從早期的Zeus和其他以銀行為目標(biāo)的特洛伊木馬程序，到現(xiàn)在的大規(guī)模分布式拒絕服務(wù)（DDoS）攻擊，再到新穎的釣魚攻擊和勒索軟件，金融服務(wù)業(yè)已成為遭遇網(wǎng)絡(luò)犯罪威脅最嚴(yán)重的行業(yè)之一。金融服務(wù)業(yè)的重要性不言而喻，不僅在人們的生活中， 也在全球經(jīng)濟中發(fā)揮著重要作用。該行業(yè)遇到任何中斷或停機都會帶來嚴(yán)重影響，而此類組織所持有的一些敏感數(shù)據(jù)也很容易會變成有價值的商品。因此攻擊者會將金融服務(wù)業(yè)看作一種有利可圖的目標(biāo)，并以此為目標(biāo)開展各類攻擊，具體攻擊方式包括但不限于新發(fā)現(xiàn)的零日漏洞以及復(fù)雜的釣魚攻擊等。

延伸閱讀，了解 Akamai的安全解決方案

攻擊者會密切關(guān)注并積極攻擊金融服務(wù)行業(yè)，這早已不是什么秘密。以往，Akamai圍繞金融服務(wù)業(yè)發(fā)布的互聯(lián)網(wǎng)狀態(tài)報告（SOTI）主要以網(wǎng)絡(luò)釣魚或欺詐為主題，但這次我們采取了一種更廣泛的方法，涵蓋了影響金融服務(wù)業(yè)的一系列問題。

這種更廣泛的視角使得我們發(fā)現(xiàn)，針對金融服務(wù)業(yè)的攻擊數(shù)量正在快速激增，而且攻擊者會以更快的速度利用新發(fā)現(xiàn)的零日漏洞。而金融服務(wù)業(yè)的客戶也未能幸免，很多攻擊者已經(jīng)不再對該行業(yè)的從業(yè)機構(gòu)發(fā)起攻擊（畢竟這可能是全球最重視安全性的行業(yè)之一），而是轉(zhuǎn)為攻擊這些行業(yè)的消費者。在這種強敵環(huán)伺的情況下，金融服務(wù)業(yè)的安全專家就更有必要了解相關(guān)威脅態(tài)勢的變化情況。

憑借對全球互聯(lián)網(wǎng)的洞察和龐大的覆蓋面，Akamai會定期針對不同行業(yè)發(fā)布互聯(lián)網(wǎng)狀態(tài)報告（SOTI）。最新的第8卷第3期報告主要以金融服務(wù)業(yè)為主，分析了該行業(yè)所面臨的威脅和Akamai的見解。我們將通過總共三篇的系列文章詳細介紹這些內(nèi)容。本文是第一篇，主要介紹金融服務(wù)行業(yè)在信息安全威脅方面所面臨的整體態(tài)勢。

重點總結(jié)

本次報告所發(fā)現(xiàn)的重點結(jié)論主要是：

1. 在Web應(yīng)用程序和API攻擊、零日漏洞以及DDoS攻擊等方面，金融服務(wù)業(yè)一直是最主要的三大被攻擊目標(biāo)垂直行業(yè)之一。
2. 金融服務(wù)業(yè)的Web應(yīng)用程序和API攻擊數(shù)量同比激增3.5倍，在所有主要行業(yè)中增速最快。如何阻止Web應(yīng)用程序和API攻擊
3. 利用新發(fā)現(xiàn)的零日漏洞針對金融服務(wù)業(yè)發(fā)起的攻擊，在24小時內(nèi)就可以輕松達到每小時數(shù)千次的規(guī)模，并且會快速達到峰值，這使得防御者幾乎沒時間打補丁或做出反應(yīng)。
4. 本地文件包含（LFI）和跨站腳本（XSS）攻擊的顯著增加，意味著攻擊者正在轉(zhuǎn)換至以遠程腳本執(zhí)行（RCE）為目標(biāo)的攻擊方式，這會對內(nèi)部網(wǎng)絡(luò)安全造成更大的壓力。
5. 利用金融服務(wù)業(yè)客戶發(fā)起攻擊的做法十分猖獗，以該行業(yè)為目標(biāo)的攻擊者，有超過80%會以直接攻擊或釣魚攻擊的方式攻擊金融服務(wù)業(yè)的客戶，而非金融機構(gòu)。
6. 釣魚攻擊（如Kr3pto）正在引入新技術(shù)，從而通過一次性密碼令牌或推送通知的方式繞過雙重身份驗證（MFA）機制。

