导语:回顾:2017年金融行业重大事件 对于金融机构而言,2017年的网络威胁环境发生了巨大的改变。 首先,在2017年,我们目睹了针对运行SWIFT系统(全球金融生态系统的基本组成部分)的持续性网络攻击。攻击者能够利用金融机构中的恶意软件来操
回顾:2017年金融行业重大事件
对于金融机构而言,2017年的网络威胁环境发生了巨大的改变。
首先,在2017年,我们目睹了针对运行SWIFT系统(全球金融生态系统的基本组成部分)的持续性网络攻击。攻击者能够利用金融机构中的恶意软件来操纵负责跨境交易的应用程序,从而实现从世界上任何金融组织中提取资金。这是因为SWIFT软件是金融市场中的所有主要参与者所使用的统一标准。这些攻击的受害者包括世界各地10多个国家的多家银行等金融机构。
其次,在2017年,我们发现网络犯罪分子试图渗透金融机构的范围有了明显地扩张。越来越多不同的网络犯罪组织渗透到了银行基础设施、电子货币系统、加密货币交易所、资本管理基金、甚至赌场之中。他们的主要目的就是提取巨额的资金。
为了实现他们的网络犯罪活动,攻击者主要依赖经过验证的网络访问货币化方案。除了对SWIFT系统的攻击之外,网络犯罪分子还一直在积极使用ATM感染技术,包括位于金融机构自身网络、远程银行(RB)系统以及POS终端网络上的ATM感染,并篡改银行的数据库来改变银行卡的余额。
针对ATM设备的攻击是值得一提的。这种抢劫行为正在变得越来越流行,以至于2017年出现了第一个“ATM恶意软件即服务”(malware-as-a-service):即网络犯罪分子在地下论坛提供所有必要的恶意程序和视频指导,以帮助没有专业技能的“任何人”都能够获得ATM访问权限,针对ATM设备发起攻击。
购买者只需要选择一台ATM,然后按照说明打开它,并向服务提供者付费以激活ATM上的恶意程序。然后就能够实现取款的过程。类似这样的计划,大大增加了网络犯罪分子的数量,甚至帮助非专业人士也可以实施网络犯罪活动。
我们通过劫持银行域名从而实现了对银行客户电子业务操作的拦截。因此,客户无法访问银行真实的基础设施,而只是获得了入侵者伪造的虚假基础设施的访问权限。因此,犯罪分子可以在几个小时内进行钓鱼攻击、植入恶意代码,并可以使用网上银行客户正在使用的业务。
值得一提的是,在一些国家,银行已经忘记了最“不重要的东西”——物理安全。这使得银行的金融资产受到了攻击威胁。在某些情况下,这是因为攻击者可以轻松地访问电缆线路,然后连接超小型树莓派(Raspberry Pi)设备。在几个月的时间里,这些设备被动地收集了关于银行网络的信息,并通过LTE连接将截获的数据发送至入侵者的服务器中。
展望:2018年金融行业网络犯罪趋势
1. 通过金融系统的基础区块链技术发动攻击
世界上几乎所有的大型金融机构都在积极投资基于区块链技术的系统。任何新技术都有其优点,但也会带来一些新的风险。基于区块链的金融系统并不是独立存在的,因此区块链实施中的漏洞和错误也同样能够被攻击者用来赚钱,并破坏金融机构的运行。例如,在2016-2017年间,Ethereum智能合同(smart contracts)中发现了一些漏洞和错误,而一些金融机构已经基于这些存在漏洞的智能合同建立了自身的服务。
2. 金融领域将出现更多的供应链攻击
大型金融机构在网络安全方面投入了大量的资源,因此想要渗透其基础设施并不是一件容易的事情。然而,未来一年网络犯罪分子可能会积极使用的威胁向量是:对向金融机构提供软件的厂商进行攻击。因为大多数情况下,与金融机构本身相比,这些供应商的防御水平要差得多。
去年,我们目睹了一些这样的攻击,包括针对NetSarang、CCleaner以及MeDoc的攻击。正如我们所看到的,攻击者替换或篡改了不同类型软件的更新。在接下来的一年里,我们预计网络犯罪分子可能会利用专门为金融机构而设计的软件(包括ATM和POS终端软件)来发动攻击。
几个月前,我们记录了有关这类攻击的第一次尝试,当时,攻击者将一个恶意模块嵌入到了固件安装文件中,并将其放置在一个美国ATM软件供应商的官方网站上。
3. 大众传媒(通常包括推特账号、Facebook网页、Telegram等)入侵和操纵,旨在通过证券/密码交换交易来获利
总结来看,2017可谓是“假新闻”年。除了对舆论的操纵外,“假新闻”一词也意味着一种不诚实的赚钱方式。虽然证券交易大部分是由操作源数据的机器人完成,这些源数据主要用于进行某些交易,但它也会导致产品、金融工具以及加密货币的价格发生巨大变化。
