如果你曾經(jīng)玩過(guò)育碧出品的《看門(mén)狗》系列，那么對(duì)于黑客主角團(tuán)按下手機(jī)就可以直接讓ATM吐錢(qián)的場(chǎng)景一定不會(huì)陌生。當(dāng)然，這樣的場(chǎng)景大概率不會(huì)在現(xiàn)實(shí)中發(fā)生，但對(duì)于金融服務(wù)行業(yè)來(lái)講，安全危機(jī)始終存在。誠(chéng)然，新冠疫情為金融企業(yè)數(shù)字化改革進(jìn)程按下了加速鍵，但在互聯(lián)網(wǎng)流量的激增的同時(shí)，互聯(lián)網(wǎng)上攻擊流量也在同步激增，金融行業(yè)尤為顯著，這使得金融行業(yè)在網(wǎng)絡(luò)和應(yīng)用安全問(wèn)題上的重視和投入日漸提高。

[[400572]]

作為一家大規(guī)模智能邊緣平臺(tái)和云安全廠商，阿卡邁技術(shù)公司(Akamai)與威脅情報(bào)公司W(wǎng)MC Global針對(duì)全球以及金融服務(wù)行業(yè)特定的Web應(yīng)用程序和撞庫(kù)攻擊流量進(jìn)行了分析，并于今天發(fā)布了《互聯(lián)網(wǎng)安全狀況報(bào)告：針對(duì)金融行業(yè)的網(wǎng)絡(luò)釣魚(yú)》，揭示了從2019年到2020年攻擊面同比顯著增加的趨勢(shì)。

LFI攻擊占比超SQL注入，DDoS仍居高不下

作為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)之一，吸金能力強(qiáng)、利潤(rùn)大的金融行業(yè)多年來(lái)一直都很受到網(wǎng)絡(luò)攻擊黑產(chǎn)團(tuán)伙的“照顧”，各種各樣難以防御的網(wǎng)絡(luò)攻擊，使得在線金融服務(wù)、支付系統(tǒng)、大型銀行和POS終端等金融機(jī)構(gòu)的業(yè)務(wù)被嚴(yán)重?fù)p害，Akamai在過(guò)去一年里共監(jiān)測(cè)到63億次Web應(yīng)用程序攻擊，其中超過(guò)7.36億次針對(duì)的是金融服務(wù)行業(yè)，增幅達(dá)到了62%。

Akamai在2020年監(jiān)測(cè)到的網(wǎng)絡(luò)攻擊多達(dá)63億次

在這其中，本地文件包含(LFI)攻擊占比高達(dá)52%，是排名第一的應(yīng)用程序攻擊類型，這說(shuō)明犯罪分子仍然將API和應(yīng)用程序作為首選的攻擊對(duì)象。而SQL注入(SQLi)緊隨其后，占比達(dá)到了33%。LFI攻擊利用了在服務(wù)器上運(yùn)行的各種腳本，因此這類攻擊可用于強(qiáng)制泄露敏感信息。LFI攻擊還可用于在客戶端執(zhí)行命令(比如容易受到攻擊的JavaScript文件)，這可能導(dǎo)致跨站點(diǎn)腳本攻擊(XSS)和拒絕服務(wù)(DoS)攻擊。XSS是針對(duì)金融服務(wù)的第三大常見(jiàn)攻擊類型，占觀察到的攻擊流量的9%。

LFI攻擊超越了SQL注入，成為針對(duì)金融行業(yè)的最常見(jiàn)攻擊類型

作為傳統(tǒng)攻擊方式的DDoS，近年來(lái)則以更多、更復(fù)雜的形式呈現(xiàn)出來(lái)。具體而言，單次攻擊的帶寬越來(lái)越高，攻擊的PPS值(每秒數(shù)據(jù)包)也越來(lái)越高。超大帶寬峰值流量的DDoS攻擊對(duì)于任何一家企業(yè)來(lái)講，都是很大的挑戰(zhàn)，金融服務(wù)業(yè)也是如此，根據(jù)Akamai的分析，過(guò)去三年間，針對(duì)金融服務(wù)行業(yè)的DDoS攻擊增加了93%，這表明系統(tǒng)破壞仍然是犯罪分子的目的，因此黑客往往會(huì)攻擊日常業(yè)務(wù)所需的服務(wù)和應(yīng)用程序。

過(guò)去三年DDoS攻擊量持續(xù)增長(zhǎng)

