如果你曾經玩過育碧出品的《看門狗》系列，那么對于黑客主角團按下手機就可以直接讓ATM吐錢的場景一定不會陌生。當然，這樣的場景大概率不會在現實中發生，但對于金融服務行業來講，安全危機始終存在。誠然，新冠疫情為金融企業數字化改革進程按下了加速鍵，但在互聯網流量的激增的同時，互聯網上攻擊流量也在同步激增，金融行業尤為顯著，這使得金融行業在網絡和應用安全問題上的重視和投入日漸提高。

[[400572]]

作為一家大規模智能邊緣平臺和云安全廠商，阿卡邁技術公司(Akamai)與威脅情報公司WMC Global針對全球以及金融服務行業特定的Web應用程序和撞庫攻擊流量進行了分析，并于今天發布了《互聯網安全狀況報告：針對金融行業的網絡釣魚》，揭示了從2019年到2020年攻擊面同比顯著增加的趨勢。

LFI攻擊占比超SQL注入，DDoS仍居高不下

作為網絡攻擊的重災區之一，吸金能力強、利潤大的金融行業多年來一直都很受到網絡攻擊黑產團伙的“照顧”，各種各樣難以防御的網絡攻擊，使得在線金融服務、支付系統、大型銀行和POS終端等金融機構的業務被嚴重損害，Akamai在過去一年里共監測到63億次Web應用程序攻擊，其中超過7.36億次針對的是金融服務行業，增幅達到了62%。

Akamai在2020年監測到的網絡攻擊多達63億次

在這其中，本地文件包含(LFI)攻擊占比高達52%，是排名第一的應用程序攻擊類型，這說明犯罪分子仍然將API和應用程序作為首選的攻擊對象。而SQL注入(SQLi)緊隨其后，占比達到了33%。LFI攻擊利用了在服務器上運行的各種腳本，因此這類攻擊可用于強制泄露敏感信息。LFI攻擊還可用于在客戶端執行命令(比如容易受到攻擊的JavaScript文件)，這可能導致跨站點腳本攻擊(XSS)和拒絕服務(DoS)攻擊。XSS是針對金融服務的第三大常見攻擊類型，占觀察到的攻擊流量的9%。

LFI攻擊超越了SQL注入，成為針對金融行業的最常見攻擊類型

作為傳統攻擊方式的DDoS，近年來則以更多、更復雜的形式呈現出來。具體而言，單次攻擊的帶寬越來越高，攻擊的PPS值(每秒數據包)也越來越高。超大帶寬峰值流量的DDoS攻擊對于任何一家企業來講，都是很大的挑戰，金融服務業也是如此，根據Akamai的分析，過去三年間，針對金融服務行業的DDoS攻擊增加了93%，這表明系統破壞仍然是犯罪分子的目的，因此黑客往往會攻擊日常業務所需的服務和應用程序。

過去三年DDoS攻擊量持續增長

如今，黑產已經形成了規?；倪\營狀態。黑產中“攻擊即服務”概念興起，黑客基于行業排名逐個搜尋攻擊目標，有計劃地開展、有計劃地滲透、有計劃地發動攻擊、有計劃地勒索。尤其是針對金融行業。一開始，黑客組織會發出威脅性的電子郵件，警告如果公司不支付比特幣，則將對公司發起網絡攻擊，例如DDoS，這些郵件會明確受害者機構內的目標資產并承諾會進行一次小的“測試”攻擊來證明情況的嚴重性。

撞庫攻擊持續顯著增加，網絡釣魚成關鍵推手

去年一整年，針對Facebook等大型企業的撞庫攻擊在不斷上升，黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登陸其他網站后，得到一系列可以登錄的用戶。Akamai的報告顯示，去年有超過1930億次的撞庫攻擊，其中多達34億次針對的是金融服務機構，同比增長超過45%。

金融服務業在2020年每天都要經歷千萬級別的撞庫攻擊

這并不難理解，去年前兩個季度，在全球范圍內發生了多次大規模的數據泄露事件，例如Zoom的數據泄露事件，這造成了眾多數據開始在暗網傳播，一旦被黑客收集到，他們就會在包括金融機構在內的企業進行撞庫攻擊，作為最初始的安全保障，密碼一直都是安全鏈中的薄弱環節，而犯罪分子會毫不猶豫地利用這點、

而撞庫攻擊數量的持續顯著增加，則與金融服務行業的網絡釣魚狀況有直接的關系。Akamai安全研究員兼《互聯網安全狀況報告》作者Steve Ragan認為，“犯罪分子會使用各種方法來擴充其收集到的登錄憑據，而網絡釣魚則是他們攻擊手段中的關鍵工具之一。通過以該行業中的銀行客戶和員工為目標，犯罪分子令其潛在受害者的數量以指數方式增加。”