事实上,一条来自有强烈号召力的“影响者”发布的推特消息,或者虚假账号在社交网络上制造的一波消息,都可以有效地推动市场。而这个办法肯定会为入侵者所用。利用这种方法,几乎不可能找出哪个才是推动攻击发起的受益人。
4. ATM恶意软件自动化
针对ATM设备的第一款恶意软件出现在2009年,从那时起,这些设备便一直受到网络欺诈者的关注。目前,这种攻击类型一直在演变。过去一年,“ATM恶意软件即服务”(Malware-as-a-service)已经出现,下一步就进入到这类攻击的全面自动化阶段——微型计算机将自动连接到ATM,从而导致恶意软件安装和吐钞或是卡数据收集。这将大大缩短入侵者实施犯罪所需的时间。
5. 针对加密货币交易平台的攻击将日益增多
在过去的一年中,加密货币吸引了大量的投资者关注,这一现象反过来又导致了各种硬币和代币交易的新业务的蓬勃发展。那些网络安全保障高度发达的金融市场传统参与者,并没有急于进入这一领域。
这种情况为攻击者攻击加密货币交易提供了一个理想的机会。一方面,新公司没有设法正确地测试他们的安全系统;另一方面,从技术上说,整个加密货币兑换业务是建立在众所周知的原则和技术之上的。因此,攻击者了解并拥有必要的工具来渗透使用加密货币的新站点和新服务的基础设施。
6. 由于2017年数据泄露情况严重,传统的银行卡欺诈行为将会激增
2017年,我们看到了很多大规模的个人数据泄露事件——包括最近发生的Equifax案例,已经导致超过1.4亿美国居民的数据被泄露给网络犯罪分子,而在Uber案件中,另有5700万名客户的数据被泄露——这种种现象已经造成了传统的银行业务安全措施的严重失效,因为这些措施主要是基于对当前或潜在客户的数据分析。
例如,详细了解受害人的个人信息后,攻击者就可以假冒银行客户来提取受害者的金钱或安全信息,而对相关银行机构来说,攻击者提出的“请求”是合法的。因此,未来一年中,传统的银行卡欺诈活动将达到一个高峰,金融机构多年来收集(但未进行妥善保护)的大数据将帮助攻击者成功实施其金融欺诈计划。
7. 国家组织支持的针对金融机构的攻击行为将增多
臭名昭著的“Lazarus 组织”很可能是朝鲜政府资助的,该组织近年来已经针对世界各地的众多银行机构实施了攻击活动,其中包括拉丁美洲、欧洲、亚洲以及大洋洲的银行等。他们的主要目的是提取巨额资金,总额已达数亿美元。
此外,根据“影子经纪人”(Shadow Brokers)公布的数据显示,政府赞助的经验丰富的APT组织正在瞄准金融机构,以便更多地了解现金流。很可能明年一些新加入网络间谍行动的国家的其他APT组织也会采用这种方式——既能赚钱又能获取有关客户、资金流向以及金融机构内部流程的信息。
8. 传统的面向PC的网上银行木马数量下降,移动银行新用户将成为犯罪分子新的首要目标
数字银行将继续在全球范围内,特别是在新兴市场,彻底革新金融行业。例如在巴西和墨西哥,这些银行的发展势头越来越猛,自然地,这也吸引了网络犯罪分子的目光。我们相信,网络犯罪世界将会发生越来越多地针对这类银行及其客户的攻击活动。这些银行的主要特点是完全没有分支机构和传统客户服务。银行和客户间的所有沟通实际上都是通过移动应用程序进行的。这可能会造成以下几个后果:
首先是旨在通过传统网上银行窃取金钱的Windows木马的数量将会减少;
其次,数字金融机构数量的增长,将会导致容易成为网络犯罪分子目标的用户数量的相应增长:这些用户通常没有任何移动银行业务经验,但在其移动设备上安装了银行应用程序。这些人将会成为类似Svpeng等恶意软件攻击,以及完全基于社会工程的攻击的主要目标。说服客户通过移动应用程序进行转账比强迫他们到实体银行柜台转账要容易得多。
结论
在过去几年中,针对金融机构的攻击数量和质量都在不断增长。这些攻击主要是针对机构的基础设施及其员工的攻击,而不是针对其客户的攻击行为。
至今尚未考虑网络安全重要性的金融机构很快将面临黑客攻击的后果。而这些后果将与银行业务的发展不相容:它们将导致银行业务完全停顿和极端化的损失。
为了防止这种情况发生,有必要不断调整安全系统以适应新的威胁。如果不分析关于针对金融机构的最重要和最相关的网络攻击的数据和信息,这种调整是不可能实现的。
防范攻击的有效方法是让银行选择合适的安全解决方案,并使用专门针对该领域的威胁情报报告。因为这些报告中包含必须立即落实到整个防护系统中的信息。例如,使用YARA规则和入侵指标(indicators of compromise,IOC)将在未来几个月内对金融机构变得至关重要。