2017年無疑是金融機構所面臨的網絡威脅世界發生重大變化的一年，惡意攻擊者隊伍不斷壯大及其攻擊方式的多樣性，給2018年的金融行業帶來哪些考驗與啟示?

一、回顧2017年那些“大事件”

2017年度，全球十余個國家的多家銀行機構使用的SWIFT(銀行結算系統)陸續遭到網絡攻擊，此類系統正是全球金融生態系統的基礎。攻擊者能夠利用金融機構內部的惡意軟件操縱處理跨境交易的應用程序，之后可在全球任意金融機構處提取資金。

其次，2017年網絡犯罪分子一直試圖滲透金融機構，且惡意活動顯著擴張。不同的網絡犯罪組織正大量入侵銀行基礎設施、電子貨幣系統、加密貨幣交易所、資本管理基金甚至是賭場，并希望借此獲取數額可觀的資金。

1. 攻擊者越來越青睞ATM

為了實施上述網絡犯罪活動，攻擊者們傾向于采用成熟的貨幣化網絡入侵手段。除了攻擊SWIFT(銀行結算系統)之外，網絡犯罪分子們還一直在積極利用ATM感染(包括金融機構內部網絡中的ATM設備)，遠程銀行系統、PoS終端網絡以及變更銀行數據庫內余額數據等方法。

[[213919]]

2. 劫持銀行域名干擾銀行客戶操作

網絡犯罪分子逐漸熱衷于使用劫持銀行域名的方式對銀行客戶的電子業務進行攔截。通過這種方式，客戶無法訪問銀行的系統，而是被重新定向至入侵者創建的虛假系統。犯罪分子能夠在數小時內陸續完成釣魚攻擊，安裝惡意代碼、并干擾在線網銀客戶等操作。

在某些國家，銀行機構對于物理安全的重視程度持續走低，這也是導致金融資產易遭受各類攻擊的原因之一。具體來講，由于攻擊者能夠輕松訪問相關設備的電纜線路，并接入小型Raspberry Pi設備，數個月之后這些小裝置將能夠收集到大量與銀行網絡相關的信息，并通過LTE連接將截獲的數據發送至入侵者的服務器端。

二、2018年預測

1. 通過金融系統的底層區塊鏈技術實施攻擊

全球范圍內幾乎所有大型金融機構都在積極投資構建基于區塊鏈技術的系統。任何新興技術都擁有顯著的優點，但也會帶來某些新的風險。基于區塊鏈技術的金融系統并非完美，事實上區塊鏈體系中的漏洞與錯誤很可能給攻擊者帶來可乘之機，甚至破壞金融機構的工作成果。舉例來說，2016年到2017年之間，智能合約中就被發現存在一系列漏洞與錯誤，并影響到以此為基礎建立的部分金融服務。

[[213920]]

2.  金融領域將出現更多供應鏈攻擊

大型金融機構在網絡安全方面投入了大量資源，因此對基礎設施進行滲透絕非易事。然而，未來一年內，網絡犯罪分子可能會積極利用威脅向量對“為金融機構提供軟件”的廠商發動攻擊。與金融機構本身相比，這些軟件供應商的自我保護能力大多相對較低。去年，此類攻擊就讓NetSarang、CCleaner以及MeDoc等成為受害者，攻擊者對各類軟件的更新補丁進行了替換或篡改。

在接下來的一年中，網絡犯罪分子還將針對金融機構專用軟件(ATM與PoS終端軟件)發動更多攻擊。幾個月前，首例此類攻擊嘗試被發現——攻擊者將一個惡意模塊嵌入至固件安裝文件，并將其放置在美國某ATM軟件供應商的官方網站上。

3. 入侵并篡改大眾傳媒，獲取經濟回報

2017年被稱為“假新聞”年。攻擊者入侵并篡改Twitter帳戶、Facebook頁面、Telegram等大眾傳媒操縱輿論，甚至靠說謊賺錢，通過股票/加密貨幣交易獲取經濟回報。

盡管證券交易大部分由負責操縱源數據的機器人進行，且此類數據僅被單純用于執行某些交易操作，但它有能力引發貨物、金融工具以及加密貨幣在價格層面的巨大變化。事實上，名人發布的一條推文或者是社交網絡上由大量假帳號放出的一波消息都有可能左右市場行情。相信入侵者們肯定會采取這樣的方法。如此一來，安全專家幾乎不可能從參與攻擊的帳戶中找到誰才是實際受益者。

[[213921]]

4. ATM惡意軟件自動化

首例面向ATM設備的惡意軟件始于2009年，那之后，此類設備一直受到網絡詐騙分子的高度關注，而相關攻擊手段也一直不斷演變。這類行為在2017年變得極為受歡迎，甚至出現了首個針對ATM的MaaS(惡意軟件即服務)：

