從早期的Zeus和其他以銀行為目標的特洛伊木馬程序，到現在的大規模分布式拒絕服務（DDoS）攻擊，再到新穎的釣魚攻擊和勒索軟件，金融服務業已成為遭遇網絡犯罪威脅最嚴重的行業之一。金融服務業的重要性不言而喻，不僅在人們的生活中， 也在全球經濟中發揮著重要作用。該行業遇到任何中斷或停機都會帶來嚴重影響，而此類組織所持有的一些敏感數據也很容易會變成有價值的商品。因此攻擊者會將金融服務業看作一種有利可圖的目標，并以此為目標開展各類攻擊，具體攻擊方式包括但不限于新發現的零日漏洞以及復雜的釣魚攻擊等。

延伸閱讀，了解 Akamai的安全解決方案

攻擊者會密切關注并積極攻擊金融服務行業，這早已不是什么秘密。以往，Akamai圍繞金融服務業發布的互聯網狀態報告（SOTI）主要以網絡釣魚或欺詐為主題，但這次我們采取了一種更廣泛的方法，涵蓋了影響金融服務業的一系列問題。

這種更廣泛的視角使得我們發現，針對金融服務業的攻擊數量正在快速激增，而且攻擊者會以更快的速度利用新發現的零日漏洞。而金融服務業的客戶也未能幸免，很多攻擊者已經不再對該行業的從業機構發起攻擊（畢竟這可能是全球最重視安全性的行業之一），而是轉為攻擊這些行業的消費者。在這種強敵環伺的情況下，金融服務業的安全專家就更有必要了解相關威脅態勢的變化情況。

憑借對全球互聯網的洞察和龐大的覆蓋面，Akamai會定期針對不同行業發布互聯網狀態報告（SOTI）。最新的第8卷第3期報告主要以金融服務業為主，分析了該行業所面臨的威脅和Akamai的見解。我們將通過總共三篇的系列文章詳細介紹這些內容。本文是第一篇，主要介紹金融服務行業在信息安全威脅方面所面臨的整體態勢。

重點總結

本次報告所發現的重點結論主要是：

1. 在Web應用程序和API攻擊、零日漏洞以及DDoS攻擊等方面，金融服務業一直是最主要的三大被攻擊目標垂直行業之一。
2. 金融服務業的Web應用程序和API攻擊數量同比激增3.5倍，在所有主要行業中增速最快。如何阻止Web應用程序和API攻擊
3. 利用新發現的零日漏洞針對金融服務業發起的攻擊，在24小時內就可以輕松達到每小時數千次的規模，并且會快速達到峰值，這使得防御者幾乎沒時間打補丁或做出反應。
4. 本地文件包含（LFI）和跨站腳本（XSS）攻擊的顯著增加，意味著攻擊者正在轉換至以遠程腳本執行（RCE）為目標的攻擊方式，這會對內部網絡安全造成更大的壓力。
5. 利用金融服務業客戶發起攻擊的做法十分猖獗，以該行業為目標的攻擊者，有超過80%會以直接攻擊或釣魚攻擊的方式攻擊金融服務業的客戶，而非金融機構。
6. 釣魚攻擊（如Kr3pto）正在引入新技術，從而通過一次性密碼令牌或推送通知的方式繞過雙重身份驗證（MFA）機制。

威脅形勢：針對金融服務業的攻擊正在激增

金融服務業始終是全球范圍內最容易受到攻擊的行業之一，并且攻擊數量依然體現出增長的跡象，尤其是針對Web應用程序和API的攻擊，不僅增速驚人，而且也日趨復雜。攻擊者會設法在內部網絡中獲得立足點，進而開始進行各種破壞，其中的一種手段甚至會向被攻擊的金融機構索取贖金，以防止損失進一步擴大。作為一個重要行業，金融服務業需要保證服務穩定運行，而攻擊者除了攻擊機構本身，還可以通過竊取的敏感信息變現，甚至攻擊客戶的賬戶并叢中竊取資金。

網絡犯罪分子已經將目光投向了金融服務機構及其客戶，不過我們也發現，很多業內機構已經增強了自己的網絡安全意識，并增加了網絡安全方面的IT預算。如果無法保護自己的周邊環境和數據，可能會面臨勒索軟件和其他威脅的入侵，從而導致嚴重的關鍵數據外泄和財務損失。根據IBM的2022年數據泄漏成本告報統計，作為“關鍵基礎設施”的金融服務業，其數據泄漏事件的平均成本高達597萬美元。

