2020年对安全行业来说是充满挑战的一年,因为由于COVID-19大流行,网络犯罪分子越来越多地将某些类别的用户和企业作为目标,尤其是与金融相关的行业可以从中获得巨大的利益。2020年对于金融业来说也是多事之年。除了要对付老牌的金融犯罪组织,比如Lazarus,还要对付一些平时不针对金融机构的APT组织的改造。此外,一些只活跃于部分地区的攻击者也开始放眼全球。例如,常年活跃在巴西和拉丁美洲的银行恶意软件家族Guildma、Javali、Melcoz和Grandoreiro(统称为Tétrade)也将业务扩展到了其他大陆。与此同时,过去造成严重破坏的恶意软件经常重新出现,被国际刑警组织描述为“世界上最危险的恶意软件”的Emotet在2020年的使用量激增,直到今年年初世界各地的执法机构将目标对准了表情机器人。由于其网络基础设施的中断,其业务活动仅受挫了至少几个月。2020年,尽管网络攻击的频率越来越高,但总体统计数据是积极的:受到计算机和移动恶意软件攻击的用户数量总体下降,网络钓鱼也有所下降。然而,这并不意味着网络世界变得更加安全,而是网络犯罪分子的目标和策略发生了很大变化,他们的攻击变得更有针对性。与此同时,我们观察到网络犯罪分子巧妙地适应全球变化,并从远程办公漏洞和日益流行的在线购物中获益。这份报告旨在阐明2020年金融网络威胁的更多细节。它概述了过去一年中整个金融威胁领域的攻击趋势和关键事件,包括用户遇到的常见网络钓鱼威胁,以及常见的基于Windows和Android的金融恶意软件..前提本文定义了两类金融恶意软件:第一类是针对金融服务用户(如网上银行、支付系统、电子货币服务、电子商店和加密货币服务)的恶意软件;第二类是试图获得金融服务访问权限的恶意软件。无法访问组织及其基础设施的恶意软件,因为在大多数情况下,金融恶意软件活动依赖于垃圾邮件和网络钓鱼,最常见的是通过伪造分段网页或电子邮件来窃取受害者信息。本文数据来自卡巴斯基用户。为了分析恶意软件的发展趋势,将2020年的数据与2019年的数据进行了对比。部分内容为了更好地了解金融恶意软件的发展,还参考了更早时期的数据。钓鱼主要发现:2020年遭受钓鱼攻击的用户比例从15.7%下降到13.21%;在线商店成为钓鱼攻击的首选目标,卡巴斯基产品拦截的钓鱼页面中近五分之一是在线商店页面;针对PayPal用户的钓鱼攻击从2019年的26.8%飙升至2020年的38.7%,而该类别中长期排名TOP1的Visa跌至第四位。计算机:2020年有625364名用户被银行木马攻击,比2019年的773943名减少148579名;俄罗斯、德国和哈萨克斯坦的用户是2020年金融恶意软件最常见的目标;Zbot仍然是传播最广的银行恶意软件(22.2%的用户受到攻击),CliptoShuffler位居第二(15.3%),Emotet位居第三(14.5%);36%的银行恶意软件攻击用户是企业用户,比上一年增加了一个百分点。移动:2020年,Android银行恶意软件攻击的用户数量迅速下降超过55%——从2019年的675,772人下降到2020年的294,158人。日本、台湾和西班牙的用户受到Android银行恶意软件攻击的比例最高。FinancialPhishing网络钓鱼是犯罪分子最常用的手段之一,其受欢迎的原因是不需要太多的投资或技术专长。在大多数情况下,诈骗者的目标要么是获取受害人的钱,要么是获取可以出售的数据。卡巴斯基检测到的金融钓鱼攻击在所有钓鱼攻击中的百分比(2016-2020)如下图所示:图1.2020年金融钓鱼攻击占所有钓鱼攻击的百分比,卡巴斯基反钓鱼技术检测到434,898,635次尝试访问各类钓鱼页面,其中37.2%与金融钓鱼相关,较2019年的51.4%下降14.2个百分点,是近五年来最低的金融钓鱼率。所谓“金融网络钓鱼”,我们不仅指银行网络钓鱼,还指其他几种类型的网络钓鱼:从模仿PayPal、Visa、MasterCard、美国运通等知名支付品牌的页面,到在线商店和亚马逊等拍卖网站,AppleStore,Steam,E-bay等2019年卡巴斯基产品检测到的金融钓鱼案例分布如下图:图2.2019年金融钓鱼案例类型分布图3.2020年金融钓鱼案例类型分布对于钓鱼来说,2020年绝对是特别的一年。一年前,我们的报告显示与银行相关的网络钓鱼案件已从不到22%增加到近30%。2020年,银行钓鱼仅占总量的10.72%。与此相反,2019年在线商户钓鱼量为7.57%,2020年几乎翻了两番,达到18.12%。我们将这些变化与新冠疫情导致的封锁措施联系起来——在家里,人们大部分时间都转向网络购物和数字娱乐,因此用户需求的增长导致网络犯罪分子的“供给”增加。值得注意的是,虽然网上购物被证明是最受诈骗者青睐的领域,但支付系统的吸引力并不大——仅占8.41%。