金钱的场景想必不陌生。当然,这样的场景在现实中大概率不会发生,但对于金融服务行业来说,安全危机始终存在。诚然,COVID-19疫情加速了金融企业的数字化改革进程,但在互联网流量激增的同时,互联网上的攻击流量也同步激增,尤其是金融行业,这让金融行业更加关注网络和应用安全问题。关注度和投入度与日俱增。大型智能边缘平台和云安全供应商Akamai与威胁情报公司WMCGlobal对全球和金融服务行业特定的Web应用程序和撞库攻击流量进行了分析,今天发布《互联网安全状况报告:针对金融行业的网络钓鱼》,揭示了重要的一年-2019-2020年攻击面同比增长,LFI攻击占比超过SQL注入,DDoS居高不下。这种难以防御的网络攻击严重损害了在线金融服务、支付系统、大型银行和POS终端等金融机构的业务。Akamai在过去一年共监测到63亿次Web应用程序攻击,其中超过7.36亿次,此次针对金融服务行业,增幅达到62%。Akamai在2020年检测到多达63亿次网络攻击。其中,本地文件包含(LFI)攻击占比高达52%,是排名第一的应用程序攻击类型,这表明犯罪分子仍在使用API和应用程序。程序成为攻击的首选目标。SQL注入(SQLi)紧随其后,占33%。LFI攻击利用在服务器上运行的各种脚本,因此此类攻击可用于强制泄露敏感信息。LFI攻击还可用于在客户端执行命令(例如易受攻击的JavaScript文件),这可能导致跨站点脚本(XSS)和拒绝服务(DoS)攻击。XSS是针对金融服务的第三大最常见攻击类型,占观察到的攻击流量的9%。LFI攻击已经超越SQL注入,成为针对金融行业最常见的攻击类型。DDoS作为一种传统的攻击方式,近年来以越来越复杂的形式出现。具体来说,单次攻击的带宽越来越高,攻击的PPS值(packetspersecond)也越来越高。超大带宽峰值流量的DDoS攻击对于任何企业来说都是一个不小的挑战,对于金融服务行业同样如此。根据Akamai的分析,过去三年针对金融服务行业的DDoS攻击增加了93%,这表明系统破坏仍然是犯罪分子的目标,因此黑客经常攻击日常业务所需的服务和应用程序。近三年DDoS攻击量持续增加,现在黑产已经形成规模化运行状态。黑色产业中“攻击即服务”的概念正在兴起。黑客根据行业排名逐一搜索攻击目标,策划实施,策划渗透,策划发起攻击,策划勒索。尤其是对于金融行业。一开始,黑客组织会发出威胁邮件,警告如果公司不支付比特币,就会对公司发起网络攻击,比如DDoS,这些邮件会指定受害者组织中的目标资产,并承诺小攻击。“测试”攻击以证明情况的严重性。撞库攻击持续显着增加,网络钓鱼成为关键驱动因素在过去的一年里,针对Facebook等大公司的撞库攻击一直呈上升趋势。黑客在网上收集泄露的用户和密码信息,生成相应的字典表,并尝试批量登录其他网站后,得到一系列可以登录的用户。根据Akamai的报告,有超过1930亿个凭据去年的填充攻击中,针对金融服务机构的攻击高达34亿,同比增长超过45%。不难理解,2020年金融服务行业每天都会遭受数千万次的撞库攻击。去年前两个季度,全球范围内发生了多起大规模数据泄露事件,例如Zoom数据泄露,这导致大量数据在暗网上传播。黑客一旦收集到,就会对包括金融机构在内的企业进行撞库攻击。密码作为最初的安全保障,一直是安全链条上的薄弱环节,不法分子不惜钻空子,撞库攻击数量的持续大幅增加,直接关系到金融服务中的网络钓鱼状况。行业。据Akamai安全研究员兼?的作者SteveRagan称,“犯罪分子使用各种方法来丰富他们收集的登录凭据,网络钓鱼是他们攻击方法中的关键工具之一。犯罪分子以银行客户和员工为目标,犯罪分子使潜在受害者的数量成倍增加。”