兵临城下： 针对金融服务领域的攻击分析

金融服务业是遭受网络犯罪打击较为严重的行业之一。从 Zeus 和其他银行木马的猖獗时期，到分布式拒绝服务 (DDoS) 攻击、现代网络钓鱼攻击和勒索软件，攻击从未停歇。金融服务业是一个至关重要的行业，不仅与人们的日常生活息息相关，而且在全球经济中 扮演着重要角色。 

金融服务的任何中断或停摆都将带来严重影响，而且这些机构的敏感数据会被当作商品高价出售。因此，攻击者将金融服务机构视为有利可图的目标，所发起的攻击也是多种多样，从最新发现的 零日 漏洞攻击，到具有实效的网络钓鱼攻击不一而足。 

网络攻击数量急剧增长

攻击者高度专注并有动机攻击金融服务业已是公开的事实。一般情况下，有关金融服务业的“互联网现状”(SOTI) 报告会选择网络钓鱼和欺诈等主题，但这次不同，我们采用了一种更广泛的方式，探讨了影响这一经常遭受攻击的行业的诸多问题。

借助此更广阔的视角，我们看到金融服务业所遭受的网络攻击呈现激增态势，而且攻击者利用新发现的零日漏洞的速度惊人。

金融服务业的客户也未能幸免，相当一部分攻击者放弃攻击 这一全球最安全的行业，转而集体攻击金融服务业的客户。

SOTI 报告要点 

在这兵临城下之际，了解威胁态势如何变化对于金融服务业的安全专业人员而言至关重要。我们的报告包含以下几个要点：

• 在各垂直行业中，金融服务业始终是 Web 应用程序和 API 攻击、零日漏洞攻击和 DDoS 攻击的三大主要目标之一。

• 针对金融服务业的 Web 应用程序和 API 攻击以 3.5 倍的速率逐年激增，在主要行业中增幅高居首位。

• 24 小时内，利用新发现的零日漏洞针对金融服务业发起的攻击可能高达每小时数千次并且迅速达到高峰，让人几乎没有时间去修补并做出反应。

• 本地文件包含 (LFI) 和跨站点脚本 (XSS) 攻击大幅增加，表明攻击者正转向远程代码执行尝试，对内部网络安全带来更大压力。

• 针对金融服务业客户的攻击十分猖獗，80% 以上的金融服务领域攻击目标为客户帐户而不是机构本身，攻击者会通过直接盗取帐户或通过网络钓鱼相关活动发起攻击。

• 网络钓鱼活动（例如 Kr3pto）所采用的技术可绕过使用一次性密码令牌或推送通知的 2FA 解决方案。

了解不断扩大的威胁面

过去 12 个月内 Web 应用程序和 API 攻击增加了 257%。这些攻击的激增可能与某些攻击媒介（例如 LFI 和 XSS）有关。这与您息息相关，因为攻击者可能使用这些攻击媒介在您的网络中获得立足点，或者作为有效侦察手段。

此外，这还提醒人们务必重视保护 Web 应用，因为其中的漏洞可能被用作入侵目标机构的入口点。对于希望更有效地对其网络进行渗透测试的团队而言，这也可能是一个重要的发现。

应对零日漏洞

根据我们的研究，在发现新出现的漏洞（零日漏洞）时，金融服务业成为率先遭受攻击且攻击最为严重的行业之一。根据 Confluence 漏洞 (CVE-2022-26134) 的案例，对新出现的漏洞的利用可能在披露后 24 小时内开始，并迅速达到高峰。因此，您需要抢在攻击者开始利用这些安全漏洞发起攻击之前解决这些漏洞。

此外，我们的研究还发现，DDoS 依然是金融服务业（全球遭受 DDoS 攻击第二多的行业）为之头疼的攻击。得手的 DDoS 攻击会让企业成为孤岛，切断该企业与互联网其他部分的连接。对机构而言，客户无法访问帐户、停机、业务中断以及从此类攻击中恢复，都可能意味着经济损失。

今年，针对金融服务业的 DDoS 攻击量保持稳定，但我们观察到了“区域转移”，即针对美国的 DDoS 攻击量已在减少。与此同时，尽管针对欧洲、中东和非洲地区的攻击目标总数较少，但攻击量已在增加。

金融服务业客户成为攻击目标

对攻击者的研究显示，80% 以上的攻击者都将其攻击直接或间接瞄准金融服务业客户，而非机构本身。其原因既可能是 帐户接管 (ATO)，也可能是网络内容抓取攻击。 

帐户接管攻击直接以客户为目标，而网站内容抓取攻击主要用于制造网络钓鱼骗局，以及构建精细仿冒网站的工具包。我们还发现，ATO 和网络内容抓取相关攻击导致僵尸网络活动数量增加 81%，这也进一步证明了以上论点。

了解以下三个方面可有助于金融服务机构保护其数据、网络和客户：金融服务业是如何成为攻击目标的、金融服务业客户是如何遭受攻击的，以及攻击包含哪些类型。我们建议您利用这些信息对各方面进行审核，进而重新评估方案中的风险，或为您的威胁情报与演习团队提供信息。