*本报告共计8938字,阅读完毕大约需要22分钟。
众所周知,网络犯罪的两大主因是政治和金钱,因此金融界一直是全球网络罪犯的一大收入来源。虽然政府和各类组织一直在寻求保护金融服务的新方法,但网络罪犯也有各类技术手段应对。这推动在线金融服务和支付系统、大型银行和POS终端的使用方式发生了许多变化。
过去一年,随着新的渗透技术、攻击载体和地域的扩展,金融网络威胁格局发生了广泛变化。但最有趣的事情是,人们被攻击的方式发生了巨大变化。随着区块链和加密货币的流行,许多新的支付方式出现在黑白市场上,极大吸引了罪犯的目光。
2018年,加密货币成为最热门的话题。毫无疑问,它成为了年度新闻,从网络威胁排名榜单中打败勒索软件,并脱颖而出,将网络安全界的目光聚焦在了全新的危险上。威胁通过两种方式扩散——改装恶意软件,使其具有挖掘能力,从而在没有阻碍的情况下市场化,以及攻击加密货币基础设施(钱包、交易所等)。即使是像Roaming Mantis这样的主要APT攻击者也试图将其市场化,更不用说像PowerGhost这样的加密货币挖掘恶意软件了。同时也有人指出,作为2018年最活跃的金融威胁之一,Lazarus逐渐扩大了目标范围——扩散至银行、金融科技公司、PoS终端、自动取款机以及密码交易所。
今年夏天,我们还报道了一个有趣的案例,证明了上面所说的——Lazarus使用一个假安装程序和macOS恶意软件攻击加密货币交易所。在这种情况下,犯罪分子创造了貌似合规且功能合法的特殊软件。然而,该程序也上传了一个恶意后门。这是一种新型的攻击,通过供应链感染目标。这成为2018年最具创意的攻击之一。
然而,几个月后,网络安全领域给金融行业带来了更大的惊喜,再次指出,即使是传统的、有防护经验的金融企业也可能面临危险。去年12月,卡巴斯基实验室披露了DarkVishnya行动:针对东欧金融机构的一系列的网络抢劫。我们发现,在每一个案例中,公司网络都是因为一个由攻击者控制的未知设备被攻破的,该设备被偷运进公司大楼并与内部网络相连。该地区至少有8家银行受到了这样的攻击,估计损失达数千万美元。所得教训很简单——即使是已经关注到网络安全,你也可能永远不知道网络罪犯会如何攻击你。我们都应该加倍警惕。
另一个令人担忧的原因是,犯罪分子决定不仅把他们的目光集中在金融服务上,同时还有其他行业公司的金融部门,在那里,数十万美元的付款不会引起太多怀疑。2018年夏天,卡巴斯基实验室的专家发现了一波金融钓鱼邮件,这些邮件伪装成合法的采购和会计信件,攻击了至少400家行业组织,目的当然是为网络犯罪分子赚钱。
我们也不应该忽视ATMs的金融威胁,与自动取款机攻击相关的最大损失是由内部银行网络的感染造成的,比如FASTCash和 ATMJackPot,这使得攻击者能够触达数千台自动取款机。除此之外,2018年还诞生了一种直接从这类机器上偷钱的新工具——我们称之为KoffeyMaker。
从中小企业转向个人用户,我们可以说,2018年个人用户在金融威胁下也没有多少喘息的机会。臭名昭著的移动银行恶意软件仍然在寻找攻击机会。考虑到上述领域的变化,它们攻击能力变强也就不足为奇了,现在的它们往往结合了多种功能。其中一些增加了采矿能力,以确保它们能够盈利。其他网络威胁也在以新的方式威胁用户——例如,在2018年,卡巴斯基实验室的专家发现了一个相当罕见的Chrome扩展,旨在窃取用户的证书。
这份报告概述了近年来金融威胁状况的演变。它涵盖了用户遇到的常见钓鱼威胁,以及基于windows和android的金融恶意软件。
以下为报告正文
2018年,金融类网络钓鱼案件占全部网络钓鱼案件的比例从53.8%下降到44.7%,但仍占全部网络钓鱼案件的近一半。
超过五分之一的人试图加载已被认证的银行类钓鱼网页。
2018年,针对支付系统和电商的网络钓鱼攻击所占比例分别接近14%和8.9%。这比2017年略低。
Mac用户遭遇金融钓鱼的比例略有上升,为57.6%。
2018年,被银行木马攻击的用户数量为889,452人,比2017年的767,072人增加了15.9%。
24.1%被银行恶意软件攻击的用户是企业用户。
俄罗斯、德国、印度、越南、意大利、美国和中国的用户最常受到银行恶意软件的攻击。
Zbot和Gozi仍然是最广泛的银行恶意软件家族(超过26%和20%的攻击用户),其次是SpyEye(15.6%)。
