石材石料网站搭建教程,网络科技公司网站源码,在线平面设计招聘,佛山网站开发公司电话门口的敌人#xff1a;分析对金融服务的攻击 Akamai会定期针对不同行业发布互联网状态报告#xff08;SOTI#xff09;#xff0c;介绍相关领域最新的安全趋势和见解。最新的第8卷第3期报告主要以金融服务业为主#xff0c;分析了该行业所面临的威胁和Akamai的见解。我们发… 门口的敌人分析对金融服务的攻击 Akamai会定期针对不同行业发布互联网状态报告SOTI介绍相关领域最新的安全趋势和见解。最新的第8卷第3期报告主要以金融服务业为主分析了该行业所面临的威胁和Akamai的见解。我们发现针对金融服务业的攻击数量正在快速激增而且攻击者会以更快的速度利用新发现的零日漏洞。
我们将通过总共三篇的系列文章详细介绍这些内容。本系列的第一篇点击这里回看介绍金融服务行业在信息安全威胁方面所面临的整体态势第二篇点击这里回看重点介绍了软件漏洞和DDoS攻击对金融服务业造成的影响。本篇作为该系列的最后一篇将着重介绍以金融服务业为目标的网络钓鱼攻击和有针对性的恶意软件等威胁。
“准星”下的金融服务客户
从早期的银行木马到网络诈骗全盛时期的现代网络钓鱼攻击多年来银行客户始终是网络犯罪行为最主要的受害者之一。从身份失窃到财务损失这些网络犯罪行为对每个人的影响各不相同。网络犯罪分子可能冒充用户开通信用卡或申请贷款更糟糕的是可能会冒充其他用户的身份进行犯罪在暗网上出售用户身份等。由于这类网络犯罪会对个人产生破坏性影响金融机构必须妥善保护自己客户的信息安全。
为了解金融客户遭受攻击的风险和危害我们通过Akamai系统中的Client Reputation客户声誉机制仔细分析了个别攻击者图18。这让我们可以深入了解犯罪分子的攻击方法和动机从而确定攻击者在以金融服务机构为攻击目标时的侧重点到底是什么。 图18针对整个金融服务垂直行业所发起攻击的Client Reputation分布情况
最主要的五个攻击类别
账户接管Account Takeover——网络犯罪分子利用窃取的用户名和密码取得在线账户的所有权从而发起的攻击。网络爬虫Web scraper——一种自动化工具可系统性地收集各类信息如网站格式和网页内容通常可用于复制网站借此开展网络钓鱼攻击和诈骗。扫描工具Scanning tool——在网络攻击的侦查阶段用于扫描Web应用程序漏洞的工具。拒绝服务攻击器Denial-of-Service attacker——使用自动化工具发起大量DDoS攻击的Web客户端/爬虫。Web攻击器Web attacker——用于执行常规Web攻击如SQLi、远程文件包含、XSS的Web客户端或攻击程序。
图18展示了一个有趣的视角尽管我们检测到很多与DDoS、漏洞利用以及Web应用程序攻击有关的尝试但超过80%的攻击者其攻击目标都是金融服务业的客户而非这些业内机构本身。账户接管攻击直接以客户为目标网络爬虫则主要被用于创建钓鱼网站以及模拟这类网站的攻击工具包。
金融服务机构通常拥有强大的安全措施和极高的网络安全意识足以挫败以机构本身为目标的很多攻击。因此网络犯罪分子会寻找阻力最小的攻击路径往往会以更容易得手的客户为目标。虽然这不一定是金融服务机构的错但针对客户的骗局也会伤害到这些机构的业务从而损害机构的声誉和品牌导致客户信任受损甚至遭遇经济损失。
1.账户接管