威脅形勢：針對金融服務(wù)業(yè)的攻擊正在激增

金融服務(wù)業(yè)始終是全球范圍內(nèi)最容易受到攻擊的行業(yè)之一，并且攻擊數(shù)量依然體現(xiàn)出增長的跡象，尤其是針對Web應(yīng)用程序和API的攻擊，不僅增速驚人，而且也日趨復(fù)雜。攻擊者會設(shè)法在內(nèi)部網(wǎng)絡(luò)中獲得立足點，進而開始進行各種破壞，其中的一種手段甚至?xí)虮还舻慕鹑跈C構(gòu)索取贖金，以防止損失進一步擴大。作為一個重要行業(yè)，金融服務(wù)業(yè)需要保證服務(wù)穩(wěn)定運行，而攻擊者除了攻擊機構(gòu)本身，還可以通過竊取的敏感信息變現(xiàn)，甚至攻擊客戶的賬戶并叢中竊取資金。

網(wǎng)絡(luò)犯罪分子已經(jīng)將目光投向了金融服務(wù)機構(gòu)及其客戶，不過我們也發(fā)現(xiàn)，很多業(yè)內(nèi)機構(gòu)已經(jīng)增強了自己的網(wǎng)絡(luò)安全意識，并增加了網(wǎng)絡(luò)安全方面的IT預(yù)算。如果無法保護自己的周邊環(huán)境和數(shù)據(jù)，可能會面臨勒索軟件和其他威脅的入侵，從而導(dǎo)致嚴(yán)重的關(guān)鍵數(shù)據(jù)外泄和財務(wù)損失。根據(jù)IBM的2022年數(shù)據(jù)泄漏成本告報統(tǒng)計，作為“關(guān)鍵基礎(chǔ)設(shè)施”的金融服務(wù)業(yè)，其數(shù)據(jù)泄漏事件的平均成本高達597萬美元。

為了充分了解金融服務(wù)業(yè)所面臨的各種風(fēng)險，我們必須把威脅情況作為一個整體來看待。為此，我們分析了大量活動數(shù)據(jù)，例如（惡意的和善意的）爬蟲趨勢、針對關(guān)鍵漏洞的利用嘗試、以Web應(yīng)用和API為目標(biāo)的攻擊，以及釣魚活動。我們還檢測了攻擊者的IP地址，從而推斷出攻擊者的動機。此外，我們還分析了一整年的數(shù)據(jù)，借此更直觀地了解到金融服務(wù)業(yè)的整體威脅態(tài)勢（圖1）。

圖1：金融服務(wù)業(yè)所面臨不同類型攻擊的增長情況

從較高的視角來看，金融服務(wù)業(yè)在如下幾個關(guān)鍵領(lǐng)域已成為最容易受到攻擊的垂直行業(yè)：Web應(yīng)用程序和API攻擊、DDoS、釣魚、零日漏洞利用、爬蟲活動。上文提到過，Web應(yīng)用程序和API攻擊數(shù)量的激增（金融服務(wù)業(yè)面臨的此類攻擊數(shù)量增長了3.5倍）尤其讓人擔(dān)心。此外，以金融機構(gòu)為目標(biāo)的爬蟲活動也有顯著增加。

每種攻擊載體都帶來了不同的安全風(fēng)險和挑戰(zhàn)，只有解決了這些問題才能進一步加強金融機構(gòu)的安全性。下文我們還將更詳細地研究各種攻擊載體?？偟膩碚f，這些見解都證明金融機構(gòu)加大網(wǎng)絡(luò)安全方面的投資是非常有必要的。