網絡犯罪分子在地下論壇可提供一切必要的惡意程序與視頻教程; 而購買者只需要選擇目標ATM設備，按照說明進行操作，向網絡犯罪分子付費以激活ATM上的惡意程序，而后即可開始取款。此類服務的出現大大增加了網絡犯罪分子的數量，甚至使得非技術專業人士也能夠實施網絡犯罪。

ATM MaaS的出現意味著這類攻擊將逐步實現全面自動化——微型計算機將自動接入自動取款機，進而實施惡意軟件安裝及吐鈔操作——或者收集卡內數據。這將大大縮短入侵者實施犯罪所需要的時間。

5. 更多攻擊指向加密貨幣交易平臺

過去一年中，加密貨幣吸引到大量投資者，這又反過來推動各類虛擬幣與代幣交易呈現出蓬勃發展的態勢。不過擁有強大網絡安全保障能力的傳統金融機構，卻并未急于殺入這一領域。

這種狀況為攻擊者們破壞加密貨幣交易流程帶來了理想的機會。一方面，新興企業很難正確測試其安全系統。另一方面，從技術角度講，整體加密貨幣交易業務建立在眾所周知的原則與技術基礎之上。因此，攻擊者很清楚而且能夠輕松獲取到足以滲透至加密貨幣服務站點的必要工具。

6. 隨著前一年大量數據泄露事故的出現，2018年傳統銀行卡欺詐活動將迅速增加

2017年發生了一系列數據泄露事件——包括最近剛剛發生的、導致超過1.4億美國民眾數據泄露的Equifax案，以及造成5700萬客戶數據曝光的Uber案——這些都表現出傳統銀行業在安全方面的不足，因為泄露都是基于對當前或潛在客戶的數據分析。

舉例來說，攻擊者可以利用其中包含的受害者個人信息偽造銀行客戶身份，從而要求銀行提供資金轉移或者安全信息提示。正因為如此，2018年很可能迎來新一波傳統欺詐活動高峰，而各企業多年來收集(但未加以妥善保護)的客戶大數據將幫助攻擊者順利完成其欺詐活動。

7. 更多民族國家支持型攻擊將降臨至金融機構頭上

臭名昭著的拉扎魯斯集團，其后可能有朝鮮支持，它近年來先后對世界范圍內多家銀行施以攻擊——包括位于南美洲、歐洲、亞洲以及大洋洲的銀行機構。其主要目標在于竊取大筆資金，總金額已達數億美元。此外，由“影子經紀人”方面發布的數據顯示，經驗豐富的國家支持型APT組織也在將矛頭指向金融機構，以便進一步把握資金的流向。明年很可能會有更多剛剛加入網絡間諜“競賽”的國家要求其APT組織同樣以金融機構攻擊作為起點——既能賺錢又可獲取客戶信息、了解資金流向及金融機構內部程序，何樂而不為?

8. 金融科技登場與純移動端用戶

傳統PC端網上銀行木馬的數量有所下降; 新興移動端銀行用戶將成為犯罪分子的首選攻擊目標。

數字銀行將繼續在全球范圍內，特別是在新興市場當中徹底顛覆原有金融行業。以巴西與墨西哥為例，此類銀行服務正快速發展，這當然引起了網絡犯罪分子的關注。網絡犯罪分子將越來越多地襲擊此類銀行及其客戶。此類金融機構的特點在于，其完全不具備分支機構以及傳統的客戶服務體系。銀行與客戶之間的所有溝通實際上都是通過移動應用進行的。這可能引發以下幾種后果：

首先是Windows木馬數量的減少，這意味著攻擊者不再以傳統網上銀行作為資金竊取的首選目標。

其次，數字金融機構數量的持續增加將給網絡犯罪分子帶來更多可作為目標的用戶群體——特別是其中并不具備移動銀行業務使用經驗，但卻在移動設備上安裝有銀行應用的用戶。這些人很可能成為Svpeng等社交工程類惡意軟件的主要攻擊對象。而且說服客戶通過移動應用進行轉賬，要比強迫其前往實體銀行執行轉賬操作容易得多。

三、危害與方案

在過去幾年中，針對金融機構的攻擊活動在數量與質量層面皆在不斷提升。更具體地講，這些攻擊專門針對金融機構的基礎設施及其員工，而非以其客戶為目標。

尚未將網絡安全納入考量的各金融機構也將很快看到黑客攻擊的后果，而這些后果將對其業務造成嚴重的負面影響，甚至導致業務完全停滯以及大額經濟損失。

為了防止此類情況的發生，各金融機構有必要不斷調整自身安全系統，從而適應新的威脅與挑戰。而這一切的基礎，無疑在于對最重要且關聯性最強的網絡攻擊數據與信息作出分析——否則保護工作將無從談起。

要做到有效防范，不但要選擇正確的安全方案，還應采用專門的攻擊情報報告機制，因為此類情報中包含有可立刻部署至整個保護系統中的信息。舉例來說，在未來幾個月中，采用YARA規則與IOC(即違規指標)將成為金融機構必須重視的一大關鍵性任務。