有一个数据可以进一步证明我们的观点大部分以金融机构为目标的攻击都与账户接管有关42%。对于金融服务业账户接管所造成的危害远远超出了对个人所产生的影响。当客户因账户接管而产生了未经授权的交易时银行也将产生损失。据报道账户接管所产生的欺诈行为估计年成本高达114亿美元。虽然银行的客户服务部门可以协助受害者解决问题这些问题未必就是金融机构的责任但这依然会让银行付出额外的资源和时间。
爬虫活动增加了81%而在账户接管过程中爬虫无疑也起到了重要作用。网络犯罪分子会在爬虫的帮助下通过不同用户名和密码的组合自动发起撞库攻击而这些用户名和密码往往都是从其他外泄的数据中窃取而来的。因此我们也毫不意外地看到针对金融服务业的爬虫网络活动正在快速攀升并在2022年5月到8月之间出现了非常明显的激增图19。 图19针对金融服务业的爬虫数量激增这一趋势与账户接管和网络爬虫攻击数量的增加密切相关
此外爬虫的显著增加也与已知的Web自动化工具库不无关系这也意味着爬虫的运营者正在利用常见的工具包来获取数据并发起账户接管操作。
成功接管了账户的攻击者将能榨干账户的所有剩余价值并在黑市出售用户信息。截止2021年网络银行登录凭据在暗网中的平均售价为40美元。账户接管会造成大量风险。如果用户习惯于重复使用相同密码那么还可能导致自己的其他账户被进一步泄漏更糟糕的是攻击者可能冒充被泄漏的账户将黑手伸向受害者的其他联系人。
2.网络爬虫
在我们的Client Reputation IP中我们还观察到大量网络爬虫活动。这些工具通常被用于提取存储在网站中的数据从而创建逼真的网络钓鱼工具包通过模仿金融机构的网站来欺骗客户。与账户接管类似爬虫程序也在这其中起到了重要作用。
3.追踪战术、技术和程序
研究攻击者的动机很重要借此可以更好地了解他们可能会用怎样的战术、技术和程序TTP威胁客户或金融机构。随着时间的推移追踪这些指标可以为企业提供有关客户风险暴露的威胁情报从而帮助企业评估需要采取哪些措施如Akamai MFA、Akamai Account Protector以及Akamai Bot Manager来降低这些风险。
希望我们对这些攻击方法和动机的分类可以帮助大家在自己的企业内部顺利进行演练并有效分析相关趋势。
尽管我们检测到很多与DDoS、漏洞利用以及Web应用程序攻击有关的尝试但超过80%的攻击者其攻击目标都是金融服务业的客户而非这些业内机构本身。
网络钓鱼趋势金融服务客户正在遭受攻击
金融服务业是网络钓鱼诈骗最主要的目标之一。大部分钓鱼攻击都以经济利益为动机全球范围内平均每分钟造成的损失高达1.77万美元。金融服务业备受此类攻击青睐最主要的原因之一在于以该行业及其客户为目标的攻击可以带来高额的回报。例如在黑市中每张信用卡的相关信息售价介于17-120美元之间只需产生少量受害者即可从中谋取到巨额利润。
由于黑市中还有着数量众多价格低廉的攻击工具包网络犯罪分子可以借此很轻松地针对目标发起攻击。虽然这类攻击主要以金融机构的客户而非机构自身为目标但所造成的损失已经远远超出了个人范围。冒充金融机构的网络犯罪分子会损害银行的品牌和声誉并在该过程中损害客户信任导致银行业务受损。为了解决和应对此类钓鱼攻击银行同样需要付出不菲的成本。
我们研究了2022年第1和第2季度被网络钓鱼诈骗活动冒充和滥用的品牌并根据受害者人数对这些骗局进行了分类。借此准确追踪网络钓鱼活动并分析其中的趋势和蕴含的模式。 图202022年第2季度的钓鱼攻击受害者