2018年,全球遭遇安卓银行恶意软件的用户增加了两倍多,达到1799891人。只有三个银行恶意软件家族对85%用户发起了攻击。
俄罗斯、南非和美国是受Android银行恶意软件攻击比例最高的国家。
金融网络钓鱼是犯罪分子最典型的赚钱方式之一,它不需要很多投资就能获得可观利润。如果成功了,犯罪分子就会拿到一些认证信息,这些信息可以直接用来赚钱,也可以卖个好价钱。
这种技术简单性和有效性的结合使得这类恶意活动对犯罪分子具有吸引力,在过去几年里,此类活动约占所有钓鱼攻击的一半。
图1:2015-2018年金融钓鱼攻击占总体钓鱼攻击的百分比
2018年,卡巴斯基反网络钓鱼技术检测到482,465,211次试图访问不同类型的网络钓鱼页面的行为。其中,试图访问金融钓鱼页面的检测占44.7%,比2017年注册的钓鱼检测占比低10%。
这主要是由于其他钓鱼攻击类别的增加。首先让我们仔细看看金融类别。
卡巴斯基实验室将几种类型的网络钓鱼网页归类为“金融”——银行、贝宝(PayPal)、Visa、万事达(MasterCard)、美国运通(American Express)等知名支付品牌,以及亚马逊(Amazon)、苹果商店(Apple store)、Steam、E-bay等互联网商店和拍卖网站。2018年,所有这些公司都稍微松了口气,因为针对银行、支付系统和在线商店的网络钓鱼攻击比例分别下降了5.3、1.8和2个百分点左右。
金融钓鱼攻击排名第二、第三和第四名:
图2:卡巴斯基2018年检测到的不同类型的金融钓鱼行为分布
2017年,在我们的观察中,支付系统和在线商店首次在所有类别的钓鱼检测中排名前三,而2018年则是回归正常的一年,全球门户网站位居首位。然而,图表显示,几乎每一次网络钓鱼攻击都与财务问题有关。
我们认为,这一变化的发生是由于媒体对Facebook等目标的高度关注。
图3:2016-2018年卡巴斯基检测到的全球门户网络钓鱼的百分比
与此同时,网络犯罪的受害者类型并没有发生任何变化——顶级跨国银行、流行的支付系统、网店和拍卖网站仍然是网络犯罪的最吸引人的目标。
由于针对MacOS的恶意软件家族数量较少,MacOS一直被认为是相对安全的网络安全平台。然而,网络钓鱼是一种与操作系统无关的犯罪活动——它完全与社工有关。
2016年,针对Mac用户的网络钓鱼攻击中,31.4%的攻击目标是窃取财务数据。这几乎是2017年的一半,过去一年也显示出小幅增长,总体份额达到57.6%,这意味着威胁并没有消失。
总的来说,2017年的占比情况是这样的:
图4:2017年在Mac上检测到不同类型的金融钓鱼行为的分布情况
一年后,“其他”类别略有下降,导致金融相关攻击的总体增长。
图5: 2018年在Mac上检测到的不同类型的金融钓鱼行为分布
总而言之,我们的数据显示,针对Mac电脑的网络钓鱼攻击份额也相当可观——就像Windows一样。让我们仔细看看这两个类别。
2017年,我们发现了一个有趣的转折,苹果成为MacOS和Windows统计数据中在线商店类别中使用最频繁的品牌,将亚马逊挤到了后者平台的第二位。
图6:“网上购物”金融钓鱼中最常用的品牌
当涉及到攻击支付系统用户时,情况如下:
图7:“支付系统”金融钓鱼方案中使用频率最高的品牌
总的来说,除了Paypal超过万事达卡,并在MacOS的统计数据中排名第一之外,情况或多或少是相同的。
上面的表格说明了犯罪分子将使用这些众所周知的服务来试图非法获取用户支付卡、在线银行和支付系统凭证。
除了下面将介绍的传统活动之外,与2016年和2017年相比,钓鱼伪装还有一个独特的特点——娱乐。虽然这与经济并不完全相关,但犯罪分子仍然可以窃取用户的证件或账户用于销售或个人用途。表单上的内容不再局限于相当旧的网上银行、支付系统或网上商店网页。
以下是对电影流媒体服务行业最具针对性的调查。
图8:流媒体服务伪装下的钓鱼页面
数字游戏平台:
图9:游戏平台伪装下的钓鱼页面
典型的商业和支付品牌也成为了攻击目标——通常攻击手段是促使受害者尽快输入证书信息。
图10:一条来自支付品牌的钓鱼信息
图11:一条来自支付品牌的钓鱼信息
通过点击链接或输入凭证,用户将无法访问他们的账户——他们只会将重要的个人信息传递给骗子。
这是恐吓受害者最常见的伎俩之一——威胁拦截一个账户:你的账户已被暂停。
不要向陌生人展示你的信用卡数据!