安全風(fēng)險與日俱增：應(yīng)用程序和API攻擊

Web應(yīng)用程序和API依然是金融服務(wù)業(yè)一個重要的考慮因素。該行業(yè)的很多數(shù)字化轉(zhuǎn)型工作都以應(yīng)用程序和API為基礎(chǔ)，相關(guān)機構(gòu)也需要借助它們向第三方提供開放的服務(wù)，從而塑造更好的客戶體驗，在市場上獲得更多價值和競爭優(yōu)勢。另外，客戶也需要通過金融機構(gòu)的應(yīng)用來使用各種金融服務(wù)。盡管在COVID-19大流行之前，金融類應(yīng)用程序的使用就很普遍了，但疫情的流行進一步推動了相關(guān)應(yīng)用和服務(wù)的普及。

由于API能帶來各種優(yōu)勢，很多企業(yè)都以將其納入自己的生態(tài)系統(tǒng)中。在Postman發(fā)布的2022年API狀態(tài)報告中，89%的受訪者表示，今年可能會增加有關(guān)API開發(fā)工作的投資。在某些情況下，采用API也是為了滿足監(jiān)管要求。例如歐盟的Payment Services Directive 2要求歐洲銀行公開API，以便讓金融服務(wù)提供商訪問與貸款、賬戶等信息有關(guān)的客戶數(shù)據(jù)。

在API的幫助下，銀行和第三方相互之間可以實現(xiàn)標(biāo)準(zhǔn)化的客戶金融信息數(shù)據(jù)連接和交換。另外，Web應(yīng)用程序則能通過更便捷、快速的處理和可靠的服務(wù)改善客戶體驗，降低金融服務(wù)機構(gòu)的成本。不過這些Web應(yīng)用程序中的漏洞也可能讓攻擊者借此攻陷系統(tǒng)并竊取敏感數(shù)據(jù)。雖然API和Web應(yīng)用帶來了很多好處和優(yōu)勢，但也可能為網(wǎng)絡(luò)犯罪分子帶來全新的攻擊面。

過去12個月里，Web應(yīng)用程序和API攻擊出現(xiàn)了大規(guī)模增長，金融服務(wù)業(yè)依然是其中最主要的目標(biāo)。經(jīng)過分析，我們發(fā)現(xiàn)金融服務(wù)業(yè)是最容易被攻擊的三大垂直行業(yè)之一，承受了15%的攻擊總量，緊隨其后的是高科技行業(yè)（圖2）。在2022年的大部分時間里，金融服務(wù)也都已經(jīng)超過高科技行業(yè)，成為遭受攻擊總量最多的行業(yè)。

從較高的視角來看，金融服務(wù)業(yè)在如下幾個關(guān)鍵領(lǐng)域已成為最容易受到攻擊的垂直行業(yè)：Web應(yīng)用程序和API攻擊、DDoS、釣魚、零日漏洞利用、爬蟲活動。

圖2：過去12個月，Web應(yīng)用程序和API攻擊的首要目標(biāo)行業(yè)為商業(yè)、高科技以及金融服務(wù)業(yè)

Web應(yīng)用程序和API對金融服務(wù)業(yè)的重要性與日俱增，這也吸引著越來越多的攻擊者圍繞這些領(lǐng)域?qū)ふ衣┒床l(fā)起攻擊。首先，在構(gòu)建這類應(yīng)用和API時，安全性本身就是一個艱難的挑戰(zhàn)。這些Web應(yīng)用程序中隱藏的漏洞可能導(dǎo)致RCE和入侵。其次，這類Web應(yīng)用程序還可以獲取并存儲客戶的機密信息（如登錄憑據(jù)）。