為了充分了解金融服務業所面臨的各種風險，我們必須把威脅情況作為一個整體來看待。為此，我們分析了大量活動數據，例如（惡意的和善意的）爬蟲趨勢、針對關鍵漏洞的利用嘗試、以Web應用和API為目標的攻擊，以及釣魚活動。我們還檢測了攻擊者的IP地址，從而推斷出攻擊者的動機。此外，我們還分析了一整年的數據，借此更直觀地了解到金融服務業的整體威脅態勢（圖1）。

圖1：金融服務業所面臨不同類型攻擊的增長情況

從較高的視角來看，金融服務業在如下幾個關鍵領域已成為最容易受到攻擊的垂直行業：Web應用程序和API攻擊、DDoS、釣魚、零日漏洞利用、爬蟲活動。上文提到過，Web應用程序和API攻擊數量的激增（金融服務業面臨的此類攻擊數量增長了3.5倍）尤其讓人擔心。此外，以金融機構為目標的爬蟲活動也有顯著增加。

每種攻擊載體都帶來了不同的安全風險和挑戰，只有解決了這些問題才能進一步加強金融機構的安全性。下文我們還將更詳細地研究各種攻擊載體。總的來說，這些見解都證明金融機構加大網絡安全方面的投資是非常有必要的。

安全風險與日俱增：應用程序和API攻擊

Web應用程序和API依然是金融服務業一個重要的考慮因素。該行業的很多數字化轉型工作都以應用程序和API為基礎，相關機構也需要借助它們向第三方提供開放的服務，從而塑造更好的客戶體驗，在市場上獲得更多價值和競爭優勢。另外，客戶也需要通過金融機構的應用來使用各種金融服務。盡管在COVID-19大流行之前，金融類應用程序的使用就很普遍了，但疫情的流行進一步推動了相關應用和服務的普及。

由于API能帶來各種優勢，很多企業都以將其納入自己的生態系統中。在Postman發布的2022年API狀態報告中，89%的受訪者表示，今年可能會增加有關API開發工作的投資。在某些情況下，采用API也是為了滿足監管要求。例如歐盟的Payment Services Directive 2要求歐洲銀行公開API，以便讓金融服務提供商訪問與貸款、賬戶等信息有關的客戶數據。

在API的幫助下，銀行和第三方相互之間可以實現標準化的客戶金融信息數據連接和交換。另外，Web應用程序則能通過更便捷、快速的處理和可靠的服務改善客戶體驗，降低金融服務機構的成本。不過這些Web應用程序中的漏洞也可能讓攻擊者借此攻陷系統并竊取敏感數據。雖然API和Web應用帶來了很多好處和優勢，但也可能為網絡犯罪分子帶來全新的攻擊面。

過去12個月里，Web應用程序和API攻擊出現了大規模增長，金融服務業依然是其中最主要的目標。經過分析，我們發現金融服務業是最容易被攻擊的三大垂直行業之一，承受了15%的攻擊總量，緊隨其后的是高科技行業（圖2）。在2022年的大部分時間里，金融服務也都已經超過高科技行業，成為遭受攻擊總量最多的行業。

從較高的視角來看，金融服務業在如下幾個關鍵領域已成為最容易受到攻擊的垂直行業：Web應用程序和API攻擊、DDoS、釣魚、零日漏洞利用、爬蟲活動。

圖2：過去12個月，Web應用程序和API攻擊的首要目標行業為商業、高科技以及金融服務業

Web應用程序和API對金融服務業的重要性與日俱增，這也吸引著越來越多的攻擊者圍繞這些領域尋找漏洞并發起攻擊。首先，在構建這類應用和API時，安全性本身就是一個艱難的挑戰。這些Web應用程序中隱藏的漏洞可能導致RCE和入侵。其次，這類Web應用程序還可以獲取并存儲客戶的機密信息（如登錄憑據）。

一旦攻擊者成功發起針對Web應用程序的攻擊，就可以竊取這些機密信息，在一些更嚴重的情況下，甚至可以借此獲得對內部網絡的訪問權，從而獲得更多憑據并在網絡內部橫向移動。除了漏洞所產生的影響，被盜的信息也可能放在黑市中交易或用于發起更多攻擊。鑒于金融服務業擁有大量數據（如個人身份信息和賬戶信息），這一點就更加令人擔憂。