网络钓鱼是金融机构面临的最大威胁之一,攻击者通常会发送大量伪装成可信银行的欺诈邮件,诱使用户输入个人详细信息、敏感账户信息以及银行交易和转账数据。钓鱼诈骗者一旦获得这些重要数据,就会侵入用户账户,非法转移用户金融资产。今年2月,硅谷顶级风投公司红杉资本遭到钓鱼邮件攻击,造成不可估量的损失。尽管企业也在使用多重身份验证(MFA)和双因素身份验证(2FA)来增强基本密码的安全性,但近年来的钓鱼手段也开始针对MFA和2FA。一次性密码(OTP)在此过程中被泄露,使攻击者能够绕过密码的安全保护。更糟糕的是,网络钓鱼现在已经发展成为一种服务,老练的黑客可以创建复杂的网络钓鱼工具包,完成完整的后端操作支持和功能,并将它们出售给技能较低的犯罪分子。这份由Akamai和WMCGlobal联合发布的报告检查了两个特定的网络钓鱼工具包,“Kr3pto”和“Ex-Robotos”。其中,Kr3pto针对的是11家英国银行,而Ex-Robotos针对的是其欺诈员工。Kr3pto网络钓鱼工具包通过短信攻击金融机构及其客户。2020年5月以来,英国共有11家银行被骗,涉及域名超过8000个。在2021年第一季度超过31天的时间里,WMCGlobal跟踪了4,000多个与针对受害者的Kr3pto短信相关的活动。Kr3pto以受害者的用户名和密码为目标。该工具包首先发送网络钓鱼电子邮件。一旦受害者进入登录页面,网络钓鱼攻击就开始了。同时获取受害者使用的OTP,如安全问题和答案,以及基于短信的PIN,该工具包可以动态适应受害者在银行的登录体验,从而迷惑受害者。Kr3pto的钓鱼页面Ex-Robotos在企业撞库钓鱼方面提供了一个基准,根据AkamaiIntelligentEdgePlatform的数据,Ex-Robotos使用的APIIP地址在43天内获得了超过22万次的点击。事实上,在2021年1月31日至2月5日期间,该地址的峰值流量达到了平均每天数万次。Ex-Robotos包括两种网络钓鱼方法,一种是语音邮件,另一种侧重于受保护的文档。但它们都遵循相同的操作程序。受害者多为企业用户,他们的邮箱可能更早被不法分子获取,成为攻击目标。一旦收集到受害者的密码,Ex-Robotos就会通过电子邮件发送给他们,并为犯罪分子的撞库攻击提供数据。Ex-Robotos代码Kr3pto和Ex-Robotos,显示数据收集能力,被世界各地的犯罪分子广泛使用。一旦犯罪分子获得凭证,他们就可以进行更多的攻击,这意味着金融机构和其他企业需要采用更强大的2FA/MFA替代方案来保护您的密码安全。“像Kr3pto和Ex-Robotos这样的工具包只是当今威胁企业和消费者的众多工具中的两个,”WMCGlobal高级威胁猎手JakeSloane说。随着办公室的普及和企业环境中移动设备的使用,犯罪分子将公开瞄准这些人——无论他们身在何处,因此最近以短信形式进行的网络钓鱼攻击数量激增就得到了很好的解释。”数字时代,资产安全保护至关重要,网络安全案件的频发为企业信息安全建设敲响了警钟。一旦发生网络安全事件,公司的资产、业务和声誉都将遭受巨大损失,甚至自身的生存基础也会动摇。那么,企业如何在享受信息化红利的同时,抵御日益致命的网络安全风险呢?与“响应式”威胁相比,“预感”威胁显然是提高安全防护效率、降低安全风险的最经济的方式。因此,威胁情报的安全投入对于企业主动攻防非常重要,也是在安全左移趋势下,企业做好安全面前的有效途径。另一方面,以“持续验证,永不信任”为核心的零信任无论是在高安全配置还是降低成本方面,都是企业在常态化远程业务过程中进行安全建设的性价比价值点和效率增加。即使企业面临被入侵风险,也能在多维身份认证、最小权限动态访问控制、可变信任管理等策略的保护下,提供持续的安全防护。