由于人的本性和社工的原因,网络钓鱼多年来一直是网络犯罪分子强有力的武器库,它不仅是赚钱的主要工具,也是APT行动者最初破坏目标系统的一种方法。
也就是说,要时刻保持警惕。在网上付款时,再次检查网站的合法性。仔细检查电子邮件的合法性,尤其是当它们敦促你做某事时——比如更改密码。
如果你不能确定以上问题,不要点击链接。
不要忘记使用基于行为的反钓鱼技术的安全解决方案。这将使识别最新的钓鱼诈骗(还没有添加到反钓鱼数据库的)成为可能。
在本文中讨论金融恶意软件时,我们指的是典型的银行木马,其目的是窃取用于访问在线银行或支付系统帐户的凭证,并拦截一次性密码。
在2014年和2015年有所下降之后,2016年被金融恶意软件攻击的用户数量稳步增长。2017年和2018年上半年再次出现下滑。2017年,受攻击用户数量再次下降,从2016年全球1088933名下降至767072名,降幅近30%。
然而,2018年5月至11月的大幅增长改变了这一格局,重新平衡了下降趋势,与去年相比总体增长15.95%,达到889,452人。这是自2016年以来首次出现同比增长。这是由于RTM银行木马家族的爆炸性增长,分析如下。
图12:2016-2018年银行恶意软件攻击用户数动态变化
如下表所示,2017年和2018年被银行恶意软件攻击的用户中,来自10个国家覆盖了全球过半用户。2017年,德国位居榜首,俄罗斯和中国紧随其后。
图13:2017年银行恶意软件攻击用户地理分布情况
2018年发生了什么?
图14:2018年银行恶意软件攻击用户地理分布
去年,俄罗斯已经超过德国,印度也超过中国,成为第三名。总的来说,排名大致是稳定的,排名靠前的用户约占五分之一份额,而“其他”用户约占40%的份额。
2017年,这一领域出现了小幅增长,证实了我们的假设,即犯罪分子正针对企业进行攻击——尽管银行恶意软件检测总体呈下降趋势,但企业用户的份额仍在稳步上升。
图15:2017年攻击用户类型分布
这令人担忧,因为我们看到,在过去三年里,几乎有五分之一的银行恶意软件攻击都集中在企业部门,而且这个比例还在增长。这背后的原因很清楚——尽管对消费者的攻击只会让犯罪分子进入银行或支付系统账户,但对员工的成功攻击也会损害公司的财务资源。
2018年再次证明了这一点:
图16:2018年攻击用户类型分布
企业用户比例增长4个百分点以上。
银行恶意软件领域一直被几个主要的参与者所占据。2017年,Zbot成为领导者,紧随其后的是Gozi。
图17:2017年最普遍的银行恶意软件家族分布情况
后者的市场份额增加了10个百分点以上,而Zbot的市场份额则下降到了32.9%。
2017年更有趣的是,其他类别的份额增长了一倍多,表明金融威胁的格局正变得越来越多样化。也就是说,虽然主导者的比例在下降,但规模较小的参与者变得更加活跃。
图18:2018年最广泛的银行恶意软件家族分布
2018年主要恶意软件的攻击率呈下降趋势——Zbot下降到26.4%,Gozi下降到20%多一点。同时,其他类也有所减少。随着主要中坚力量的巩固,形势明显趋于稳定。
这对于安全研究社区来说非常不方便,因为跟踪几个大玩家要比跟踪许多小而灵活的攻击者容易得多。
特别令人感兴趣的是RTM银行木马,其爆炸性增长推高了2018年的数据。当时该木马家族的活动激增,2018年受到攻击的用户总数超过13万,比2017年的2376名有所增加。
攻击的高频率发展一直持续到2019年,在今年的第一个半月就有超过3万名用户受到攻击,使RTM成为威胁领域中最活跃的银行木马之一。
有趣的是,木马的目标不是金融机构本身,而是负责中小企业财务会计的人员,特别关注IT和法律部门。这使得RTM攻击成为一种普遍趋势的一部分,网络犯罪分子正将活动从金融机构蔓延开来,将注意力转向私营部门,而私营部门通常在安全解决方案上的投资较少。
这就是为什么我们敦促那些可能成为这种恶意软件潜在目标的组织采取预防措施,确保他们的安全产品检测并阻止这种威胁。