一旦攻擊者成功發(fā)起針對Web應(yīng)用程序的攻擊，就可以竊取這些機密信息，在一些更嚴(yán)重的情況下，甚至可以借此獲得對內(nèi)部網(wǎng)絡(luò)的訪問權(quán)，從而獲得更多憑據(jù)并在網(wǎng)絡(luò)內(nèi)部橫向移動。除了漏洞所產(chǎn)生的影響，被盜的信息也可能放在黑市中交易或用于發(fā)起更多攻擊。鑒于金融服務(wù)業(yè)擁有大量數(shù)據(jù)（如個人身份信息和賬戶信息），這一點就更加令人擔(dān)憂。

以金融服務(wù)業(yè)的Web應(yīng)用程序和API為目標(biāo)的攻擊活動正在迅速增加，這標(biāo)志著攻擊者對金融機構(gòu)及其客戶的興趣也在持續(xù)增長。2022年，針對金融服務(wù)業(yè)Web應(yīng)用和API的攻擊數(shù)量增長了3.5倍，仔細分析會發(fā)現(xiàn)，在這背后，幾乎每種攻擊載體的使用都有了顯著增長，并且在幾乎所有行業(yè)中高居首位。

圖3：過去12個月里，金融服務(wù)業(yè)面臨的攻擊數(shù)量穩(wěn)步增長

過去12個月里，金融服務(wù)業(yè)面臨的攻擊穩(wěn)步增長，圖3中觀察到的峰值似乎代表著有針對性的攻擊或集中攻擊。不僅如此，這些模式可能意味著此類機構(gòu)的Web應(yīng)用程序面臨的攻擊風(fēng)險還在不斷增加。Positive Technologies的研究發(fā)現(xiàn)，91%的Web應(yīng)用都曾發(fā)生過個人數(shù)據(jù)（如用戶ID和憑據(jù)）泄漏事件。

保證Web應(yīng)用程序安全性已成為當(dāng)務(wù)之急，因為相關(guān)漏洞很可能充當(dāng)入侵目標(biāo)企業(yè)的大門。了解不同類型的攻擊，以及這些攻擊可能導(dǎo)致的結(jié)果，可以幫助企業(yè)了解如何正確地保護自己的Web應(yīng)用。

1.區(qū)域性趨勢

通過觀察不同區(qū)域的趨勢，我們可以對比世界各地的攻擊增長情況（圖4）。

圖4：亞太日本地區(qū)與Web應(yīng)用程序和API相關(guān)的攻擊大幅增加了449%

值得注意的是，拉丁美洲（LATAM）地區(qū)的攻擊數(shù)量出現(xiàn)了指數(shù)級的增長。數(shù)字化轉(zhuǎn)型以及對網(wǎng)絡(luò)犯罪活動有限的治理能力可能是導(dǎo)致該地區(qū)網(wǎng)絡(luò)犯罪活動不斷增長最主要的兩個因素。網(wǎng)絡(luò)犯罪每年會給該地區(qū)造成900億美元的損失，其中最主要的威脅包括加密劫持、欺詐、銀行木馬以及勒索軟件，這說明拉美地區(qū)的網(wǎng)絡(luò)犯罪更多是出于經(jīng)濟動機。2022年，哥斯達黎加遭受的Conti團伙勒索軟件攻擊就襲擊了多個政府網(wǎng)站，展現(xiàn)出勒索軟件即服務(wù)（RaaS）在經(jīng)濟影響之外所產(chǎn)生的其他破壞性作用。進一步分析該地區(qū)的情況我們發(fā)現(xiàn)，巴西在Web應(yīng)用年程序和API攻擊目標(biāo)的名單上名列前茅。由于網(wǎng)絡(luò)銀行業(yè)務(wù)的高度普及，巴西出現(xiàn)了很多與銀行有關(guān)的威脅。

亞太日本（APJ）地區(qū)與Web應(yīng)用程序和API有關(guān)的攻擊也大幅增長了449%，這似乎與該地區(qū)越來越多的網(wǎng)絡(luò)攻擊（主要是勒索軟件）相吻合。2022年初，我們發(fā)現(xiàn)Web應(yīng)用和API攻擊載體主要被勒索軟件團伙用于利用漏洞獲得初始訪問，該地區(qū)在Web應(yīng)用程序和API攻擊方面遭受攻擊最多的國家分別為澳大利亞、日本和印度。

