2017年无疑是金融机构所面临的网络威胁世界发生重大变化的一年,恶意攻击者队伍不断壮大及其攻击方式的多样性,给2018年的金融行业带来哪些考验与启示?
一、回顾2017年那些“大事件”
2017年度,全球十余个国家的多家银行机构使用的SWIFT(银行结算系统)陆续遭到网络攻击,此类系统正是全球金融生态系统的基础。攻击者能够利用金融机构内部的恶意软件操纵处理跨境交易的应用程序,之后可在全球任意金融机构处提取资金。
其次,2017年网络犯罪分子一直试图渗透金融机构,且恶意活动显著扩张。不同的网络犯罪组织正大量入侵银行基础设施、电子货币系统、加密货币交易所、资本管理基金甚至是赌场,并希望借此获取数额可观的资金。
1. 攻击者越来越青睐ATM
为了实施上述网络犯罪活动,攻击者们倾向于采用成熟的货币化网络入侵手段。除了攻击SWIFT(银行结算系统)之外,网络犯罪分子们还一直在积极利用ATM感染(包括金融机构内部网络中的ATM设备),远程银行系统、PoS终端网络以及变更银行数据库内余额数据等方法。
2. 劫持银行域名干扰银行客户操作
网络犯罪分子逐渐热衷于使用劫持银行域名的方式对银行客户的电子业务进行拦截。通过这种方式,客户无法访问银行的系统,而是被重新定向至入侵者创建的虚假系统。犯罪分子能够在数小时内陆续完成钓鱼攻击,安装恶意代码、并干扰在线网银客户等操作。
在某些国家,银行机构对于物理安全的重视程度持续走低,这也是导致金融资产易遭受各类攻击的原因之一。具体来讲,由于攻击者能够轻松访问相关设备的电缆线路,并接入小型Raspberry Pi设备,数个月之后这些小装置将能够收集到大量与银行网络相关的信息,并通过LTE连接将截获的数据发送至入侵者的服务器端。
二、2018年预测
1. 通过金融系统的底层区块链技术实施攻击
全球范围内几乎所有大型金融机构都在积极投资构建基于区块链技术的系统。任何新兴技术都拥有显著的优点,但也会带来某些新的风险。基于区块链技术的金融系统并非完美,事实上区块链体系中的漏洞与错误很可能给攻击者带来可乘之机,甚至破坏金融机构的工作成果。举例来说,2016年到2017年之间,智能合约中就被发现存在一系列漏洞与错误,并影响到以此为基础建立的部分金融服务。
2. 金融领域将出现更多供应链攻击
大型金融机构在网络安全方面投入了大量资源,因此对基础设施进行渗透绝非易事。然而,未来一年内,网络犯罪分子可能会积极利用威胁向量对“为金融机构提供软件”的厂商发动攻击。与金融机构本身相比,这些软件供应商的自我保护能力大多相对较低。去年,此类攻击就让NetSarang、CCleaner以及MeDoc等成为受害者,攻击者对各类软件的更新补丁进行了替换或篡改。
在接下来的一年中,网络犯罪分子还将针对金融机构专用软件(ATM与PoS终端软件)发动更多攻击。几个月前,首例此类攻击尝试被发现——攻击者将一个恶意模块嵌入至固件安装文件,并将其放置在美国某ATM软件供应商的官方网站上。
3. 入侵并篡改大众传媒,获取经济回报
2017年被称为“假新闻”年。攻击者入侵并篡改Twitter帐户、Facebook页面、Telegram等大众传媒操纵舆论,甚至靠说谎赚钱,通过股票/加密货币交易获取经济回报。
尽管证券交易大部分由负责操纵源数据的机器人进行,且此类数据仅被单纯用于执行某些交易操作,但它有能力引发货物、金融工具以及加密货币在价格层面的巨大变化。事实上,名人发布的一条推文或者是社交网络上由大量假帐号放出的一波消息都有可能左右市场行情。相信入侵者们肯定会采取这样的方法。如此一来,安全专家几乎不可能从参与攻击的帐户中找到谁才是实际受益者。
4. ATM恶意软件自动化
首例面向ATM设备的恶意软件始于2009年,那之后,此类设备一直受到网络诈骗分子的高度关注,而相关攻击手段也一直不断演变。这类行为在2017年变得极为受欢迎,甚至出现了首个针对ATM的MaaS(恶意软件即服务):
网络犯罪分子在地下论坛可提供一切必要的恶意程序与视频教程; 而购买者只需要选择目标ATM设备,按照说明进行操作,向网络犯罪分子付费以激活ATM上的恶意程序,而后即可开始取款。此类服务的出现大大增加了网络犯罪分子的数量,甚至使得非技术专业人士也能够实施网络犯罪。