2019年支付系统钓鱼事件统计:图4.2019年金融钓鱼事件中最常见的支付品牌从上图可以看出,2019年受影响最大的是Visa用户(37.6%),PayPal有26.8%的份额排在第二位的是万事达卡(MasterCard),占据第三位。图5.2020年金融钓鱼事件中最常见的支付品牌PayPal在2020年的使用率超过任何其他支付系统,其份额增加12个百分点至38.7%。图6.针对PayPal用户的网络钓鱼页面示例Mastercard位居第二,其份额从16.3%略微增加到17.5%。第三和第四名之间的差距很小,分别是美国运通(10.6%)和维萨(10.2%)。2020年,Visa钓鱼页面的出现次数是2019年的3.5倍(37.6%)。图7.针对Visa用户的钓鱼页面示例在2019年金融钓鱼事件中最常见的在线市场中,Apple是欺诈者的第一选择,占42.8%,其次是亚马逊(23.6%)和eBay(14.2%).商店分别排名第二和第三。图8.2019年金融钓鱼最常见的网商品牌图9.常见网商钓鱼页面示例2020年,针对网店的钓鱼攻击持续增长,亚马逊以27.84%排名第一,苹果(27.07%)有所下降下降15个百分点至第二位,Steam(14.90%)位居第三,eBay(12.85%)位居第四。图10.2019年金融网络钓鱼中最常见的电子商务品牌银行恶意软件PC端银行恶意软件通常用于窃取网上银行和支付系统帐户的凭据和一次性密码。银行恶意软件在2016年10月达到顶峰,有1,494,236名用户受到攻击,之后受到攻击的用户数量开始逐渐下降。2020年也不例外,被攻击的用户数量从2019年的773943人下降到625364人,降幅接近20%。这是因为网络攻击的目标越来越具体——犯罪团伙现在更倾向于攻击大型企业,但仍有许多普通用户和小型企业成为Zbot、CliptoShuffler、Emotet、RTM、ETC。。图11.2018年至2020年受到银行业恶意软件攻击的唯一用户动态攻击组我们每年都会检测到多个银行业恶意软件系列,其中一些已经失宠,而另一些则越来越受欢迎。以下是2019年检测到的10个最活跃的银行恶意软件家族。以下是2019年检测到的前10个最活跃的银行恶意软件家族,其中Zbot(21.6%)、RTM(19.8%)、Emotet(12.6%)、CliptoShuffler(5.6)居首%)和Trickster(5.5%)。图12.2019年Top10最广泛的银行恶意软件家族2020年Top10银行恶意软件家族如下图所示,其中前四名(Zbot、CliptoShuffler、Emotet和RTM)占总数的一半以上。图13.2020年最广泛使用的10大银行恶意软件家族虽然Zbot(22.2%)仍然是金融领域最常用的恶意软件,但该列表发生了一些变化:RTM从第二位下降到第四位,占10.5%,而两个其他家族CliptoShuffler(15.3%)和Emotet(14.5%)在2020年均有所上升。两年前排名第二的Gozi家族(3.3%)已被挤至第九位。此外,2020年也是地区威胁对外扩张的特殊年份。我们称之为Tétrade的四大巴西银行恶意软件家族不仅针对拉丁美洲,还针对亚洲和欧洲国家/地区。受攻击用户的地理位置为了评估和比较世界不同国家用户面临的计算机感染风险程度,我们计算了报告期内每个国家的金融恶意软件攻击和用户的总数和比例。2019年和2020年受银行恶意软件攻击的所有用户中,十个国家占一半以上。2019年前十名如下:图14.2019年受银行恶意软件攻击的前十个国家/地区2019年,俄罗斯占33.6%,德国以7.4%位居第二,中国以3.3%紧随其后。2020年情况如下:图15.2020年银行恶意软件攻击数量Top10国家俄罗斯(26.6%)和德国(4.5%)尽管排名下滑,但仍占据前10名的前两位。值得注意的是,由于大多数卡巴斯基用户位于俄罗斯,因此俄罗斯的数量往往最高。哈萨克斯坦曾以2%的收入排名第九,今年以2%的增幅进入前三。受攻击的用户类型2020年受到银行恶意软件攻击的用户中有36%是企业用户,比上一年增加了一个百分点。这在一定程度上证实了我们的假设,即网络犯罪分子正在将注意力转移到企业空间,尽管增长相对较小,我们预计这种趋势在未来会变得更加明显。图16.企业vs个人用户数据对比综上所述,2020年,由于对现场工作和员工的限制,以及远程办公员工数量的增加,企业安全变得更加脆弱。仓促过渡到远程工作已经影响了企业安全,大多数企业没有做好准备,缺乏适当的安全培训,员工自己的计算机可能包含易受攻击的远程访问连接——这些因素结合起来为各种攻击铺平了道路。铺平了道路,包括银行恶意软件诈骗。与加密货币相关的网络威胁2018年,加密货币成为最热门的话题,并引起了整个网络安全界的关注。