强敌环伺:金融业信息安全威胁分析——钓鱼和恶意软件

news2024/11/29 14:51:45
门口的敌人:分析对金融服务的攻击

Akamai会定期针对不同行业发布互联网状态报告(SOTI),介绍相关领域最新的安全趋势和见解。最新的第8卷第3期报告主要以金融服务业为主,分析了该行业所面临的威胁和Akamai的见解。我们发现,针对金融服务业的攻击数量正在快速激增,而且攻击者会以更快的速度利用新发现的零日漏洞。

我们将通过总共三篇的系列文章详细介绍这些内容。本系列的第一篇(点击这里回看),介绍金融服务行业在信息安全威胁方面所面临的整体态势;第二篇(点击这里回看)重点介绍了软件漏洞和DDoS攻击对金融服务业造成的影响。本篇作为该系列的最后一篇,将着重介绍以金融服务业为目标的网络钓鱼攻击和有针对性的恶意软件等威胁。

“准星”下的金融服务客户

从早期的银行木马到网络诈骗全盛时期的现代网络钓鱼攻击,多年来,银行客户始终是网络犯罪行为最主要的受害者之一。从身份失窃到财务损失,这些网络犯罪行为对每个人的影响各不相同。网络犯罪分子可能冒充用户,开通信用卡或申请贷款,更糟糕的是,可能会冒充其他用户的身份进行犯罪,在暗网上出售用户身份等。由于这类网络犯罪会对个人产生破坏性影响,金融机构必须妥善保护自己客户的信息安全。

为了解金融客户遭受攻击的风险和危害,我们通过Akamai系统中的Client Reputation(客户声誉)机制仔细分析了个别攻击者(图18)。这让我们可以深入了解犯罪分子的攻击方法和动机,从而确定攻击者在以金融服务机构为攻击目标时的侧重点到底是什么。

图18:针对整个金融服务垂直行业所发起攻击的Client Reputation分布情况

最主要的五个攻击类别

  • 账户接管(Account Takeover)——网络犯罪分子利用窃取的用户名和密码取得在线账户的所有权,从而发起的攻击。
  • 网络爬虫(Web scraper)——一种自动化工具,可系统性地收集各类信息(如网站格式和网页内容),通常可用于复制网站,借此开展网络钓鱼攻击和诈骗。
  • 扫描工具(Scanning tool)——在网络攻击的侦查阶段,用于扫描Web应用程序漏洞的工具。
  • 拒绝服务攻击器(Denial-of-Service attacker)——使用自动化工具发起大量DDoS攻击的Web客户端/爬虫。
  • Web攻击器(Web attacker)——用于执行常规Web攻击(如SQLi、远程文件包含、XSS)的Web客户端或攻击程序。

图18展示了一个有趣的视角:尽管我们检测到很多与DDoS、漏洞利用以及Web应用程序攻击有关的尝试,但超过80%的攻击者,其攻击目标都是金融服务业的客户,而非这些业内机构本身。账户接管攻击直接以客户为目标,网络爬虫则主要被用于创建钓鱼网站以及模拟这类网站的攻击工具包。

金融服务机构通常拥有强大的安全措施和极高的网络安全意识,足以挫败以机构本身为目标的很多攻击。因此网络犯罪分子会寻找阻力最小的攻击路径,往往会以更容易得手的客户为目标。虽然这不一定是金融服务机构的错,但针对客户的骗局也会伤害到这些机构的业务,从而损害机构的声誉和品牌,导致客户信任受损甚至遭遇经济损失。

1.账户接管

有一个数据可以进一步证明我们的观点:大部分以金融机构为目标的攻击都与账户接管有关(42%)。对于金融服务业,账户接管所造成的危害远远超出了对个人所产生的影响。当客户因账户接管而产生了未经授权的交易时,银行也将产生损失。据报道,账户接管所产生的欺诈行为估计年成本高达114亿美元。虽然银行的客户服务部门可以协助受害者解决问题(这些问题未必就是金融机构的责任),但这依然会让银行付出额外的资源和时间。

爬虫活动增加了81%,而在账户接管过程中,爬虫无疑也起到了重要作用。网络犯罪分子会在爬虫的帮助下,通过不同用户名和密码的组合自动发起撞库攻击,而这些用户名和密码往往都是从其他外泄的数据中窃取而来的。因此我们也毫不意外地看到,针对金融服务业的爬虫网络活动正在快速攀升,并在2022年5月到8月之间出现了非常明显的激增(图19)。

