全球网络安全领导厂商赛门铁克公司,近日发布《金融威胁白皮书2017》,揭示金融行业中企业机构及消费者所面临的愈加严峻的安全威胁。从利用金融木马对网上银行进行攻击,到面向ATM机与银行内部的欺诈性交易,攻击者正在利用不同的攻击手段,时时威胁着企业与消费者。尽管相对于勒索软件而言,金融威胁或许未得到媒体的广泛讨论,但其仍旧是网络攻击者获取利润的主要方式之一。根据赛门铁克发布的白皮书表示,在2016年监测出的金融威胁数量高达120万,是勒索软件总和的2.5倍,例如,仅仅Ramnit木马(W32.Ramnit)的数量几乎是所有勒索软件数量的总和。
主要发现
2016年,网络攻击事件层出不穷。赛门铁克发现,针对大型金融机构与企业的攻击数量出现急速增长。在2016年,38%的金融威胁主要针对大型企业,Ramnit,Bebloh以及Zeus三大金融威胁家族主导了全球86%的金融木马攻击事件。日本、中国以及印度成为遭遇金融木马攻击的主要国家。不仅如此,APT组织正在将金融恶意程序用于更多的一般性攻击。
随着智能手机等移动设备逐渐成为人们生活中不可或缺的工具,以及越来越多的交易认证需要通过移动客户端及短信完成,赛门铁克发现,针对移动端的攻击呈现出增长趋势,为了窃取用户的身份凭证,至少170个应用程序成为手机银行恶意软件的攻击目标。
图1.消费者与金融机构所面临的常见金融威胁
更多针对性攻击将金融机构作为目标
尽管大多数网络攻击更加趋于针对任意目标,并且通常以发起大规模攻击为主,但在2016年,部分复杂性攻击已将目标从消费者转向金融机构。赛门铁克发现,2016年针对企业与金融机构的攻击数量出现明显的上升。其中,针对环球银行金融电信协会(SWIFT)会员的多起超大金额网络抢劫案件引发了全球的关注。
2016年初,孟加拉银行抢劫案成为金融攻击中最典型的事件之一。该攻击利用 “BandWift” 入侵了拥有SWIFT网络访问权限的计算机,共造成8,100万美元的损失。赛门铁克的调研表示,此次攻击也是首次拥有明显迹象表明民族国家参与金融网络犯罪的案例,例如Lazarus攻击组织。
在2016年,另一场针对全球金融机构的网络犯罪活动中,名为“Trojan.Odinaff”的恶意程序遭到曝光。利用“Odinaff”程序的攻击十分复杂并且需要大量手动操作,这需要攻击者能够熟练地将一系列轻量级后门与专用工具部署于目标计算机中。由此可以证明,该系列攻击背后的网络攻击组织拥有专业的技术背景。在“Odinaff”攻击中,攻击者再次利用了银行的安全漏洞入侵内部网络,并感染能够访问SWIFT网络的计算机与应用,但SWIFT网络自身并未受到攻击与入侵。
以上攻击案例均对国际金融系统的内部工作流程进行入侵,此类复杂性攻击往往需要更长时间去计划及实施,成功率也相对较低,但一旦成功,网络攻击者便能够获得极高的利润。也正因如此,金融抢劫对于攻击组织而言具有强烈的吸引力。值得一提的是,复杂性攻击中所使用的技术,曾主要用于高级针对性攻击。
实施攻击所需的资源、知识和耐心,以及纯粹为了博取名声的原因都表明了,网络犯罪已经进入了一个新的时代。
赛门铁克公司大中华区首席运营官 罗少辉
利用社交工程成为金融威胁的主要攻击手段
在针对金融行业的攻击中,沙箱躲避、无文件攻击以及源代码合并是网络攻击者所使用的主要攻击策略。2016年,20%的恶意软件能够检测并分辨虚拟机环境。与此同时,无文件(Fileless)的攻击方式也越发得到攻击者的青睐。
重新定向,Webinjects以及远程访问则成为2016年的主要攻击手段。值得提出的是,由于越来越多的安全工具能够检测并阻止Webinjects,赛门铁克去年观察到,使用重定向攻击代替本地入侵(inject)成为金融攻击的主要趋势之一。攻击者会利用恶意软件将网页重新定向至远程站点,并在远程服务器中进行流量替换及诈骗。赛门铁克甚至发现传统DNS重定向攻击也开始死灰复燃。