我们也建议用户在使用个人电脑进行网上金融操作时要谨慎。不要低估了现代网络犯罪的专业性,不要让你的电脑处于保护之外。
图19:2016-2018年安卓银行恶意软件攻击用户数变化
在过去的几年里,Android银行恶意软件不断发展——在2016年达到了几个高峰。被攻击用户总数为786,325人。
2017年更加稳定,遭遇手机恶意软件的用户达到515,816人。但后来发生了一件改变整体趋势的事情。
2018年4月,受攻击用户数量开始迅速上升,总人数达到1799891人,这意味着在短短一年内,该数字增长了两倍多。可以看出,这主要是由于4月至6月和7月至9月期间出现了两个高峰。
安全专家们仔细回顾了一年中分布最广的Android银行恶意软件家族。
2017年,主要恶意软件家族分布平稳,统计数据趋于平衡。
图20:2017年最流行的安卓银行恶意软件
如果我们从观测的总数量来看,2017年绝对领先的是Asacub、Faketoken和Hqwar。
Asacub是一种不断演变的恶意软件,通过短信传播,其分布极不均衡,全年出现几个高峰:
图21:Asacub Android银行木马攻击用户数的变化
与此同时,Faketoken的活动趋于平稳,其点击率从1月份的13563次逐渐下降到12月份的3872次。
图22:受Faketoken Android银行恶意软件攻击的用户数量变化
该领域的第三大玩家,Hqwar,基本是相同的发展趋势。
图23:Hqwar Android银行恶意软件攻击用户数变化
而2018年是不同的。
图24:2018年最流行的安卓银行恶意软件
Asacub的峰值超过两倍,接近60%,其次是Agent(14.28%)和Svpeng(13.31%)。这三家公司在2018年都经历了爆炸式的增长,尤其是Asacub,其攻击用户数量从2017年的146,532人升至1125,258人。
统计数据显示,这是一个普遍的趋势,几乎所有家庭都在12个月内增加了他们的活动。但让我们来仔细看看2018年排名前三的家庭。
图25:Asacub Android银行木马攻击用户数的变化
如上图所示,除了5月至7月、7月至10月期间的两个高峰,Asacub在全年的表现都相当稳定。
图26:Agent Android banking Trojan攻击用户数的变化
Agent经历了更稳定的峰值——总体来说,从2月到4月和4月到7月,它的表现非常活跃,攻击的分布更加稳定——每月大约有2万到3万名用户受到攻击。
图27:Svpeng Android银行木马攻击用户数的变化
Svpeng完全展示了另一种趋势。这个恶意软件家族在将近半年的时间里都不是很活跃,然后在5月份开始活跃,直到6月份才停止增长,受到攻击的用户接近10万。随后,在今年余下的时间里,逐渐下跌。
图28:2017年Android银行恶意软件用户比例最高的10个国家
2018年,情况发生了变化:
图29:2018年安卓银行恶意软件用户比例最高的10个国家
正如我们所看到的,手机恶意软件确实在增长,在前10个国家的平均感染水平增长了两位数左右。2018年,俄罗斯跃居榜首,紧随其后的是南非和美国。澳大利亚跌至第四位,土库曼斯坦则离开了榜单。
虽然数字本身可以说明问题,但还有许多方法可以探索威胁环境的变化和发展。我们的关键方法是分析在网络世界里发现的实际恶意软件。
分析显示,2018年可能是有史以来针对恶意移动软件的网络犯罪攻击最猛烈的一年。
然而,2018年的情况表明,形势已经发生了根本性的恶化。这种上升的根本原因尚不清楚,但罪魁祸首是Asacub和Hqwar木马病毒的创造者。前者有着相当长的历史——根据我们的数据,它背后的团队已经工作了三年多。Asacub本身是从一个短信木马演变而来的,该木马从一开始就配备了一些工具,以抵消删除和拦截来电和短信。后来,恶意软件的创造者加强了它的逻辑,并开始使用与以前相同的攻击载体进行大规模分发:通过短信进行社工。拥有陌生用户信息的在线论坛成为了手机号码的来源。接下来,雪崩传播方法开始生效,受感染的设备本身成为分销商——Asacub将向受害者联系人列表中的每个人发送信息。