接著再看看北美（NA）地區(qū)，該地區(qū)的Web應(yīng)用程序和API攻擊增加了354%。2022年初，俄烏沖突使得人們擔(dān)心會有人對美國和歐洲金融機構(gòu)發(fā)起網(wǎng)絡(luò)攻擊和報復(fù)，但其實在這之前，美國的金融服務(wù)機構(gòu)就在遭受大量勒索軟件、銀行木馬以及其他惡意軟件威脅。例如名為FIN8的網(wǎng)絡(luò)犯罪團伙入侵了美國的一些金融服務(wù)公司，地下黑市還流傳著40萬條美國和韓國銀行支付記錄。為緩解網(wǎng)絡(luò)安全風(fēng)險，美國聯(lián)邦存款保險公司、美國聯(lián)邦儲備系統(tǒng)理事會以及美國貨幣監(jiān)理署曾在2021年頒布了一項規(guī)則，要求在發(fā)生可疑威脅時必須向聯(lián)邦監(jiān)管機構(gòu)和銀行機構(gòu)組織的客戶發(fā)出“事件通知”。

與美國類似，歐洲也有一系列法案和法規(guī)，例如網(wǎng)絡(luò)和信息系統(tǒng)安全指令（NIS指令）、通用數(shù)據(jù)保護條例（GDPR）等，它們?yōu)榻鹑诜?wù)和其他垂直領(lǐng)域的網(wǎng)絡(luò)安全與數(shù)據(jù)保護提供了指導(dǎo)和基準(zhǔn)。雖然這些法規(guī)可以幫助企業(yè)面對安全問題提高彈性，但并不一定能讓企業(yè)面對網(wǎng)絡(luò)攻擊獲得免疫能力。例如一款名為Bizarro的銀行木馬就是一個直觀的例子，該木馬的目標(biāo)已經(jīng)涵蓋了大量歐洲銀行，同時衍生出多種移動軟件，其攻擊和載荷交付能力增速已經(jīng)達到了驚人的500%。在歐洲、中東和非洲（EMEA）地區(qū)，英國遭遇的Web應(yīng)用程序和API攻擊數(shù)量最多。

這些數(shù)據(jù)表明，犯罪團伙正在將更多精力和資源投注于金融服務(wù)行業(yè)，他們會充分利用各種自動化機制和偵查手段，并通過不斷迭代的方法來規(guī)避地理封鎖等規(guī)則。作為應(yīng)對，企業(yè)需要不斷完善安全規(guī)則并提高風(fēng)險的耐受程度，同時要確保所有面向互聯(lián)網(wǎng)的系統(tǒng)都能受到各類安全產(chǎn)品相結(jié)合所提供的保護。

2.應(yīng)用程序和API攻擊所涉及的載體

為了弄清攻擊的性質(zhì)，我們還可以進一步分析針對該行業(yè)所采取的攻擊中最常見的攻擊載體。這一點很重要，只有這樣才能更好地理解自己可能面臨的風(fēng)險，以及企業(yè)可能會遇到的攻擊類型。隨后，我們可以在這些知識的幫助下制定緩解策略，加強防御能力，封堵漏洞。

圖5：LFI攻擊已成為WAF攻擊大規(guī)模增長背后最主要的推動力

如圖5所示，Web應(yīng)用程序和API攻擊的增長主要由LFI和XSS推動。與主要為了訪問數(shù)據(jù)庫所用的SQL注入不同，攻擊者通常會利用LFI和XSS在目標(biāo)網(wǎng)絡(luò)中獲得立足點。

攻擊者會通過自動化工具不斷掃描互聯(lián)網(wǎng)，借此尋在潛在目標(biāo)。攻擊者可以借助LFI攻擊驗證目標(biāo)企業(yè)是否確實存在漏洞。此外，攻擊者還可將惡意代碼注入Web服務(wù)器，隨后通過遠程代碼執(zhí)行的方式利用LFI漏洞，從而危及系統(tǒng)安全。更糟的是，LFI可能被用于向攻擊者泄漏敏感信息。