如图20所示一直以来金融服务机构和高科技公司都是最易受到此类攻击的行业并且这两个季度相关比例还有所上升从1季度的32%金融服务和31%高科技分别增长至2季度的47%金融服务和36%高科技。尽管这些发现并不值得惊讶但针对金融服务业的网络钓鱼攻击如此快速地上升这依然仍人感觉担忧。 图21钓鱼攻击更多地会以消费者而非企业为目标 大部分80.7%网络钓鱼活动的目标是消费者而非企业图21。我们认为原因主要在于地下黑市对消费者账户有着巨大的需求因为这些账户还可被用于发起与欺诈有关的第二阶段攻击。
Akamai研究发现由于基于令牌的2FA解决方案还远远不够完善企业还需要采取更强大的多重身份验证保护措施。
然而即便只有19.3%的攻击活动直接以企业为目标相关隐患同样不容忽视因为这类攻击通常更有针对性更有可能造成重大损失。针对企业的攻击可能导致企业网络被恶意软件或勒索软件攻陷甚至导致机密信息外泄。也许最开始只是一名员工无意中点击了钓鱼邮件中一个链接这最终也可能导致企业遭受重大的财务和声誉损失。
针对Colonial Pipeline的攻击就是一个不容忽视的例子。针对这家企业的攻击最开始就是通过一个外泄的VPN账户发起的。虽然无法明确确定原因但据分析很可能是因为这个被攻陷的账户使用了和暗网中出售的其他账户相同的密码。
可绕过双重身份验证的钓鱼攻击
Akamai安全研究人员还分析了2022年2季度最常用的工具包并统计了分发每个工具包的域名数量。我们发现Kr3pto是最常用的工具包与之相关的域名超过了500个图22。 图22Kr3pto是2022年2季度最常用的钓鱼工具包它甚至可以绕过双重身份验证
Kr3pto背后的开发者主要开发并销售以金融机构和其他品牌为目标的特殊工具包。某些情况下这些工具包会以英国的金融机构为目标甚至可以绕过双重身份验证。此外还有证据显示虽然该钓鱼工具包早在三年多之前就诞生了但至今依然非常有效并且至今依然被广泛使用。
虽然类似Kr3pto这样的钓鱼活动并不新鲜但与这类攻击有关的细节可以帮助我们理解网络钓鱼的趋势分析相关活动的规模和复杂性。一旦被攻破目标凭据可能会导致后续的欺诈活动或导致未经授权人员访问企业的内部网络因为这类攻击甚至可以使用一次性密码令牌或推送通知来绕过双重身份验证解决方案。
Akamai研究发现由于基于令牌的2FA解决方案还远远不够完善企业还需要采取更强大的多重身份验证保护措施。例如FIDO2就是一种能提供更高安全性的新标准这是一种无密码技术可要求用户在本地例如使用生物识别技术进行身份验证随后即可访问网站或进行在线交易。由于这种方式不再需要用户名和密码因此也不会产生可能被窃取并用于钓鱼攻击。
恶意软件之路
上文已经详细介绍了攻击者用来破坏金融服务的各类战术和方法。接下来我们一起看看当攻击者通过新的或旧的漏洞、Web应用程序和API攻击甚至钓鱼骗局成功渗透进入金融服务机构的内部网络之后可能发生的事情。一旦攻击者渗透到组织网络内部即可执行大量恶意活动例如通过各类恶意软件包括勒索软件破坏安全措施。
金融服务是对安全性要求最高的行业之一然而该行业正在遭遇越来越频繁的攻击因此必须对各类问题保持警惕。因此我们更是有必要深入研究勒索软件的现代TTP毕竟网络犯罪分子就是借此入侵企业的从而围绕RaaS、钓鱼攻击、漏洞扫描甚至DDoS等攻击方式找出最适合的应对措施。
从初始访问到凭据收割
为实现网络渗透和传播的目标勒索软件团伙会采用各种工具其中大部分都是业内众所周知甚至大量使用的工具。实际上一般来说只有加密器以及有时所使用的特洛伊木马程序是不同勒索软件团伙所独有的。但横向移动、传播和渗透等TTP对攻防双方来说应该都不陌生无非就是Cobalt Strike、Mimikatz、PsExec等。