如今，黑產(chǎn)已經(jīng)形成了規(guī)?；倪\(yùn)營(yíng)狀態(tài)。黑產(chǎn)中“攻擊即服務(wù)”概念興起，黑客基于行業(yè)排名逐個(gè)搜尋攻擊目標(biāo)，有計(jì)劃地開(kāi)展、有計(jì)劃地滲透、有計(jì)劃地發(fā)動(dòng)攻擊、有計(jì)劃地勒索。尤其是針對(duì)金融行業(yè)。一開(kāi)始，黑客組織會(huì)發(fā)出威脅性的電子郵件，警告如果公司不支付比特幣，則將對(duì)公司發(fā)起網(wǎng)絡(luò)攻擊，例如DDoS，這些郵件會(huì)明確受害者機(jī)構(gòu)內(nèi)的目標(biāo)資產(chǎn)并承諾會(huì)進(jìn)行一次小的“測(cè)試”攻擊來(lái)證明情況的嚴(yán)重性。

撞庫(kù)攻擊持續(xù)顯著增加，網(wǎng)絡(luò)釣魚(yú)成關(guān)鍵推手

去年一整年，針對(duì)Facebook等大型企業(yè)的撞庫(kù)攻擊在不斷上升，黑客通過(guò)收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對(duì)應(yīng)的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶。Akamai的報(bào)告顯示，去年有超過(guò)1930億次的撞庫(kù)攻擊，其中多達(dá)34億次針對(duì)的是金融服務(wù)機(jī)構(gòu)，同比增長(zhǎng)超過(guò)45%。

金融服務(wù)業(yè)在2020年每天都要經(jīng)歷千萬(wàn)級(jí)別的撞庫(kù)攻擊

這并不難理解，去年前兩個(gè)季度，在全球范圍內(nèi)發(fā)生了多次大規(guī)模的數(shù)據(jù)泄露事件，例如Zoom的數(shù)據(jù)泄露事件，這造成了眾多數(shù)據(jù)開(kāi)始在暗網(wǎng)傳播，一旦被黑客收集到，他們就會(huì)在包括金融機(jī)構(gòu)在內(nèi)的企業(yè)進(jìn)行撞庫(kù)攻擊，作為最初始的安全保障，密碼一直都是安全鏈中的薄弱環(huán)節(jié)，而犯罪分子會(huì)毫不猶豫地利用這點(diǎn)、

而撞庫(kù)攻擊數(shù)量的持續(xù)顯著增加，則與金融服務(wù)行業(yè)的網(wǎng)絡(luò)釣魚(yú)狀況有直接的關(guān)系。Akamai安全研究員兼《互聯(lián)網(wǎng)安全狀況報(bào)告》作者Steve Ragan認(rèn)為，“犯罪分子會(huì)使用各種方法來(lái)擴(kuò)充其收集到的登錄憑據(jù)，而網(wǎng)絡(luò)釣魚(yú)則是他們攻擊手段中的關(guān)鍵工具之一。通過(guò)以該行業(yè)中的銀行客戶和員工為目標(biāo)，犯罪分子令其潛在受害者的數(shù)量以指數(shù)方式增加。”

網(wǎng)絡(luò)金融釣魚(yú)是金融機(jī)構(gòu)面臨的巨大威脅之一，攻擊者一般通過(guò)發(fā)送大量貌似可信銀行的詐騙郵件，誘導(dǎo)用戶輸入個(gè)人資料、賬戶敏感信息，以及銀行的交易和轉(zhuǎn)賬數(shù)據(jù)。一旦釣魚(yú)詐騙者獲取這些重要數(shù)據(jù)，就會(huì)入侵用戶賬戶并非法轉(zhuǎn)移用戶金融資產(chǎn)。今年2月份，硅谷頂級(jí)風(fēng)險(xiǎn)投資公司紅杉資本就遭遇了釣魚(yú)郵件攻擊，造成的損失不可估量。

雖然企業(yè)也在使用多因素認(rèn)證(MFA)和雙因素認(rèn)證(2FA)以增強(qiáng)基本密碼的安全性，但近年來(lái)的網(wǎng)絡(luò)釣魚(yú)手段也開(kāi)始針對(duì)MFA和2FA，受害者在被誘導(dǎo)之后，會(huì)在談話過(guò)程中泄露一次性密碼(OTP)，使得攻擊者繞過(guò)密碼的安全保護(hù)。

更麻煩的是，網(wǎng)絡(luò)釣魚(yú)現(xiàn)如今已發(fā)展成為一種服務(wù)，高級(jí)的黑客會(huì)創(chuàng)建復(fù)雜的釣魚(yú)工具包，并配備完整的后端操作支持和功能，并將其出售給技術(shù)較低的罪犯。本次由Akamai與WMCGlobal共同發(fā)布的報(bào)告就研究了兩種特定的網(wǎng)絡(luò)釣魚(yú)工具包“Kr3pto”和“Ex-Robotos”。其中Kr3pto針對(duì)的是11家英國(guó)銀行，而Ex-Robotos則將其詐騙目標(biāo)對(duì)準(zhǔn)了企業(yè)員工。