图19:针对金融服务业的爬虫数量激增,这一趋势与账户接管和网络爬虫攻击数量的增加密切相关

此外,爬虫的显著增加也与已知的Web自动化工具库不无关系,这也意味着爬虫的运营者正在利用常见的工具包来获取数据并发起账户接管操作。

成功接管了账户的攻击者将能榨干账户的所有剩余价值,并在黑市出售用户信息。截止2021年,网络银行登录凭据在暗网中的平均售价为40美元。账户接管会造成大量风险。如果用户习惯于重复使用相同密码,那么还可能导致自己的其他账户被进一步泄漏,更糟糕的是,攻击者可能冒充被泄漏的账户,将黑手伸向受害者的其他联系人。

2.网络爬虫

在我们的Client Reputation IP中,我们还观察到大量网络爬虫活动。这些工具通常被用于提取存储在网站中的数据,从而创建逼真的网络钓鱼工具包,通过模仿金融机构的网站来欺骗客户。与账户接管类似,爬虫程序也在这其中起到了重要作用。

3.追踪战术、技术和程序

研究攻击者的动机很重要,借此可以更好地了解他们可能会用怎样的战术、技术和程序(TTP)威胁客户或金融机构。随着时间的推移,追踪这些指标可以为企业提供有关客户风险暴露的威胁情报,从而帮助企业评估需要采取哪些措施(如Akamai MFA、Akamai Account Protector以及Akamai Bot Manager)来降低这些风险。

希望我们对这些攻击方法和动机的分类可以帮助大家在自己的企业内部顺利进行演练并有效分析相关趋势。

尽管我们检测到很多与DDoS、漏洞利用以及Web应用程序攻击有关的尝试,但超过80%的攻击者,其攻击目标都是金融服务业的客户,而非这些业内机构本身。

网络钓鱼趋势:金融服务客户正在遭受攻击

金融服务业是网络钓鱼诈骗最主要的目标之一。大部分钓鱼攻击都以经济利益为动机,全球范围内平均每分钟造成的损失高达1.77万美元。金融服务业备受此类攻击青睐,最主要的原因之一在于,以该行业及其客户为目标的攻击可以带来高额的回报。例如,在黑市中,每张信用卡的相关信息售价介于17-120美元之间,只需产生少量受害者,即可从中谋取到巨额利润。

由于黑市中还有着数量众多,价格低廉的攻击工具包,网络犯罪分子可以借此很轻松地针对目标发起攻击。虽然这类攻击主要以金融机构的客户,而非机构自身为目标,但所造成的损失已经远远超出了个人范围。冒充金融机构的网络犯罪分子会损害银行的品牌和声誉,并在该过程中损害客户信任(导致银行业务受损)。为了解决和应对此类钓鱼攻击,银行同样需要付出不菲的成本。

我们研究了2022年第1和第2季度被网络钓鱼诈骗活动冒充和滥用的品牌,并根据受害者人数对这些骗局进行了分类。借此准确追踪网络钓鱼活动,并分析其中的趋势和蕴含的模式。

图20:2022年第2季度的钓鱼攻击受害者

如图20所示,一直以来,金融服务机构和高科技公司都是最易受到此类攻击的行业,并且这两个季度相关比例还有所上升,从1季度的32%(金融服务)和31%(高科技)分别增长至2季度的47%(金融服务)和36%(高科技)。尽管这些发现并不值得惊讶,但针对金融服务业的网络钓鱼攻击如此快速地上升,这依然仍人感觉担忧。

图21:钓鱼攻击更多地会以消费者而非企业为目标

大部分(80.7%)网络钓鱼活动的目标是消费者而非企业(图21)。我们认为,原因主要在于地下黑市对消费者账户有着巨大的需求,因为这些账户还可被用于发起与欺诈有关的第二阶段攻击。

Akamai研究发现,由于基于令牌的2FA解决方案还远远不够完善,企业还需要采取更强大的多重身份验证保护措施。

然而,即便只有19.3%的攻击活动直接以企业为目标,相关隐患同样不容忽视,因为这类攻击通常更有针对性,更有可能造成重大损失。针对企业的攻击可能导致企业网络被恶意软件或勒索软件攻陷,甚至导致机密信息外泄。也许最开始只是一名员工无意中点击了钓鱼邮件中一个链接,这最终也可能导致企业遭受重大的财务和声誉损失。