对于大部分勒索软件来说网络钓鱼似乎是最常见的入侵载体借此诱骗用户打开用于发起攻击的文件或工具。其他常见方式包括通过“猜测”正确的凭据来入侵VPN或远程桌面协议RDP服务器等。Conti的泄密事件则让我们借机深入了解了其他一些不太常见的感染方式所用爬虫的设计思路图23。
初始立足点鱼叉式钓鱼攻击或应用程序漏洞横向移动在网络中传播以实现最大化覆盖面提取查找并窃取有价值的数据加密通过PKI加密方式被破解发出勒索更换桌面墙纸或留下勒索信息文本文件盈利
图23勒索软件的攻击链
勒索软件通常还会使用MITRE所涵盖的常见横向移动技术如WMI、远程计划任务、RDP、WinRM、PsExec以及EternalBlue和BlueKeep等零日漏洞在网络中移动。为了维持在网络中的立足点Conti团伙使用了计划任务的方式。他们外泄的手册中还列出了其他持久隐藏的方式如注册表的Run键、Office应用程序启动、Windows服务等。一旦网络犯罪分子获得了较高级别的特权他们随后会窃取账户名称和密码。这种凭据收割过程通常是通过本地安全机构子系统服务LSASS或安全账户管理器SAM数据库实现的。这方面最常用的工具是Mimikatz当然同类的凭据转储工具还有很多。如果通过网络获取凭据则很多时候还会用到各种零日漏洞。
了解攻击面有助于针对关键风险获得见解从而设计出更安全的控制和缓解措施。
本节通过几个简单的例子展示了我们所发现的一些不容忽视的趋势。勒索软件可能是客户和企业会遇到的最具破坏性的攻击方式之一甚至会影响到客户对企业的信任。虽然勒索软件在金融业的流行程度远不如其他垂直行业但依然是一种需要密切跟踪和缓解的威胁载体。为了进一步了解有关这些TTP的详细信息欢迎阅读2022年上半年Akamai勒索软件威胁报告。
总结不断扩大的威胁面
金融服务业是对安全性要求最高的行业之一由于该行业特殊的性质和所拥有的机密数据数量这也是网络犯罪分子最有利可图的目标之一。我们在研究中发现当发现新漏洞后金融服务业将是最先受到攻击并且会受到最多攻击的行业。同时该行业也是DDoS攻击和网络钓鱼活动最青睐的行业并且客户往往也会成为这些攻击的目标。
攻击者会想方设法渗透内部网络或影响你的客户。了解攻击面有助于针对关键风险获得见解从而设计出更安全的控制和缓解措施。API和Web应用程序攻击的转变和激增有助于帮助企业和防御团队更好地理解攻击者的侧重点并针对需要保护的领域划分优先级。此外当新漏洞出现后如果明白自己只有很短的时间来做出反应这也有助于相关企业更好地采取主动措施如补丁管理加强防御能力。
我们的研究还重点关注了企业在了解了可能遇到的攻击类型后该如何采取措施保护客户安全。此外建议相关企业采取“后发制人”的心态因为类似勒索软件这样的威胁往往会利用各种漏洞并借助不同的工具和方法渗透到企业网络内部。企业必须慎重考虑自己是否具备适当的工具和流程来缓解勒索软件和其他威胁所造成的风险。最后类似网络攻击链、NIST的800-207 Zero Trust Architecture以及最新的FIDO2标准这些最佳实践和流程也都是金融服务业的重要参考资源。 Akamai将继续关注金融服务业和其他行业的安全态势并通过全面的分析和适合的解决方案帮助企业有效缓解威胁增强自己和客户的数据安全性。欢迎关注Akamai知乎机构号第一时间了解最新进展。
