攻擊者使用網(wǎng)絡(luò)釣魚作為針對(duì)金融行業(yè)最常見(jiàn)的工具�����。建立釣魚活動(dòng)發(fā)起惡意軟件攻擊所需的最低技術(shù)知識(shí)和容易訪問(wèn)���,使其成為許多攻擊者攻擊金融公司的首選方法�。
美國(guó)聯(lián)邦調(diào)查局(FBI)和Statista公布的統(tǒng)計(jì)報(bào)告顯示�,針對(duì)金融公司的攻擊中,約有40%使用了各種釣魚郵件和網(wǎng)址���。被模仿最多的云品牌和社交媒體品牌分別是微軟和谷歌���。攻擊者經(jīng)常創(chuàng)建虛假的微軟登錄頁(yè)面來(lái)竊取PII數(shù)據(jù)。
圖%201%20描述了基于金融行業(yè)提供的服務(wù)的網(wǎng)絡(luò)釣魚嘗試�。金融和支付平臺(tái)是最有針對(duì)性的服務(wù)�,占比分別為25%和9%�����。
銀行惡意軟件:
間諜軟件是另一種常用工具,以金融部門為目標(biāo)��,竊取憑證�����、身份和敏感數(shù)據(jù)�����。Stealer%20和Bots是攻擊者通常用來(lái)針對(duì)金融公司的間諜軟件變體�����,攻擊者通常用它們來(lái)攻擊金融公司,它們通常被稱為銀行惡意軟件�����。銀行惡意軟件以個(gè)人電腦和移動(dòng)設(shè)備為目標(biāo)�,竊取用于在線支付和交易的憑證�����。
銀行惡意軟件在設(shè)備上成功安裝后可以執(zhí)行:
從網(wǎng)上銀行服務(wù)竊取用戶名和密碼
收集用戶銀行信息(持卡人姓名�����、卡號(hào)�、CVV、有效期)等數(shù)據(jù)
收集通話記錄和聯(lián)系人
從設(shè)備讀取%20SMS%20內(nèi)容并將數(shù)據(jù)存儲(chǔ)在設(shè)備中
讀取從用戶設(shè)備接收的%20SMS%20通知�,如金融交易。
收集機(jī)器信息
具有鍵盤記錄器功能
下面列出了銀行惡意軟件的這些變種���,也稱為銀行木馬或BankBot�����,經(jīng)常針對(duì)金融公司:
Cerberus
Aberebot
SpyEye
TrickBot
DanaBot
Anubis
根據(jù)Heimdal和Securelist最近的一份報(bào)告——Zbot惡意軟件����,俗稱Zeus,是銀行惡意軟件家族中最臭名昭著的木馬���,占所有攻擊的25%�。SpyEye占另外15%��,TrickBot和%20DanaBot各占所有感染的5%�����。
一些網(wǎng)絡(luò)犯罪論壇為網(wǎng)絡(luò)犯罪分子提供各種服務(wù)�,如出售惡意軟件等。此外����,論壇用戶還提供使惡意軟件完全無(wú)法檢測(cè) (FUD) 的服務(wù)。使用這些網(wǎng)絡(luò)犯罪論壇的服務(wù)后��,惡意軟件將無(wú)法被防病毒程序等常見(jiàn)掃描機(jī)制檢測(cè)到����。因此有必要在軟件開(kāi)發(fā)初期通過(guò)靜態(tài)代碼檢測(cè)等技術(shù)強(qiáng)化軟件自身安全。
下圖展示了一篇關(guān)于APK crypt/FUD 服務(wù)的網(wǎng)絡(luò)犯罪論壇帖子�。
網(wǎng)絡(luò)犯罪分子還出售他們從各種機(jī)構(gòu)和第三方服務(wù)中獲取的敏感信息。這些詳細(xì)信息包括敏感PII數(shù)據(jù)和信用卡號(hào)。在下圖中��,用戶在網(wǎng)絡(luò)犯罪論壇上出售有效信用卡號(hào)碼��。
第三方攻擊:
大多數(shù)金融機(jī)構(gòu)依賴第三方����、供應(yīng)商或合作伙伴服務(wù),如軟件服務(wù)�、分析�、網(wǎng)絡(luò)托管等。利用第三方執(zhí)行非關(guān)鍵任務(wù)可以讓金融公司優(yōu)先考慮其主要業(yè)務(wù)目標(biāo)��。