针对Colonial Pipeline的攻击就是一个不容忽视的例子。针对这家企业的攻击,最开始就是通过一个外泄的VPN账户发起的。虽然无法明确确定原因,但据分析,很可能是因为这个被攻陷的账户使用了和暗网中出售的其他账户相同的密码。

可绕过双重身份验证的钓鱼攻击

Akamai安全研究人员还分析了2022年2季度最常用的工具包,并统计了分发每个工具包的域名数量。我们发现,Kr3pto是最常用的工具包,与之相关的域名超过了500个(图22)。

图22:Kr3pto是2022年2季度最常用的钓鱼工具包,它甚至可以绕过双重身份验证

Kr3pto背后的开发者主要开发并销售以金融机构和其他品牌为目标的特殊工具包。某些情况下,这些工具包会以英国的金融机构为目标,甚至可以绕过双重身份验证。此外还有证据显示,虽然该钓鱼工具包早在三年多之前就诞生了,但至今依然非常有效,并且至今依然被广泛使用。

虽然类似Kr3pto这样的钓鱼活动并不新鲜,但与这类攻击有关的细节可以帮助我们理解网络钓鱼的趋势,分析相关活动的规模和复杂性。一旦被攻破,目标凭据可能会导致后续的欺诈活动,或导致未经授权人员访问企业的内部网络,因为这类攻击甚至可以使用一次性密码令牌或推送通知来绕过双重身份验证解决方案。

Akamai研究发现,由于基于令牌的2FA解决方案还远远不够完善,企业还需要采取更强大的多重身份验证保护措施。例如FIDO2就是一种能提供更高安全性的新标准,这是一种无密码技术,可要求用户在本地(例如使用生物识别技术)进行身份验证,随后即可访问网站或进行在线交易。由于这种方式不再需要用户名和密码,因此也不会产生可能被窃取并用于钓鱼攻击。

恶意软件之路

上文已经详细介绍了攻击者用来破坏金融服务的各类战术和方法。接下来,我们一起看看当攻击者(通过新的或旧的漏洞、Web应用程序和API攻击,甚至钓鱼骗局)成功渗透进入金融服务机构的内部网络之后可能发生的事情。一旦攻击者渗透到组织网络内部,即可执行大量恶意活动,例如通过各类恶意软件(包括勒索软件)破坏安全措施。

金融服务是对安全性要求最高的行业之一,然而该行业正在遭遇越来越频繁的攻击,因此必须对各类问题保持警惕。因此我们更是有必要深入研究勒索软件的现代TTP(毕竟网络犯罪分子就是借此入侵企业的),从而围绕RaaS、钓鱼攻击、漏洞扫描甚至DDoS等攻击方式找出最适合的应对措施。

从初始访问到凭据收割

为实现网络渗透和传播的目标,勒索软件团伙会采用各种工具,其中大部分都是业内众所周知甚至大量使用的工具。实际上,一般来说,只有加密器(以及有时所使用的特洛伊木马程序)是不同勒索软件团伙所独有的。但横向移动、传播和渗透等TTP对攻防双方来说应该都不陌生,无非就是Cobalt Strike、Mimikatz、PsExec等。

对于大部分勒索软件来说,网络钓鱼似乎是最常见的入侵载体,借此诱骗用户打开用于发起攻击的文件或工具。其他常见方式包括通过“猜测”正确的凭据来入侵VPN或远程桌面协议(RDP)服务器等。Conti的泄密事件则让我们借机深入了解了其他一些不太常见的感染方式所用爬虫的设计思路(图23)。

初始立足点(鱼叉式)钓鱼攻击或应用程序漏洞横向移动在网络中传播以实现最大化覆盖面提取查找并窃取有价值的数据加密通过PKI加密方式被破解发出勒索更换桌面墙纸或留下勒索信息文本文件盈利?

