阿卡迈(以下简称:Akamai)最新发布的《2019年互联网安全状况报告:针对金融服务业的攻击经济》(2019 State of the Internet / Security Financial Services Attack Economy Report)数据显示,在所有受网络钓鱼域影响的企业中,有50%来自金融服务行业。该数据表明,在18个月的时间里,攻击者发起了35亿次攻击尝试,其中他们不仅利用了网络钓鱼攻击,还利用了撞库攻击,使得金融服务行业客户的个人数据和银行信息岌岌可危。
报告显示,从2018年12月2日至2019年5月4日,共有近200000个(准确数字为197524个)网络钓鱼域被检测出来,其中66%的网络钓鱼域直接瞄准消费者。如果仅考虑直接瞄准消费者的网络钓鱼域,这些被网络钓鱼域瞄准的企业有50%来自金融服务行业。
Akamai安全研究员兼《互联网发展状况安全报告》编辑部主任Martin McKeay表示:“我们发现撞库攻击次数在去年直线上升,这在一定程度上是因为针对消费者的网络钓鱼攻击不断增加。犯罪分子通过网络钓鱼攻击对现有的被盗凭据数据加以补充,然后通过劫持帐户或转卖他们创建的列表赚取利益,而这还只是他们赚钱的其中一种方式。我们发现,这已经形成了一条瞄准金融服务机构及其消费者的经济链。”
犯罪分子成功实施犯罪后,他们需要处理非法获得的数据和资金。Akamai报告指出,他们处理这种情况的方法之一是利用“Bank Drops”——这是一种数据包,可用于在特定金融机构进行欺诈性开户。Bank Drops通常包括个人被盗身份(通常被网上的犯罪分子称为“Fullz数据”,其中包括姓名、地址、出生日期、社会保障详细信息、驾照信息和信用评分)。他们通过远程桌面服务器安全访问欺诈帐户,这些服务器与银行的地理位置和“Fullz”数据完全匹配。
金融机构一直在调查犯罪分子开立这些Drop帐户的方式,并想方设法提前发现问题。但是,大多数企业都没有意识到,犯罪分子正在重新利用以前的攻击手段。
Akamai的研究结果表明,在金融服务行业遭受的攻击中,94%的攻击源自以下四种方法之一:SQL注入(SQLi)、本地文件包含(LFI)、跨站点脚本执行(XSS)和OGNL Java注入(在本报告涵盖的时间范围内,攻击者利用此类方法发起了超过800万次攻击尝试)。OGNL Java注入因Apache Struts漏洞而广为人知。在发布补丁程序后数年,依然有攻击者在使用这种方法。
在金融服务行业,犯罪分子已经开始通过发动DDoS攻击,来分散人们对撞库攻击的关注或利用基于Web的漏洞。在18个月的时间里,Akamai发现,仅针对金融服务行业的DDoS攻击就超过了800次。
McKeay坦言:“攻击者瞄准了金融服务机构的薄弱环节,即消费者、Web应用程序和可用性,因为这样他们才能达到目的。企业越来越擅于检测和防御这类攻击,但单点防御注定会以失败告终。企业需要检测、分析和防御使用多种不同类型工具的智能犯罪分子,保护自己的客户。二十多年来,Akamai一直在利用其对所有攻击类型的独一无二的可见性,帮助客户防范这些不断衍变的不法攻击行为。”
犯罪经济之所以愈演愈烈,这在一定程度上是因为犯罪分子瞄准了金融服务行业。例如,瞄准银行后,犯罪分子试图窃取敏感数据,然后使用相同的数据开立虚假帐户并获取信用额度。这是一个持续的犯罪恶性循环。犯罪分子将他们赖以生存的行业当做攻击目标,这真的很讽刺。虽然金融机构越来越擅长检测这些攻击,但攻击者仍然在故伎重演寻找成功发动攻击的机会,这成为了个问题。
Akamai《2019年互联网安全状况报告》下载:
https://www.akamai.com/cn/zh/multimedia/documents/state-of-the-internet/soti-security-financial-services-attack-economy-report-2019.pdf