以金融服務業的Web應用程序和API為目標的攻擊活動正在迅速增加，這標志著攻擊者對金融機構及其客戶的興趣也在持續增長。2022年，針對金融服務業Web應用和API的攻擊數量增長了3.5倍，仔細分析會發現，在這背后，幾乎每種攻擊載體的使用都有了顯著增長，并且在幾乎所有行業中高居首位。

圖3：過去12個月里，金融服務業面臨的攻擊數量穩步增長

過去12個月里，金融服務業面臨的攻擊穩步增長，圖3中觀察到的峰值似乎代表著有針對性的攻擊或集中攻擊。不僅如此，這些模式可能意味著此類機構的Web應用程序面臨的攻擊風險還在不斷增加。Positive Technologies的研究發現，91%的Web應用都曾發生過個人數據（如用戶ID和憑據）泄漏事件。

保證Web應用程序安全性已成為當務之急，因為相關漏洞很可能充當入侵目標企業的大門。了解不同類型的攻擊，以及這些攻擊可能導致的結果，可以幫助企業了解如何正確地保護自己的Web應用。

1.區域性趨勢

通過觀察不同區域的趨勢，我們可以對比世界各地的攻擊增長情況（圖4）。

圖4：亞太日本地區與Web應用程序和API相關的攻擊大幅增加了449%

值得注意的是，拉丁美洲（LATAM）地區的攻擊數量出現了指數級的增長。數字化轉型以及對網絡犯罪活動有限的治理能力可能是導致該地區網絡犯罪活動不斷增長最主要的兩個因素。網絡犯罪每年會給該地區造成900億美元的損失，其中最主要的威脅包括加密劫持、欺詐、銀行木馬以及勒索軟件，這說明拉美地區的網絡犯罪更多是出于經濟動機。2022年，哥斯達黎加遭受的Conti團伙勒索軟件攻擊就襲擊了多個政府網站，展現出勒索軟件即服務（RaaS）在經濟影響之外所產生的其他破壞性作用。進一步分析該地區的情況我們發現，巴西在Web應用年程序和API攻擊目標的名單上名列前茅。由于網絡銀行業務的高度普及，巴西出現了很多與銀行有關的威脅。

亞太日本（APJ）地區與Web應用程序和API有關的攻擊也大幅增長了449%，這似乎與該地區越來越多的網絡攻擊（主要是勒索軟件）相吻合。2022年初，我們發現Web應用和API攻擊載體主要被勒索軟件團伙用于利用漏洞獲得初始訪問，該地區在Web應用程序和API攻擊方面遭受攻擊最多的國家分別為澳大利亞、日本和印度。

接著再看看北美（NA）地區，該地區的Web應用程序和API攻擊增加了354%。2022年初，俄烏沖突使得人們擔心會有人對美國和歐洲金融機構發起網絡攻擊和報復，但其實在這之前，美國的金融服務機構就在遭受大量勒索軟件、銀行木馬以及其他惡意軟件威脅。例如名為FIN8的網絡犯罪團伙入侵了美國的一些金融服務公司，地下黑市還流傳著40萬條美國和韓國銀行支付記錄。為緩解網絡安全風險，美國聯邦存款保險公司、美國聯邦儲備系統理事會以及美國貨幣監理署曾在2021年頒布了一項規則，要求在發生可疑威脅時必須向聯邦監管機構和銀行機構組織的客戶發出“事件通知”。

與美國類似，歐洲也有一系列法案和法規，例如網絡和信息系統安全指令（NIS指令）、通用數據保護條例（GDPR）等，它們為金融服務和其他垂直領域的網絡安全與數據保護提供了指導和基準。雖然這些法規可以幫助企業面對安全問題提高彈性，但并不一定能讓企業面對網絡攻擊獲得免疫能力。例如一款名為Bizarro的銀行木馬就是一個直觀的例子，該木馬的目標已經涵蓋了大量歐洲銀行，同時衍生出多種移動軟件，其攻擊和載荷交付能力增速已經達到了驚人的500%。在歐洲、中東和非洲（EMEA）地區，英國遭遇的Web應用程序和API攻擊數量最多。

這些數據表明，犯罪團伙正在將更多精力和資源投注于金融服務行業，他們會充分利用各種自動化機制和偵查手段，并通過不斷迭代的方法來規避地理封鎖等規則。作為應對，企業需要不斷完善安全規則并提高風險的耐受程度，同時要確保所有面向互聯網的系統都能受到各類安全產品相結合所提供的保護。