图23:勒索软件的攻击链

勒索软件通常还会使用MITRE所涵盖的常见横向移动技术(如WMI、远程计划任务、RDP、WinRM、PsExec以及EternalBlue和BlueKeep等零日漏洞)在网络中移动。为了维持在网络中的立足点,Conti团伙使用了计划任务的方式。他们外泄的手册中还列出了其他持久隐藏的方式,如注册表的Run键、Office应用程序启动、Windows服务等。一旦网络犯罪分子获得了较高级别的特权,他们随后会窃取账户名称和密码。这种凭据收割过程通常是通过本地安全机构子系统服务(LSASS)或安全账户管理器(SAM)数据库实现的。这方面最常用的工具是Mimikatz(当然,同类的凭据转储工具还有很多)。如果通过网络获取凭据,则很多时候还会用到各种零日漏洞。

了解攻击面有助于针对关键风险获得见解,从而设计出更安全的控制和缓解措施。

本节通过几个简单的例子展示了我们所发现的,一些不容忽视的趋势。勒索软件可能是客户和企业会遇到的,最具破坏性的攻击方式之一,甚至会影响到客户对企业的信任。虽然勒索软件在金融业的流行程度远不如其他垂直行业,但依然是一种需要密切跟踪和缓解的威胁载体。为了进一步了解有关这些TTP的详细信息,欢迎阅读2022年上半年Akamai勒索软件威胁报告。

总结:不断扩大的威胁面

金融服务业是对安全性要求最高的行业之一,由于该行业特殊的性质和所拥有的机密数据数量,这也是网络犯罪分子最有利可图的目标之一。我们在研究中发现,当发现新漏洞后,金融服务业将是最先受到攻击,并且会受到最多攻击的行业。同时该行业也是DDoS攻击和网络钓鱼活动最青睐的行业,并且客户往往也会成为这些攻击的目标。

攻击者会想方设法渗透内部网络或影响你的客户。了解攻击面有助于针对关键风险获得见解,从而设计出更安全的控制和缓解措施。API和Web应用程序攻击的转变和激增有助于帮助企业和防御团队更好地理解攻击者的侧重点,并针对需要保护的领域划分优先级。此外,当新漏洞出现后,如果明白自己只有很短的时间来做出反应,这也有助于相关企业更好地采取主动措施(如补丁管理)加强防御能力。

我们的研究还重点关注了企业在了解了可能遇到的攻击类型后,该如何采取措施保护客户安全。此外,建议相关企业采取“后发制人”的心态,因为类似勒索软件这样的威胁往往会利用各种漏洞,并借助不同的工具和方法渗透到企业网络内部。企业必须慎重考虑自己是否具备适当的工具和流程来缓解勒索软件和其他威胁所造成的风险。最后,类似网络攻击链、NIST的800-207 Zero Trust Architecture以及最新的FIDO2标准,这些最佳实践和流程也都是金融服务业的重要参考资源。


Akamai将继续关注金融服务业和其他行业的安全态势,并通过全面的分析和适合的解决方案帮助企业有效缓解威胁,增强自己和客户的数据安全性。欢迎关注Akamai知乎机构号,第一时间了解最新进展。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1290931.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

浪潮信息KeyarchOS EDR 安全防护测评

背景 近几年服务器安全防护越来越受到企业的重视,企业在选购时不再仅仅看重成本,还更看重安全性,因为一旦数据泄露,被暴力破解,将对公司业务造成毁灭性打击。鉴于人们对服务器安全性的看重,本篇文章就来测…

智能外呼是什么?智能外呼怎么样?

智能外呼是什么? 当今业务通讯领域,智能外呼已经成为了一种普遍应用的技术。智能外呼是利用人工智能技术和自动化系统来进行电话呼叫和信息传递的一种方式。它可以帮助企业有效地进行市场营销和客户服务,极大地提高工作效率。 智能外呼系统…

HarmonyOS4.0从零开始的开发教程01运行Hello World

HarmonyOS(一)运行Hello World 下载与安装DevEco Studio 在HarmonyOS应用开发学习之前,需要进行一些准备工作,首先需要完成开发工具DevEco Studio的下载与安装以及环境配置。 进入DevEco Studio下载官网,单击“立即…

点滴生活记录1

2023/10/10 今天骑小电驴上班,带着小鸭子一起。路上的时候,我给小鸭子说,你要帮我看着点路,有危险的时候提醒我,也就刚说完没几分钟,一个没注意,直接撞到一个拦路铁墩子上,车子连人歪…

流量异常-挂马造成百度收录异常关键词之解决方案(虚拟主机)

一.异常现象:流量突然暴涨,达到平时流量几倍乃至几十倍,大多数情况下因流量超标网站被停止。 二.排查原因: 1.首先分析web日志:访问量明显的成倍、几十倍的增加;访问页面不同;访问IP分散并不固…

2023 IoTDB 用户大会成功举办,深入洞察工业互联网数据价值

2023 年 12 月 3 日,中国通信学会作为指导单位,Apache IoTDB Community、清华大学软件学院、中国通信学会开源技术委员会联合主办,“科创中国”开源产业科技服务团和天谋科技(北京)有限公司承办的 2023 IoTDB 用户大会…