使用第三方服務(wù)有很多好處�,然而,它們也存在一些安全風(fēng)險(xiǎn)���。我們已經(jīng)看到針對(duì) Kaseya的勒索軟件攻擊如何影響了幾家企業(yè)���,類似的攻擊可能導(dǎo)致攻擊增加最大可容忍停機(jī)時(shí)間 (MTD)。
服務(wù)提供商的數(shù)據(jù)泄露會(huì)影響他們的客戶���,正如我們最近在Blackmatter勒索軟件攻擊中所觀察到的��。這次攻擊擾亂了受害者的服務(wù)�����,并泄露了屬于他們客戶的敏感信息�����。
趨勢(shì):
作為我們研究的一部分���,在2021年觀察到勒索軟件攻擊激增�。勒索軟件攻擊通常對(duì)目標(biāo)設(shè)備上的數(shù)據(jù)進(jìn)行加密���。然而����,在加密之前首先會(huì)盜取這些數(shù)據(jù)���,然后攻擊者根據(jù)這些敏感數(shù)據(jù)要求贖金�����。如果受害者無(wú)法支付贖金�����,他們會(huì)通過(guò)在公共論壇上泄露收集到的敏感數(shù)據(jù)來(lái)勒索受害者���。
通過(guò)研究�����,影響金融行業(yè)的勒索軟件攻擊和數(shù)據(jù)泄露的趨勢(shì)表明��,LockBit%20勒索軟件組是最活躍的�����。與其他勒索軟件組織相比,LockBit%20的受害者數(shù)量最多���。
圖7顯示了LockBit%20勒索軟件集團(tuán)所針對(duì)的行業(yè)�����,其中制造業(yè)占%2027.2%����,金融服務(wù)約占%2013.6%。
圖8描繪了針對(duì)金融公司的勒索軟件組織的統(tǒng)計(jì)趨勢(shì)��。根據(jù)受害者數(shù)量和最近的攻擊���,LockBit位居榜首�。針對(duì)金融公司第二活躍的勒索軟件團(tuán)伙是Sodinokibi (REvil)�,有8名受害者。第三個(gè)最活躍的群體是Avaddon�����,有六名受害者��。
圖9顯示了基于針對(duì)全球金融服務(wù)的勒索軟件攻擊的熱圖�����。
針對(duì)金融機(jī)構(gòu)的累計(jì)攻擊次數(shù)達(dá)59起����,涉及20個(gè)勒索軟件組織。美國(guó)是最常受到攻擊的國(guó)家�����,其次是英國(guó)、加拿大�����、澳大利亞和法國(guó)�����。
結(jié)論:
網(wǎng)絡(luò)犯罪總體上呈上升趨勢(shì)���,而且攻擊目標(biāo)多集中在金融公司�。攻擊者使用各種社會(huì)工程工具來(lái)傳播惡意軟件��,并使用多種技術(shù)來(lái)逃避檢測(cè)機(jī)制�,因此僅靠傳統(tǒng)安全防護(hù)手段不足以對(duì)抗逐漸“狡猾”的網(wǎng)絡(luò)犯罪分子。
金融機(jī)構(gòu)應(yīng)從源頭加強(qiáng)軟件安全����,尤其在軟件開(kāi)發(fā)過(guò)程中重視代碼質(zhì)量安全尤為重要�。數(shù)據(jù)顯示,超過(guò)六成的安全漏洞與代碼有關(guān)����,而安全漏洞為網(wǎng)絡(luò)攻擊提供廣泛攻擊面��,因此通過(guò)靜態(tài)代碼檢測(cè)以降低安全漏洞及缺陷可以有效提高軟件安全性���,筑牢網(wǎng)絡(luò)防御根基,同時(shí)企業(yè)應(yīng)提高網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全管控機(jī)制����,做好應(yīng)對(duì)網(wǎng)絡(luò)攻擊的積極響應(yīng)。
參讀鏈接:
blog.cyble.com/2021/08/20/…
