近日，Akamai 發布了新一期的《互聯網現狀》報告，報告標題為“創新遭遇高風險：金融服務業的攻擊趨勢”。該報告重點介紹了以下內容：亞太地區及日本的金融服務業仍然是全球遭受攻擊最多的行業之一，2022 年第 2 季度到 2023 年第 2 季度所遭受的 Web 應用程序和 API 攻擊數量增長 36%，總數超過 37 億次。此外，該報告還發現，本地文件包含 (LFI) 仍然是最主要的攻擊媒介，并且針對亞太地區及日本金融業的攻擊中有 92.3% 的攻擊以銀行為目標，對金融機構及其客戶構成了巨大威脅。

由于亞太地區及日本的金融機構擴張并加速數字創新，針對這些機構的 Web 應用程序和 API 攻擊數量增長 36%

隨著亞太地區及日本的金融服務企業開拓更多渠道并提供更好的客戶體驗，它們使用的第三方腳本越來越多，實際上其占比已達到了所用腳本總數的 40%。這些數據點表明，隨著各個企業（尤其是銀行和以消費者為中心的機構）不斷擴展其數字足跡以覆蓋更多客戶并獲得競爭優勢，它們也面臨著嚴重風險。

Akamai亞太地區及日本安全技術和戰略總監 Reuben Koh 表示：“亞太地區及日本的金融服務業是全球最具創新力和競爭力的行業之一。金融機構越來越多地轉為使用第三方腳本，以便快速為客戶增加新產品、功能及交互式體驗。但是，通常企業的監測能力有限，無法識別這些腳本的真實性以及是否存在潛在漏洞，因此會為企業帶來另一層風險。由于企業對存在風險的第三方腳本的監測能力有限，攻擊者現在可以利用另一種媒介發動對銀行及其客戶的攻擊。”

Akamai 的報告還發現，2022 年以來亞太地區及日本的惡意爬蟲程序流量增長了 128%，這凸顯出針對金融服務業客戶及其數據的攻擊持續不斷。網絡犯罪分子使用爬蟲程序提升攻擊的規模、效率和有效性。在全球范圍內，亞太地區及日本是針對金融服務業的惡意爬蟲程序請求的第二大攻擊目標區域，占全球所有惡意爬蟲程序請求數量的 39.7%。應用場景包括抓取網站內容以冒充      金融服務業品牌的網站來實施網絡釣魚騙局，以及通過自動注入所竊取的用戶名和密碼來實施撞庫攻擊，從而實現帳戶接管。這表明攻擊者在不斷地發展其技術，并且開始專注于攻擊金融服務業消費者，以獲得最大的投資回報。

報告的其他重要發現包括： 

• Web 應用程序和API依然是攻擊者在亞太地區及日本的首選攻擊媒介，金融行業遭受的攻擊在此類攻擊中占50%，緊隨其后的是商業 (19.99%) 和社交媒體 (8.3%)。
• 澳大利亞、新加坡和日本是APJ 地區遭受攻擊最多的三個國家，所受攻擊總和在所有Web 應用程序和API 攻擊中的占比超過四分之三。作為全球金融中心，這些國家的企業持續受到大規模定向攻擊不足為奇。
• 本地文件包含(LFI) 依舊是最主要的攻擊媒介，在所有攻擊中占比為63.2%，而跨站點腳本攻擊(XSS) 和PHP 注入(PHPi) 分列二三，其占比分別為21.3% 和6.32%。在LFI 攻擊中，攻擊者會利用Web 服務器上不安全的編碼實踐或實際漏洞來遠程執行代碼或者訪問本地存儲的敏感信息。例如，基于PHP 的陳舊Web 服務器更容易遭受LFI 攻擊，因為存在會繞過其輸入篩選器的已有方法。
• 亞太地區及日本的金融服務業中的企業必須繼續留意額外的監管監督和新的報告義務。例如，對第三方腳本的使用不斷增加，可能會讓金融機構難以符合即將實施的支付卡行業數據安全標準 (PCI DSS)v4.0 的要求，該版本中將納入與客戶端腳本監測能力及管理相關的具體內容。監管機構可能會越來越加強實施新的法規的力度，因此各個企業必須確保考慮到這些新的合規性要求，否則可能會面臨罰款或聲譽受損。

Koh 表示：“亞太地區及日本的金融服務企業必須牢記的是，隨著該行業的創新步伐加快，網絡犯罪分子隨時都在嘗試尋找更復雜的新方式來發動網絡攻擊。金融服務聚合商以及那些渴望采用開放銀行實踐的企業的數量不斷增加，這意味著該行業未來的發展會更加依賴使用 API 和第三方腳本，而這會導致攻擊面的進一步擴大。”

他總結道：“金融機構必須專注于保護新的數字產品，不斷向客戶普及有關網絡安全最佳實踐的相關知識，并投資于面向用戶的流暢安全措施。隨著監管機構實施各種政策來強化網絡安全標準，金融服務企業還必須了解并考慮新的合規性要求，同時增強其抵御現代網絡威脅的安全態勢和網絡韌性。”