī)構(gòu)為目標(biāo)的APT組織的轉(zhuǎn)型。此外，一些僅在部分區(qū)域活動的攻擊者也開始把視野投向全球，比如常年活躍在巴西及拉丁美洲的銀行惡意軟件家族Guildma，Javali，Melcoz和Grandoreiro(統(tǒng)稱為Tétrade)在去年也將業(yè)務(wù)拓展到其他大洲。同時(shí)，在過去造成巨大破壞的惡意軟件也時(shí)常死灰復(fù)燃，被國際刑警組織描述為“世界上最危險(xiǎn)惡意軟件”的Emotet在2020年使用量激增，直到今年年初，在全世界的執(zhí)法機(jī)構(gòu)對Emotet僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施破壞下，其業(yè)務(wù)活動才至少受挫幾個月。

2020年，雖然越來越復(fù)雜的網(wǎng)絡(luò)攻擊事件頻頻出現(xiàn)，但整體統(tǒng)計(jì)數(shù)據(jù)還是樂觀的：受計(jì)算機(jī)和移動端惡意軟件攻擊的用戶數(shù)量整體下降了，網(wǎng)絡(luò)釣魚數(shù)量也有所下降。不過這并不意味著網(wǎng)絡(luò)世界變得更加安全，而是網(wǎng)絡(luò)犯罪分子的目標(biāo)和策略已經(jīng)發(fā)生了許多變化，其攻擊也變得更具針對性。同時(shí)，我們觀察到網(wǎng)絡(luò)犯罪分子能夠熟練地適應(yīng)全球變化，并從遠(yuǎn)程辦公漏洞和網(wǎng)上購物的日益普及中受益。

本報(bào)告旨在闡明2020年金融網(wǎng)絡(luò)威脅的更多細(xì)節(jié)，概述了去年整個金融威脅領(lǐng)域的攻擊趨勢和關(guān)鍵事件，包含用戶遇到的常見網(wǎng)絡(luò)釣魚威脅，以及常見的基于Windows和Android的金融惡意軟件。

前提

本文中定義金融惡意軟件有兩類：第一類是針對金融服務(wù)(例如在線銀行、支付系統(tǒng)、電子貨幣服務(wù)、電子商店和加密貨幣服務(wù))用戶的惡意軟件;第二類是試圖獲取對金融組織及其基礎(chǔ)結(jié)構(gòu)的訪問權(quán)限的惡意軟件，因?yàn)樵诖蠖鄶?shù)情況下，金融惡意軟件攻擊活動依托于垃圾郵件和網(wǎng)絡(luò)釣魚，最常見的就是通過偽造細(xì)分網(wǎng)頁或郵件來竊取受害者信息。

本文數(shù)據(jù)來源于卡巴斯基用戶，為了分析惡意軟件的發(fā)展趨勢，將2020年的數(shù)據(jù)與2019年的數(shù)據(jù)進(jìn)行了比較，在某些部分中，為了更好地了解金融惡意軟件的發(fā)展，還參考了較早時(shí)期的數(shù)據(jù)。

主要發(fā)現(xiàn)

網(wǎng)絡(luò)釣魚：

• 2020年受到網(wǎng)絡(luò)釣魚攻擊的用戶比例從15.7%下降到13.21%;
• 網(wǎng)上商店成為釣魚攻擊的首選目標(biāo)，卡巴斯基產(chǎn)品攔截的網(wǎng)絡(luò)釣魚頁面中，有近五分之一是網(wǎng)上商店頁面;
• 針對PayPal用戶的網(wǎng)絡(luò)釣魚攻擊從2019年的26.8%激增至2020年的38.7%，該類別的長期TOP1——Visa跌至第四位。

電腦端：

• 2020年有625,364位用戶受到銀行木馬的攻擊，比2019年的773,943減少了148,579名;
• 2020年，俄羅斯，德國和哈薩克斯坦的用戶是金融惡意軟件的最常見目標(biāo);
• Zbot仍然是傳播最廣的銀行惡意軟件(占攻擊用戶的22.2%)，CliptoShuffler排名第二(占15.3%)，而Emotet則排名第三(占14.5%);
• 受銀行惡意軟件攻擊的用戶中有36%是企業(yè)用戶，比上一年增加了一百分點(diǎn)。