我们分析了网络犯罪分子挖矿软件的分布情况,发现如今的恶意活动已不像过去那样普遍。图17.2019年遭受挖矿恶意软件攻击的用户数量图18.2020年遭受挖矿恶意软件攻击的用户数量图19.2020年挖矿攻击的地理分布在某些地区,数字已经趋于平稳,甚至趋势开始逆转。2020年底加密货币价格的大幅上涨很可能会加剧2021年初的威胁。此外,由于新冠病毒危机,2021年部分经济体可能崩溃,本币可能暴跌,使加密货币更具吸引力.银行恶意软件-移动2019年,受银行恶意软件影响的用户数量从2018年的约180万下降到675,000。图20.2018年至2019年2020年受Android银行恶意软件攻击的用户数量,受攻击的用户数量下降不到60%至294,158。图21.2019年至2020年受到Android银行恶意软件攻击的用户数量图22.2019年最广泛传播的Android银行恶意软件Asacub(25.6%)在2020年的份额仍然最大。但是,自2019年以来已经缩小了18.8个百分点。代理商(18.0%)仍然位居第二,尽管比上一年略有下降。Svpeng(12.8%)主要寻找受感染设备的管理员权限,今年受到Rotexy(17.9%)的挑战,Rotexy将银行木马功能与勒索软件拦截器的功能结合在一起。2020年仍然是Asacub(25.6%)占比最高,但这一比例自2019年以来缩水了18.8个百分点。Agent(18.0%)仍位居第二,低于去年,Svpeng(12.8%)主要搜索管理员受感染设备的特权,Rotexy(17.9%)将银行木马的功能与勒索软件拦截器功能相结合。图22.2020年最广泛传播的Android银行恶意软件2020年出现了几种新的移动银行恶意软件,简要总结如下:153个移动应用程序,涵盖加拿大、巴拉圭、秘鲁、葡萄牙、德国等地的银行、交易所、加密货币交易所和金融科技组织。Trojan-Banker.AndroidOS.Gorgona.a该恶意软件模仿GooglePlay,使用通知面板来吸引用户的注意力。它可以拨打和重定向电话、执行USSD命令、安装额外的应用程序,并在需要时阻止设备。如果授予使用辅助功能的权限,它可以获得进一步的权限,例如接收和处理文本消息,因此也可以控制双因素身份验证。它使用TCP进行C2通信,并倾向于以土耳其的银行为目标。Trojan-Banker.AndroidOS.Knobot.a是一种新型恶意软件。除了钓鱼窗口和拦截双因素身份验证消息外,该木马还提供了一些其他同类软件所不具备的功能,例如通过无障碍服务拦截设备PIN码。机制。具有讽刺意味的是,它要求受害者委托他们的权利,甚至提供了一个关于如何这样做的小指南。图23.Trojan-Banker.AndroidOS.Knobot.a受攻击用户的地理定位2019年受Android银行恶意软件攻击的用户百分比排名前10位的国家/地区:2020年受攻击的Android银行银行恶意软件的用户百分比排名前10位的国家/地区:从统计数据可以看出,所有国家都已经完全更名了。俄罗斯从2019年的第一位跃升至2020年的第七位。2019年未被提及的日本(2.83%)和台湾(0.87%)迅速跃居榜首,西班牙(0.77%)取代它以近3,000名受影响的用户澳大利亚,位居第三。结论2020年表明,网络犯罪分子可以轻松适应不断变化的世界——不断更新恶意软件的新功能并改进检测规避技术。随着COVID-19大流行改变了公众对网上购物的态度,犯罪团伙注意到并将他们的注意力从银行转移到网上商店。银行木马针对企业用户的新兴趋势也令人担忧,这可能会带来比个人更多的问题。与此同时,针对金融机构的区域性诈骗正在全球范围内逐渐蔓延,并有可能在2021年进一步增长。因此,尽管总体统计数据看起来在下降,但金融机构仍然面临着巨大的威胁格局。为防范财务威胁,卡巴斯基建议用户:仅安装从可靠来源(如官方网站)获得的应用程序;检查应用程序请求的访问权限,如果与功能集不匹配,则不授予它们;永远不要点击垃圾邮件链接和随附的文档;·安装可信的安全解决方案。为了保护企业免受金融恶意软件的侵害,卡巴斯基建议:对您的员工,尤其是负责会计的员工进行网络安全意识培训,教他们检测网络钓鱼页面并提高员工的整体数字素养;关键用户配置文件,例如财务部门的用户配置文件,为Web资源启用默认拒绝模式,以确保只有合法用户配置文件可以访问;为所有正在使用的软件安装最新的更新和补丁;为抵御复杂威胁和针对性攻击的危害,安装反APT和EDR解决方案以进行网络威胁检测、事件调查和及时恢复措施,为您的SOC团队提供最新的威胁情报和定期技能和培训。本文翻译自:https://securelist.com/financial-cyberthreats-in-2020/101638/如有转载请注明出处。