深度学习(六):paddleOCR理解及识别手写体,手写公式,表格

1.介绍 1.1 什么是OCR? 光学字符识别(Optical Character Recognition, OCR),ORC是指对包含文本资料的图像文件进行分析识别处理,获取文字及版面信息的技术,检测图像中的文本资料,并且识别出文本的内容。…

JVM 执行引擎篇

机器码、指令、汇编语言 机器码 各种用二进制编码方式表示的指令,叫做机器指令码。开始,人们就用它采编写程序,这就是机器语言。机器语言虽然能够被计算机理解和接受,但和人们的语言差别太大,不易被人们理解和记忆&a…

Centos服务器上根据端口号查询jar包,根据jar包查端口号

在开发springboot服务器时,经常会遇到其他人部署的java服务,需要自己维护,留下的信息又非常少。经常面临找不到jar包位置,或者不知道占用端口,不知道启动命令的问题。这里记录一下常用的centos服务器上的命令&#xff…

物联网安全芯片ACL16 采用 32 位内核,片内集成多种安全密码模块 且低成本、低功耗

ACL16 芯片是研制的一款32 位的安全芯片,专门面向低成本、低功耗的应用领域, 特别针对各类 USB KEY 和安全 SE 等市场提供完善而有竞争力的解决方案。芯片采用 32 位内核,片内集成多种安全密码模块,包括SM1、 SM2、SM3、 SM4 算法…

103.进程概述

目录 1.并行和并发 区别: 2.PCB 3.进程状态 4. 进程命令 从严格意义上来讲,程序和进程是两个不同的概念,他们的状态,占用的系统资源都是不同的。 程序:程序是一种静态实体,是存储在计算机存储介质上的…

docker基本管理和相关概念

1、docker是什么? docker是开源的应用容器引擎。基于go语言开发的,运行在Linux系统当中开源轻量级的“虚拟机”。 docker可以在一台主机上轻松的为任何应用创建一个轻量级的,可移植的,自给自足的容器。docker的宿主机是Linux系统…

5 TF-A

一、TF-A的使用 TF-A是什么? TF-A 全称是 Arm Trusted Firmware,TF-A是为了保证安全,arm退出的可信固件,简称TF-A。它的作用就是隔离硬件,为硬件提供一个安全环境并提供安全服务。 1. 系统源码获取 STM32MP1Dev - STM…

【算法】约瑟夫环

约瑟夫问题是个有名的问题:N个人围成一圈,从第一个开始报数,第M个将被杀掉,最后剩下一个,其余人都将被杀掉。例如N6,M5,被杀掉的顺序是:5,4,6,2&a…

软件测试外包干了2个月,技术进步2年。。。

先说一下自己的情况,本科生,18年通过校招进入北京某软件公司,干了接近2年的功能测试,今年国庆,感觉自己不能够在这样下去了,长时间呆在一个舒适的环境会让一个人堕落!而我已经在一个企业干了2年的功能测试&…

WireShark监控浏览器登录过程网络请求

软件开发中经常前后端扯皮。一种是用Chrome浏览器的开发者工具 来看网络交互,但是前提是 网络端口的确是通的。 WireShark工作在更低层。 这个工具最大的好处,大家别扯皮,看网络底层的log,到底 你的端口开没开, 数据…

Day03 linux高级系统编程--进程

概念 进程与程序的区别 进程:一个正在运行的代码就叫做进程,是动态的,会占用内存 程序:一段封装好的待运行的代码或可执行文件,是静态的,会占用磁盘空间 单道与多道程序 单道:程序一个一个…

Qt Creator :Analyze heob 使用教程

功能:在windows系统上检测和调试软件代码的内存泄漏情况; 使用环境 :需要下载 heob和dwarfstack 把dwarfstack动态库放在heob的执行程序目录下 使用步骤: 第三步:配置启动调试程序 第四步:配置heob的路…

Spring Boot学习随笔-SpringBoot的引言,回顾传统SSM开发

学习视频:【编程不良人】2021年SpringBoot最新最全教程 第一章、传统SSM开发回顾以及问题 Spring SpringMVC Mybatis SSM 实现一个简单功能 员工添加、查询… SSM项目简单实现 项目 需求分析 —>概要设计 —>(库表设计) —> 详细…