2.應用程序和API攻擊所涉及的載體

為了弄清攻擊的性質，我們還可以進一步分析針對該行業所采取的攻擊中最常見的攻擊載體。這一點很重要，只有這樣才能更好地理解自己可能面臨的風險，以及企業可能會遇到的攻擊類型。隨后，我們可以在這些知識的幫助下制定緩解策略，加強防御能力，封堵漏洞。

圖5：LFI攻擊已成為WAF攻擊大規模增長背后最主要的推動力

如圖5所示，Web應用程序和API攻擊的增長主要由LFI和XSS推動。與主要為了訪問數據庫所用的SQL注入不同，攻擊者通常會利用LFI和XSS在目標網絡中獲得立足點。

攻擊者會通過自動化工具不斷掃描互聯網，借此尋在潛在目標。攻擊者可以借助LFI攻擊驗證目標企業是否確實存在漏洞。此外，攻擊者還可將惡意代碼注入Web服務器，隨后通過遠程代碼執行的方式利用LFI漏洞，從而危及系統安全。更糟的是，LFI可能被用于向攻擊者泄漏敏感信息。

XSS也會給企業造成安全隱患。攻擊者可以使用XSS漏洞將代碼注入網站，隨后每當用戶訪問被攻陷的網站時，都會面臨信息泄漏的風險。另一類XSS可由攻擊者通過惡意鏈接提供給受害者，導致受害者下載惡意載荷。攻擊者通常會借助這種載體開展釣魚攻擊并篡改網站。

金融服務垂直行業的Web應用程序和API攻擊與日俱增，這是一個值得關注的問題，因為這會對安全性產生極大的影響。然而只有對攻擊面和載體獲得清晰的認識，才能幫助金融機構更好地保護自己的環境。

3.載荷

接下來將介紹現實世界中針對金融服務機構所進行的一次攻擊企圖。其中涉及到的載荷通常會配合使用不同的攻擊載體和漏洞，包括最新的CVE。在下文的圖10中可以看到，一些攻擊是專門為目標量身定制的，但有些攻擊主要是為了偵查，這類攻擊往往更為“通用”。

4.自定義創建的XSS載荷

圖6：攻擊者發送的一個XSS載荷（編碼后）

圖7：攻擊者發送的一個XSS載荷（解碼后）

上述URL解碼后，XSS載荷將從攻擊者指定的域名下載并使用一個惡意腳本。看起來這個腳本似乎是針對特定目標量身定制的。更重要的是，攻擊者可以借助這樣的載荷，利用OGNL漏洞（如Log4j，CVE-2021-44228）來運行腳本。

5.使用不同的攻擊方法

圖8：攻擊者嘗試了多種不同技術（解碼后）

另一方面，從圖8中可以看到，攻擊者執行了SQL注入從而暴露了目標數據庫的敏感信息。此外，還使用一個LFI漏洞通過Unix的cat命令轉儲敏感的etc/passwd文件內容。此外還出現了另一個XSS探針，攻擊者借此檢查網站是否存在XSS漏洞。這是攻擊者在掃描/偵查階段最典型的做法，他們會同時測試目標系統是否存在多種漏洞。

6.持續潛伏

圖9：該載荷試圖利用CVE-2022-24881這個RCE漏洞

圖10：CVE-2022-24881解碼后的版本

最后，通過圖9可以看到，該載荷試圖利用Ballcat Codegen軟件中發現的CVE-2022-24881這個RCE漏洞，攻擊者試圖對Velocity模板引擎注入惡意代碼來實現RCE。更具體來說，攻擊者轉儲了/etc/profile這個Unix文件（該文件可用于在用戶的外殼（Shell）上設置系統級環境變量）的內容。攻擊者可以借此探測系統中是否存在漏洞，以及如果存在，是否能通過操作Unix文件來持久隱蔽自己。

小結

這一系列文章的第一篇，簡單介紹了全球金融服務機構在信息安全方面所面臨的整體安全態勢，以及不同地區的業內機構在攻擊載體等方面存在的細微差異。

在了解了整體狀況后，敬請期待該系列的第二篇文章，屆時我們將進一步分析軟件漏洞、DDoS攻擊、網絡釣魚攻擊等攻擊方式對金融機構可能造成的影響和隱患。