網絡金融釣魚是金融機構面臨的巨大威脅之一，攻擊者一般通過發送大量貌似可信銀行的詐騙郵件，誘導用戶輸入個人資料、賬戶敏感信息，以及銀行的交易和轉賬數據。一旦釣魚詐騙者獲取這些重要數據，就會入侵用戶賬戶并非法轉移用戶金融資產。今年2月份，硅谷頂級風險投資公司紅杉資本就遭遇了釣魚郵件攻擊，造成的損失不可估量。

雖然企業也在使用多因素認證(MFA)和雙因素認證(2FA)以增強基本密碼的安全性，但近年來的網絡釣魚手段也開始針對MFA和2FA，受害者在被誘導之后，會在談話過程中泄露一次性密碼(OTP)，使得攻擊者繞過密碼的安全保護。

更麻煩的是，網絡釣魚現如今已發展成為一種服務，高級的黑客會創建復雜的釣魚工具包，并配備完整的后端操作支持和功能，并將其出售給技術較低的罪犯。本次由Akamai與WMCGlobal共同發布的報告就研究了兩種特定的網絡釣魚工具包“Kr3pto”和“Ex-Robotos”。其中Kr3pto針對的是11家英國銀行，而Ex-Robotos則將其詐騙目標對準了企業員工。

Kr3pto網絡釣魚工具包以短信方式向金融機構及其客戶發起攻擊。自2020年5月以來，共計在英國總計欺詐了11家銀行，涉及8000多個域名。在2021年第一季度超過31天的時間里，WMCGlobal追蹤到了與Kr3pto短信發送目標受害者有關的4000多起活動。

Kr3pto的目標就是受害者的用戶名和密碼，該工具包首先會發送釣魚郵件，一旦受害者進入登錄頁面，釣魚攻擊就開始了，同時獲取受害者使用的OTP，例如安全問題和答案，以及基于短信的PIN，工具包可以動態適應受害者在銀行的登錄體驗，進而迷惑受害者。

Kr3pto的釣魚頁面

在企業撞庫網絡釣魚方面，Ex-Robotos則提供了一個基準，根據Akamai智能邊緣平臺(Akamai Intelligent Edge Platform)的數據，43天內用于Ex-Robotos的APIIP地址的點擊量超過22萬次。事實上，在2021年1月31日至2月5日間，該地址的峰值流量達到了平均每天數萬次。

Ex-Robotos包括兩種釣魚方式，一種是語音郵件，另一種則集中在受保護文檔上。但都遵循同樣的運行程序，大多數受害者是企業用戶，而他們的郵件則可能在更早之前已被犯罪分子獲取，并成為攻擊目標。一旦受害者的密碼被收集，Ex-Robotos就會通過電子郵件發送這些密碼，并為犯罪分子的撞庫攻擊提供數據。

顯示數據收集功能的Ex-Robotos代碼

Kr3pto和Ex-Robotos在全球范圍內都被犯罪分子廣泛使用，一旦犯罪分子獲得了憑證，就可以進行更多的攻擊，這意味著金融機構及其他企業需要采用更強大的2FA/MFA替代品保護自己的密碼安全。

WMC Global高級威脅狩獵師Jake Sloane表示：“像Kr3pto和Ex-Robotos這樣的工具包只是當今威脅企業和消費者的眾多工具包中的兩種而已。請記住，員工也是消費者，隨著居家辦公的普及以及企業環境中移動設備的使用，犯罪分子會毫不掩飾地攻擊這些人員——無論他們身在何處，所以近期短信形式的網絡釣魚攻擊數量激增也就很好解釋了。”

數字時代，保護資產安全至關重要

頻發的網絡安全案件，給企業的信息安全建設敲響了警鐘。一旦遭遇網絡安全事故，企業的資產、業務和聲譽都將蒙受巨大損失，甚至會動搖自身的生存根基。那么，企業如何在享受信息技術紅利的同時，抵御越來越致命的網絡安全風險?

相比“應對”威脅，“提前感知”威脅，顯然是提升安全防護效率、降低安全風險最經濟的方式。因此，威脅情報的安全投入對于企業占據攻防先機至關重要，也是企業在安全左移趨勢下做好安全前置的有效途徑。

另一方面，以“持續驗證，永不信任”為核心的零信任，無論是從安全高配，還是在降本增效方面，都是遠程業務常態化過程中企業進行安全建設的高性價比價值點。即使企業存在被攻陷的風險，在多維身份認證、最小權限動態訪問控制以及可變信任管理等策略的保護下，也可以提供持續的安全防護。