XSS也會給企業(yè)造成安全隱患。攻擊者可以使用XSS漏洞將代碼注入網(wǎng)站，隨后每當(dāng)用戶訪問被攻陷的網(wǎng)站時，都會面臨信息泄漏的風(fēng)險。另一類XSS可由攻擊者通過惡意鏈接提供給受害者，導(dǎo)致受害者下載惡意載荷。攻擊者通常會借助這種載體開展釣魚攻擊并篡改網(wǎng)站。

金融服務(wù)垂直行業(yè)的Web應(yīng)用程序和API攻擊與日俱增，這是一個值得關(guān)注的問題，因為這會對安全性產(chǎn)生極大的影響。然而只有對攻擊面和載體獲得清晰的認識，才能幫助金融機構(gòu)更好地保護自己的環(huán)境。

3.載荷

接下來將介紹現(xiàn)實世界中針對金融服務(wù)機構(gòu)所進行的一次攻擊企圖。其中涉及到的載荷通常會配合使用不同的攻擊載體和漏洞，包括最新的CVE。在下文的圖10中可以看到，一些攻擊是專門為目標(biāo)量身定制的，但有些攻擊主要是為了偵查，這類攻擊往往更為“通用”。

4.自定義創(chuàng)建的XSS載荷

圖6：攻擊者發(fā)送的一個XSS載荷（編碼后）

圖7：攻擊者發(fā)送的一個XSS載荷（解碼后）

上述URL解碼后，XSS載荷將從攻擊者指定的域名下載并使用一個惡意腳本?？雌饋磉@個腳本似乎是針對特定目標(biāo)量身定制的。更重要的是，攻擊者可以借助這樣的載荷，利用OGNL漏洞（如Log4j，CVE-2021-44228）來運行腳本。

5.使用不同的攻擊方法

圖8：攻擊者嘗試了多種不同技術(shù)（解碼后）

另一方面，從圖8中可以看到，攻擊者執(zhí)行了SQL注入從而暴露了目標(biāo)數(shù)據(jù)庫的敏感信息。此外，還使用一個LFI漏洞通過Unix的cat命令轉(zhuǎn)儲敏感的etc/passwd文件內(nèi)容。此外還出現(xiàn)了另一個XSS探針，攻擊者借此檢查網(wǎng)站是否存在XSS漏洞。這是攻擊者在掃描/偵查階段最典型的做法，他們會同時測試目標(biāo)系統(tǒng)是否存在多種漏洞。

6.持續(xù)潛伏

圖9：該載荷試圖利用CVE-2022-24881這個RCE漏洞

圖10：CVE-2022-24881解碼后的版本

最后，通過圖9可以看到，該載荷試圖利用Ballcat Codegen軟件中發(fā)現(xiàn)的CVE-2022-24881這個RCE漏洞，攻擊者試圖對Velocity模板引擎注入惡意代碼來實現(xiàn)RCE。更具體來說，攻擊者轉(zhuǎn)儲了/etc/profile這個Unix文件（該文件可用于在用戶的外殼（Shell）上設(shè)置系統(tǒng)級環(huán)境變量）的內(nèi)容。攻擊者可以借此探測系統(tǒng)中是否存在漏洞，以及如果存在，是否能通過操作Unix文件來持久隱蔽自己。

小結(jié)

這一系列文章的第一篇，簡單介紹了全球金融服務(wù)機構(gòu)在信息安全方面所面臨的整體安全態(tài)勢，以及不同地區(qū)的業(yè)內(nèi)機構(gòu)在攻擊載體等方面存在的細微差異。

在了解了整體狀況后，敬請期待該系列的第二篇文章，屆時我們將進一步分析軟件漏洞、DDoS攻擊、網(wǎng)絡(luò)釣魚攻擊等攻擊方式對金融機構(gòu)可能造成的影響和隱患。