移動端：

• 2020年，受Android銀行惡意軟件攻擊的用戶數(shù)量迅速下降，比例超過55%——從2019年的675,772人下降到2020年的294,158人。
• 日本、中國臺灣和西班牙的用戶受到Android銀行惡意軟件攻擊的比例最高。

金融網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚是犯罪分子最常用方法之一，它的盛行在于不需要太多的投資或技術(shù)專長。在大多數(shù)情況下，詐騙者的目的要么獲得受害者的錢，要么獲得可出售變賣的數(shù)據(jù)。

卡巴斯基檢測到的金融網(wǎng)絡(luò)釣魚攻擊在所有網(wǎng)絡(luò)釣魚攻擊事件中的百分比(2016年– 2020年)如下圖所示：

圖1.金融網(wǎng)絡(luò)釣魚攻擊在所有網(wǎng)絡(luò)釣魚攻擊事件中的百分比

2020年，卡巴斯基反網(wǎng)絡(luò)釣魚技術(shù)檢測到434,898,635次各種類型的網(wǎng)絡(luò)釣魚頁面訪問嘗試，其中37.2%與金融釣魚有關(guān)，比2019年的51.4%減少了14.2個百分點(diǎn)，也是過去五年來最低的金融網(wǎng)絡(luò)釣魚率。

所謂“金融網(wǎng)絡(luò)釣魚”，我們指的不僅僅是銀行網(wǎng)絡(luò)釣魚，還包括其他幾種類型的網(wǎng)絡(luò)釣魚：既包括模仿PayPal、Visa、MasterCard、American Express等知名支付品牌的頁面，也包括在線商店和拍賣網(wǎng)站，例如亞馬遜、蘋果商店、Steam、E-bay等。

在2019年，卡巴斯基產(chǎn)品檢測到的金融網(wǎng)絡(luò)釣魚案件的分布情況如下：

圖2.2019年金融釣魚案件類型分布

圖3.2020年金融釣魚案件類型分布

在網(wǎng)絡(luò)釣魚方面，2020年絕對是一個特殊的年份。一年前，我們的報(bào)告顯示，與銀行相關(guān)的網(wǎng)絡(luò)釣魚案件從不到22%增加到近30%。到2020年，銀行網(wǎng)絡(luò)釣魚僅占總數(shù)的10.72%。與此相反的是，2019年的網(wǎng)商釣魚數(shù)量為7.57%，2020年幾乎翻了兩番，達(dá)到18.12%。我們將這些變化與新冠疫情導(dǎo)致的封鎖措施聯(lián)系起來——在家里，人們大部分時(shí)間轉(zhuǎn)向網(wǎng)上購物和數(shù)字娛樂，因此，用戶不斷增長的需求導(dǎo)致了網(wǎng)絡(luò)罪犯不斷增加的“供應(yīng)”。值得注意的是，雖然網(wǎng)上購物被證明是最吸引詐騙犯的領(lǐng)域，但支付系統(tǒng)的吸引力并不大——份額僅達(dá)到8.41%。

2019年支付系統(tǒng)釣魚事件數(shù)據(jù)統(tǒng)計(jì)：

圖4.2019年金融網(wǎng)絡(luò)釣魚事件中最常見的支付品牌

從上圖可以看出，2019年最受影響的是Visa的用戶(37.6%)，PayPal以26.8%的份額位居第二，萬事達(dá)卡(MasterCard)占據(jù)第三。

圖5.2020年金融網(wǎng)絡(luò)釣魚事件中最常見的支付品牌

到2020年，使用PayPal的數(shù)量超過了其他支付系統(tǒng)，其份額增長了12個百分點(diǎn)達(dá)到38.7%。

圖6.針對PayPal用戶的網(wǎng)絡(luò)釣魚頁面示例

萬事達(dá)卡排名第二，其份額從16.3%略增至17.5%。第三和第四名之間的差距很小，分別是美國運(yùn)通(10.6%)和維薩(10.2%)。到2020年，Visa釣魚頁面出現(xiàn)的次數(shù)是2019年(37.6%)的3.5倍。

圖7.針對Visa用戶的釣魚頁面示例

2019年金融網(wǎng)絡(luò)釣魚事件中最常見的網(wǎng)上商城中，蘋果是詐騙犯的第一選擇，占42.8%，亞馬遜(23.6%)和eBay(14.2%)的網(wǎng)上商店分別排名第二和第三。