然而,2018年的银行业木马不仅在规模上值得关注,在机制上也值得关注。其中一个方面是在银行威胁中越来越普遍地使用易访问性服务。这在一定程度上是对新版Android的回应,新版Android使得在银行应用程序之上覆盖钓鱼窗口变得越来越困难,木马会隐藏在设备中,因此用户无法自己删除它。更重要的是,网络罪犯可以利用易访问性服务劫持一个完全合法的应用程序,并迫使它启动一个银行应用程序,直接在受害者的设备上转账。技术也出现对抗动态分析:例如,Rotexy木马会检查它是否在沙箱中运行。然而,这并不完全是一件新鲜事,因为我们以前就观察过这种行为。也就是说,需要注意的是,如果病毒作者设法将他们的木马病毒渗透到流行的应用程序商店中,那么结合混淆,反动态分析技术可能是非常有效的,在这种情况下,静态和动态处理可能都是无能为力的。虽然沙箱检测在网络罪犯中并不常见,但趋势是明显的,我们相信这种技术在不久的将来会变得非常复杂。
2018年的情况表明,犯罪分子不断更新他们的恶意软件,添加新功能,投入资源开发新的分发方式和检测规避技术。
他们还扩充了被攻击者名单,增加了新的机构和行业。
这一切都意味着他们从他们的活动中获得了可观的经济利益。
正如上述威胁数据所显示的,在这一领域,涉及网络钓鱼和特定银行恶意软件的金融欺诈操作仍有很大的空间。与此同时,手机恶意软件重新获得了威胁全球用户的力量。
为了避免网络攻击造成的损失,专家建议如下:
△ 当使用公共Wi-Fi网络时,要时刻保持警惕,因为它们可能不安全、不可靠,使热点成为黑客窃取用户信息的首要目标。为了保护您的机密信息安全,永远不要使用热点进行在线支付或共享财务信息。
△ 网站可能是网络罪犯的一个阵地,其唯一目的就是收集你的数据。为了防止你的机密信息落入坏人之手,如果一个网站看起来可疑或不熟悉,不要输入你的信用卡信息或进行购买。
△ 为了避免通过手机银行应用程序损害您的证书,请确保您使用官方应用程序为您提供金融服务,并确保它没有受到损害。只从官方应用商店下载应用,如谷歌Play或iOS应用商店。
△ 为了避免落入陷阱,在输入任何证书之前,一定要仔细检查网址的格式或公司名称的拼写,以确保网站是真实的。假网站可能看起来就像真的一样,但是会有一些异常情况来帮助你发现区别。
△ 为了让您在评估网站安全性时更有信心,请只使用以HTTPS://开头的网站,这样可以通过加密连接运行。HTTP://网站不提供相同的安全性,因此可能会使您的信息处于危险之中。
△ 永远不要向任何人透露你的密码或pin码——即使是你最亲密的家人、朋友或银行经理。分享这些只会增加你个人账户的风险和暴露程度。这可能会导致你的财务信息被网络罪犯窃取,你的钱也会被盗。
△ 为了防止金融欺诈,您可以为您的设备选用内置的专用安全解决方案,将为您所有的金融交易创建一个安全的环境。
△ 为了保证您的凭证安全,重要的是在您的所有设备上应用相同级别的警惕性和安全性——无论是台式机、笔记本电脑还是移动设备。网络犯罪是没有边界的,所以您的安全需要同样广泛的关注,以尽量减少你的信息落入坏人之手的风险。使用可靠的安全解决方案存储有价值的数字数据。
△ 如果您使用云电子邮件服务,请确保您已经为您的电子邮件安装了专门的保护。
△ 确保所有级别的公司基础设施都受到保护,从核心数据中心到银行基础设施(如atm)的专用系统。对于ATM和POS,使用专门为这些系统设计的解决方案。
△ 利用先进的检测和响应技术。
△ 为了确保对客户的保护,金融机构应该使用能够防止欺诈的解决方案。
*参考数据来源:Kaspersky Lab,青松编译,转载请注明来自Qssec.COM。
— E N D —
安全之道,青松知道