当下,社交工程在大多数网络攻击中发挥了重要作用,这也包括针对金融行业的攻击。无论是在入侵阶段,还在是后期的多方认证阶段,攻击者甚至无需任何恶意程序,只需要利用社交工程手段便可实现攻击。其中,商务电邮诈骗(BEC)便是去年利用社交工程的主要诈骗手段。攻击者通过向企业的财务部门发送电子邮件,以说服其进行转账付款。此外,赛门铁克还观察到,一些网络钓鱼邮件使用了个性化名称,和其他从数据泄露中获得信息,使其更加具有欺骗性,增加攻击成功几率。
针对ATM取款机、POS终端的攻击并未消失,移动终端成为下一个重要目标
在2016年,针对ATM取款机和POS终端的攻击数量持续增加。尽管ATM恶意软件在10年前便已出现,但即便是现在,它们仍旧是十分有效的手段。面向ATM机的攻击涉及不同层次的复杂程度,但值得一提的是,如今攻击者甚至无需物理访问,同样能够对ATM取款机与POS终端发起攻击。
2016年11月,FBI发出警告,Buhtrap攻击组织能够在不对ATM机进行物理篡改的情况下,成功入侵金融机构的内部网络,并向ATM取款机发布执行命令,随后成功获取大量现金。台湾警方预计,该攻击造成超过3亿美元的损失。此外,攻击者同样使用钓鱼邮件以及其他恶意软件对受感染的计算机进行远程控制,随后实施攻击。2016年8月,一家POS终端软件供应商的网页遭遇攻击者入侵。报道称,攻击者利用盗取的信息,能够对多家零售商所使用的POS终端进行远程访问。
过去几年中,针对移动端的金融威胁变得愈发普遍。在2016年,赛门铁克共监测到720万个移动端恶意软件,较前一年增长29%。其中超过半数的移动恶意软件与Android. MalDownloader等恶意下载器相关。这也使得金融威胁成为除恶意发送收费短信应用程序与勒索软件外,第三大最常见的移动端威胁类别。
移动端的恶意软件感染方式分为多种。最常见的是利用社交工程,通过向用户发送带有恶意链接的邮件,误导潜在受害者下载伪装成合法应用的威胁程序。此外,攻击者正在将合法工具木马化。攻击者的另一常用伎俩是通过反复弹出 “设备管理激活” 对话框,直至用户授予应用管理员权限,将恶意软件安装于设备中。
值得消费者注意的是,恶意应用程序如今不仅存在于第三方应用商店,即便在Google Play Store的官方应用中心,赛门铁克也同样发现受感染的应用程序。
赛门铁克安全保护
采用多层安全防御能够最大程度降低受到攻击的可能性。因此,赛门铁克建议企业和金融机构从三个方面抵御金融威胁攻击:
• 抵御 - 在攻击发生前,拦截可能的安全威胁入侵、感染或破坏
• 控制 - 攻击发生过程中,限制感染的传播范围
• 响应 - 遭遇攻击后,通过事件响应流程对攻击进行分析,以提高企业的防护能力
目前,抵御攻击的最有效方式便是在受到攻击之前进行充分的安全防护。电子邮件和受到感染的网页是感染恶意程序的主要途径,因此,企业需要采取强大的安全保护措施降低感染风险。
消费者可采取以下措施,降低遭遇网络金融攻击的风险:
• 在进行网上银行交易时,时刻保持警惕,尤其是发现银行网站的行为与界面发生变化的时候 ;
• 在使用金融机构所提供的服务时,如果发现异常情况,应尽快告知该金融机构;
• 在收到未知或可疑邮件时,时刻保持警惕;
• 及时更新系统,确保安全软件处于最新版本;
• 采用高级账户安全功能,尽可能使用双重认证或开启登录告知功能;
• 对所有账户使用高强度密码;
• 在完成使用后,及时登出账户;
• 定期查看银行账单;
• 对任何试图要求用户启用宏的微软Office附件保持警惕;
赛门铁克与诺顿产品能够通过高级机器学习、文件信誉评级、行为监测等方式帮助企业与消费者抵御金融木马的攻击。此外,赛门铁克能够对以下特定木马进行主动通用监测:
• Trojan.Bebloh
• Trojan.Snifula
• Trojan.Zbot
• W32.Ramnit
• W32.Cridex
• Infostealer.Boyapki.E