圖8.2019年金融網(wǎng)絡(luò)釣魚中最常見的網(wǎng)商品牌

圖9.常見網(wǎng)商釣魚頁面示例

2020年，針對網(wǎng)絡(luò)商店釣魚攻擊持續(xù)增長，亞馬遜以27.84%的比例躍居第一，蘋果(27.07%)減少了15個百分點(diǎn)跌至第二位，Steam(14.90%)位居第三，而eBay(12.85%)位居第四。

圖10.2019年金融網(wǎng)絡(luò)釣魚中最常見的網(wǎng)商品牌

銀行惡意軟件-PC端

銀行惡意軟件常被用于竊取在線銀行及支付系統(tǒng)帳戶的憑證和一次性密碼。

銀行惡意軟件在2016年10月達(dá)到高峰——有1,494,236個用戶受到攻擊，之后受攻擊用戶數(shù)量開始逐漸下降。2020年也不例外，受攻擊的用戶數(shù)量已從2019年的773,943下降到625,364，下降了近20%。

這是因?yàn)榫W(wǎng)絡(luò)攻擊的目標(biāo)正變得越來越明確——罪犯團(tuán)伙現(xiàn)在更傾向于攻擊大型企業(yè)，但依然有很多普通用戶和小型企業(yè)成為了Zbot、CliptoShuffler、Emotet、RTM等惡意軟件的受害者。

圖11.2018 – 2020年受到銀行惡意軟件攻擊的唯一用戶數(shù)的動態(tài)變化

攻擊團(tuán)伙

每年我們都會檢測到多個銀行惡意軟件家族，其中一些老面孔已經(jīng)乏人問津，另一些則越來越熱門。以下是2019年檢測到的10大最活躍的銀行惡意軟件家族。以下是在2019年檢測到的最活躍的銀行惡意軟件家族前十，領(lǐng)先的是Zbot(21.6%)，RTM(19.8%)，Emotet(12.6%)，CliptoShuffler(5.6%)和Trickster(5.5%)。

圖12.2019年十大最廣泛的銀行惡意軟件家族

2020年十大銀行惡意軟件家族如下圖所示，其中前四個(Zbot，CliptoShuffler，Emotet和RTM)占了一半以上比例。

圖13.2020年十大最廣泛的銀行惡意軟件家族

雖然Zbot(22.2%)仍然是金融領(lǐng)域使用最多的惡意軟件，但榜單也有一些變化：RTM以10.5%從第二名下降到第四名，而另外兩個家族——CliptoShuffler(15.3%)和Emotet(14.5%)，在2020年都有所上升。兩年前排名第二的Gozi家族(3.3%)被擠到了第九位。

此外，2020年也是區(qū)域威脅行為向外部世界擴(kuò)張的特殊年份。我們稱之為Tétrade的四大巴西銀行惡意軟件家族不僅瞄準(zhǔn)了拉丁美洲，也瞄準(zhǔn)了亞洲和歐洲國家。

受攻擊用戶的地理位置

為了評估和比較世界不同國家/地區(qū)的用戶所面臨的計(jì)算機(jī)感染風(fēng)險(xiǎn)程度，我們計(jì)算了每個國家/地區(qū)在報(bào)告期間內(nèi)遭遇金融惡意軟件攻擊及用戶總數(shù)和比例。

在2019年和2020年遭受銀行惡意軟件攻擊的所有用戶中，10個國家/地區(qū)占了一半以上比例。2019年前十名如下：

圖14.2019年受銀行惡意軟件攻擊數(shù)量前十的國家/地區(qū)

2019年，俄羅斯占比33.6%，德國以7.4%排名第二，中國以3.3%的排名緊隨其后。

2020年情況如下：

圖15.2020年受銀行惡意軟件攻擊數(shù)量前十的國家/地區(qū)

盡管俄羅斯(26.6%)和德國(4.5%)的排名有所下降，但仍然占據(jù)前10名的前兩名。值得注意的是，俄羅斯的數(shù)字總是傾向于最高的是由于大多數(shù)卡巴斯基用戶位于俄羅斯。哈薩克斯坦曾以2%的收入排名第九，今年以兩個百分點(diǎn)的增長進(jìn)入前三。