Kr3pto網(wǎng)絡(luò)釣魚(yú)工具包以短信方式向金融機(jī)構(gòu)及其客戶發(fā)起攻擊。自2020年5月以來(lái)，共計(jì)在英國(guó)總計(jì)欺詐了11家銀行，涉及8000多個(gè)域名。在2021年第一季度超過(guò)31天的時(shí)間里，WMCGlobal追蹤到了與Kr3pto短信發(fā)送目標(biāo)受害者有關(guān)的4000多起活動(dòng)。

Kr3pto的目標(biāo)就是受害者的用戶名和密碼，該工具包首先會(huì)發(fā)送釣魚(yú)郵件，一旦受害者進(jìn)入登錄頁(yè)面，釣魚(yú)攻擊就開(kāi)始了，同時(shí)獲取受害者使用的OTP，例如安全問(wèn)題和答案，以及基于短信的PIN，工具包可以動(dòng)態(tài)適應(yīng)受害者在銀行的登錄體驗(yàn)，進(jìn)而迷惑受害者。

Kr3pto的釣魚(yú)頁(yè)面

在企業(yè)撞庫(kù)網(wǎng)絡(luò)釣魚(yú)方面，Ex-Robotos則提供了一個(gè)基準(zhǔn)，根據(jù)Akamai智能邊緣平臺(tái)(Akamai Intelligent Edge Platform)的數(shù)據(jù)，43天內(nèi)用于Ex-Robotos的APIIP地址的點(diǎn)擊量超過(guò)22萬(wàn)次。事實(shí)上，在2021年1月31日至2月5日間，該地址的峰值流量達(dá)到了平均每天數(shù)萬(wàn)次。

Ex-Robotos包括兩種釣魚(yú)方式，一種是語(yǔ)音郵件，另一種則集中在受保護(hù)文檔上。但都遵循同樣的運(yùn)行程序，大多數(shù)受害者是企業(yè)用戶，而他們的郵件則可能在更早之前已被犯罪分子獲取，并成為攻擊目標(biāo)。一旦受害者的密碼被收集，Ex-Robotos就會(huì)通過(guò)電子郵件發(fā)送這些密碼，并為犯罪分子的撞庫(kù)攻擊提供數(shù)據(jù)。

顯示數(shù)據(jù)收集功能的Ex-Robotos代碼

Kr3pto和Ex-Robotos在全球范圍內(nèi)都被犯罪分子廣泛使用，一旦犯罪分子獲得了憑證，就可以進(jìn)行更多的攻擊，這意味著金融機(jī)構(gòu)及其他企業(yè)需要采用更強(qiáng)大的2FA/MFA替代品保護(hù)自己的密碼安全。

WMC Global高級(jí)威脅狩獵師Jake Sloane表示：“像Kr3pto和Ex-Robotos這樣的工具包只是當(dāng)今威脅企業(yè)和消費(fèi)者的眾多工具包中的兩種而已。請(qǐng)記住，員工也是消費(fèi)者，隨著居家辦公的普及以及企業(yè)環(huán)境中移動(dòng)設(shè)備的使用，犯罪分子會(huì)毫不掩飾地攻擊這些人員——無(wú)論他們身在何處，所以近期短信形式的網(wǎng)絡(luò)釣魚(yú)攻擊數(shù)量激增也就很好解釋了。”

數(shù)字時(shí)代，保護(hù)資產(chǎn)安全至關(guān)重要

頻發(fā)的網(wǎng)絡(luò)安全案件，給企業(yè)的信息安全建設(shè)敲響了警鐘。一旦遭遇網(wǎng)絡(luò)安全事故，企業(yè)的資產(chǎn)、業(yè)務(wù)和聲譽(yù)都將蒙受巨大損失，甚至?xí)?dòng)搖自身的生存根基。那么，企業(yè)如何在享受信息技術(shù)紅利的同時(shí)，抵御越來(lái)越致命的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?

相比“應(yīng)對(duì)”威脅，“提前感知”威脅，顯然是提升安全防護(hù)效率、降低安全風(fēng)險(xiǎn)最經(jīng)濟(jì)的方式。因此，威脅情報(bào)的安全投入對(duì)于企業(yè)占據(jù)攻防先機(jī)至關(guān)重要，也是企業(yè)在安全左移趨勢(shì)下做好安全前置的有效途徑。

另一方面，以“持續(xù)驗(yàn)證，永不信任”為核心的零信任，無(wú)論是從安全高配，還是在降本增效方面，都是遠(yuǎn)程業(yè)務(wù)常態(tài)化過(guò)程中企業(yè)進(jìn)行安全建設(shè)的高性價(jià)比價(jià)值點(diǎn)。即使企業(yè)存在被攻陷的風(fēng)險(xiǎn)，在多維身份認(rèn)證、最小權(quán)限動(dòng)態(tài)訪問(wèn)控制以及可變信任管理等策略的保護(hù)下，也可以提供持續(xù)的安全防護(hù)。