ATM MaaS的出现意味着这类攻击将逐步实现全面自动化——微型计算机将自动接入自动取款机,进而实施恶意软件安装及吐钞操作——或者收集卡内数据。这将大大缩短入侵者实施犯罪所需要的时间。
5. 更多攻击指向加密货币交易平台
过去一年中,加密货币吸引到大量投资者,这又反过来推动各类虚拟币与代币交易呈现出蓬勃发展的态势。不过拥有强大网络安全保障能力的传统金融机构,却并未急于杀入这一领域。
这种状况为攻击者们破坏加密货币交易流程带来了理想的机会。一方面,新兴企业很难正确测试其安全系统。另一方面,从技术角度讲,整体加密货币交易业务建立在众所周知的原则与技术基础之上。因此,攻击者很清楚而且能够轻松获取到足以渗透至加密货币服务站点的必要工具。
6. 随着前一年大量数据泄露事故的出现,2018年传统银行卡欺诈活动将迅速增加
2017年发生了一系列数据泄露事件——包括最近刚刚发生的、导致超过1.4亿美国民众数据泄露的Equifax案,以及造成5700万客户数据曝光的Uber案——这些都表现出传统银行业在安全方面的不足,因为泄露都是基于对当前或潜在客户的数据分析。
举例来说,攻击者可以利用其中包含的受害者个人信息伪造银行客户身份,从而要求银行提供资金转移或者安全信息提示。正因为如此,2018年很可能迎来新一波传统欺诈活动高峰,而各企业多年来收集(但未加以妥善保护)的客户大数据将帮助攻击者顺利完成其欺诈活动。
7. 更多民族国家支持型攻击将降临至金融机构头上
臭名昭著的拉扎鲁斯集团,其后可能有朝鲜支持,它近年来先后对世界范围内多家银行施以攻击——包括位于南美洲、欧洲、亚洲以及大洋洲的银行机构。其主要目标在于窃取大笔资金,总金额已达数亿美元。此外,由“影子经纪人”方面发布的数据显示,经验丰富的国家支持型APT组织也在将矛头指向金融机构,以便进一步把握资金的流向。明年很可能会有更多刚刚加入网络间谍“竞赛”的国家要求其APT组织同样以金融机构攻击作为起点——既能赚钱又可获取客户信息、了解资金流向及金融机构内部程序,何乐而不为?
8. 金融科技登场与纯移动端用户
传统PC端网上银行木马的数量有所下降; 新兴移动端银行用户将成为犯罪分子的首选攻击目标。
数字银行将继续在全球范围内,特别是在新兴市场当中彻底颠覆原有金融行业。以巴西与墨西哥为例,此类银行服务正快速发展,这当然引起了网络犯罪分子的关注。网络犯罪分子将越来越多地袭击此类银行及其客户。此类金融机构的特点在于,其完全不具备分支机构以及传统的客户服务体系。银行与客户之间的所有沟通实际上都是通过移动应用进行的。这可能引发以下几种后果:
首先是Windows木马数量的减少,这意味着攻击者不再以传统网上银行作为资金窃取的首选目标。
其次,数字金融机构数量的持续增加将给网络犯罪分子带来更多可作为目标的用户群体——特别是其中并不具备移动银行业务使用经验,但却在移动设备上安装有银行应用的用户。这些人很可能成为Svpeng等社交工程类恶意软件的主要攻击对象。而且说服客户通过移动应用进行转账,要比强迫其前往实体银行执行转账操作容易得多。
三、危害与方案
在过去几年中,针对金融机构的攻击活动在数量与质量层面皆在不断提升。更具体地讲,这些攻击专门针对金融机构的基础设施及其员工,而非以其客户为目标。
尚未将网络安全纳入考量的各金融机构也将很快看到黑客攻击的后果,而这些后果将对其业务造成严重的负面影响,甚至导致业务完全停滞以及大额经济损失。
为了防止此类情况的发生,各金融机构有必要不断调整自身安全系统,从而适应新的威胁与挑战。而这一切的基础,无疑在于对最重要且关联性最强的网络攻击数据与信息作出分析——否则保护工作将无从谈起。
要做到有效防范,不但要选择正确的安全方案,还应采用专门的攻击情报报告机制,因为此类情报中包含有可立刻部署至整个保护系统中的信息。举例来说,在未来几个月中,采用YARA规则与IOC(即违规指标)将成为金融机构必须重视的一大关键性任务。