受攻擊的用戶類型

2020年受銀行惡意軟件攻擊的用戶中有36%是企業(yè)用戶，比上一年增加了一個百分點(diǎn)。這在一定程度上證實(shí)了我們關(guān)于網(wǎng)絡(luò)犯罪分子將注意力轉(zhuǎn)移到企業(yè)領(lǐng)域的假設(shè)，不過增長幅度相對較小，我們預(yù)計(jì)這個趨勢在未來會更加明顯。

圖16.企業(yè)vs個人用戶數(shù)據(jù)對比

總而言之，在2020年，由于對現(xiàn)場工作和員工的限制，以及遠(yuǎn)程辦公員工數(shù)量的增加，企業(yè)安全變得更加脆弱。匆忙過渡到遠(yuǎn)程辦公已經(jīng)影響了公司的安全性，大多數(shù)企業(yè)還沒有準(zhǔn)備好，缺乏相應(yīng)的安全培訓(xùn)，員工自己的電腦可能包含易受攻擊的遠(yuǎn)程訪問連接——這些因素共同為各種攻擊鋪平了道路，包括銀行惡意軟件騙局。

與加密貨幣有關(guān)的網(wǎng)絡(luò)威脅

2018年，加密貨幣成為最熱門的話題，并吸引了整個網(wǎng)絡(luò)安全社區(qū)的目光。我們分析了網(wǎng)絡(luò)犯罪分子挖礦軟件的分發(fā)情況，發(fā)現(xiàn)如今惡意活動并沒有之前那么普遍。

圖17.2019年受挖礦惡意軟件攻擊的用戶數(shù)量

圖18.2020年受挖礦惡意軟件攻擊的用戶數(shù)量

圖19.2020年挖礦攻擊的地理分布

2020年，此類威脅的趨勢繼續(xù)下降，然而到年底，這一數(shù)字達(dá)到了一個穩(wěn)定水平，甚至部分地區(qū)趨勢開始逆轉(zhuǎn)。加密貨幣價(jià)格在2020年底的大幅上漲很可能會加劇2021年初的威脅，此外由于新冠病毒危機(jī)，2021年一些經(jīng)濟(jì)體可能會崩潰，當(dāng)?shù)刎泿趴赡軙┑?，使得加密技術(shù)更具吸引力。

銀行惡意軟件-移動端

2019年，受銀行惡意軟件影響的用戶數(shù)量從2018年的約180萬降至67.5萬。

圖20.2018年至2019年受到Android銀行惡意軟件攻擊的用戶數(shù)量

2020年，隨著受攻擊用戶數(shù)量下降不到60%至294,158。

圖21.2019年至2020年受到Android銀行惡意軟件攻擊的用戶數(shù)量

圖22.2019年最廣泛的Android銀行惡意軟件

2020年，Asacub(25.6%)的份額仍然是最重的。然而，自2019年以來，它縮水了18.8個百分點(diǎn)。特工(18.0%)仍然排在第二位，盡管比前一年要輕一些。 Svpeng(12.8%)主要是在被感染設(shè)備上尋找管理員權(quán)限，而今年卻受到Rotexy(17.9%)的挑戰(zhàn)，后者將銀行木馬功能與勒索軟件阻止程序的功能結(jié)合在一起。

2020年，Asacub(25.6%)依然是比例最高的，但這個數(shù)據(jù)自2019年以來縮水了18.8個百分點(diǎn)。Agent (18.0%)仍然排在第二位，比去年有所下降，Svpeng(12.8%)主要是在受感染設(shè)備上搜索管理員權(quán)限，Rotexy(17.9%)將銀行木馬的功能與勒索軟件攔截器的功能結(jié)合在一起。

圖22.2020年最廣泛的Android銀行惡意軟件

2020年出現(xiàn)了一些新的移動銀行惡意軟件，簡要概述如下：

• Trojan-Banker.AndroidOS.Ghimob.a
• Tétrade集團(tuán)的新型銀行業(yè)惡意軟件Ghimob在2020年攻擊了巴西、巴拉圭、秘魯、葡萄牙、德國等地的銀行、交易所、加密貨幣交易所和金融科技組織，Ghimob共可以監(jiān)視153個移動應(yīng)用程序。
• Trojan-Banker.AndroidOS.Gorgona.a
• 該惡意軟件模仿Google Play，使用通知面板吸引用戶的注意。它可以發(fā)出和重定向調(diào)用，執(zhí)行USSD命令，安裝額外的應(yīng)用程序，并在需要時(shí)阻止設(shè)備。如果授予了使用可訪問性的權(quán)限，它可以獲得更多的權(quán)限，例如接收和處理文本消息，因此也可以獲得雙因素認(rèn)證的控制權(quán)。它使用TCP進(jìn)行C2通信，傾向于針對土耳其的銀行。
• Trojan-Banker.AndroidOS.Knobot.a

新型惡意軟件，除了網(wǎng)絡(luò)釣魚窗口和攔截兩因素身份驗(yàn)證消息外，該木馬還提供了一些其他同類軟件不具備的功能，例如通過輔助功能服務(wù)攔截設(shè)備PIN碼的機(jī)制。諷刺的是，它要求受害者將權(quán)利委托給別人，甚至還提供了一個關(guān)于如何這樣做的小指導(dǎo)。

??

圖23.Trojan-Banker.AndroidOS.Knobot.a的屏幕截圖

受攻擊用戶的地理位置

2019年受Android銀行惡意軟件攻擊的用戶所占百分比排名前10的國家/地區(qū)：

2020年受Android銀行惡意軟件攻擊的用戶所占百分比排名前10的國家/地區(qū)：

從統(tǒng)計(jì)數(shù)據(jù)可以看出，所有國家都被徹底換牌。俄羅斯從2019年的第一移至2020年的第7。2019年沒有提及的日本(2.83%)和臺灣(0.87%)迅速躍居榜首，西班牙(0.77%)以近3000名受影響用戶取代了澳大利亞，位居第三。

結(jié)論

2020年的情況表明，網(wǎng)絡(luò)犯罪分子能夠很容易地適應(yīng)不斷變化的世界——不斷更新惡意軟件的新特性，并改進(jìn)檢測回避技術(shù)。新冠疫情的流行改變了公眾對在線購物的態(tài)度，犯罪團(tuán)伙注意到了這種趨勢，并將注意力從銀行轉(zhuǎn)移到網(wǎng)絡(luò)商店。針對企業(yè)用戶的銀行木馬的新興趨勢也令人擔(dān)憂，這類攻擊帶來的問題可能比對個人的要更大。同時(shí)，針對金融組織的區(qū)域性詐騙正逐步蔓延到全球，有可能在2021年實(shí)現(xiàn)進(jìn)一步增長。因此，即使總體統(tǒng)計(jì)數(shù)據(jù)看起來有所衰退，金融組織也仍然面臨的巨大威脅態(tài)勢。

為了抵御金融威脅，卡巴斯基建議用戶：

• 僅安裝從可靠來源(例如官方網(wǎng)站)獲得的應(yīng)用程序;
• 檢查應(yīng)用程序請求的訪問權(quán)限，如果與功能集不匹配則不授予;
• 切勿點(diǎn)擊垃圾郵件中的鏈接及所附的文檔;
• ·安裝受信任的安全解決方案。

為了保護(hù)企業(yè)免受金融惡意軟件的侵害，卡巴斯基建議：

• 為您的員工(尤其是負(fù)責(zé)會計(jì)的員工)引入網(wǎng)絡(luò)安全意識培訓(xùn)，以教會他們檢測網(wǎng)絡(luò)釣魚頁面并提高員工的整體數(shù)字素養(yǎng);
• 對于關(guān)鍵的用戶配置文件，例如財(cái)務(wù)部門的用戶配置文件，為Web資源啟用默認(rèn)的拒絕模式，以確保只能訪問合法的用戶配置文件;
• 為使用的所有軟件安裝最新的更新和補(bǔ)丁;
• 為了保護(hù)免受復(fù)雜威脅和針對性攻擊的侵害，安裝用于網(wǎng)絡(luò)威脅檢測、事件調(diào)查和及時(shí)恢復(fù)措施的anti-APT和EDR解決方案，為您的SOC團(tuán)隊(duì)提供最新的威脅情報(bào)和定期的技能和培訓(xùn)。

本文翻譯自：https://securelist.com/financial-cyberthreats-in-2020/101638/如若轉(zhuǎn)載，請注明原文地址。