CNET科技資訊網(wǎng) 7月21日 北京消息：從利用金融木馬對網(wǎng)上銀行進(jìn)行攻擊，到面向ATM機(jī)與銀行內(nèi)部的欺詐性交易，攻擊者正在利用不同的攻擊手段，時(shí)時(shí)威脅著企業(yè)與消費(fèi)者。與勒索軟件相比，金融威脅似乎并未引起業(yè)界大面積討論，然而卻仍舊是網(wǎng)絡(luò)攻擊者獲取利潤的主要方式之一。賽門鐵克公司昨天發(fā)布《金融威脅白皮書2017》，揭示金融行業(yè)中，企業(yè)機(jī)構(gòu)及消費(fèi)者所面臨的愈加嚴(yán)峻的安全威脅。

1、數(shù)字足以表明愈演愈烈的金融威脅形勢：白皮書顯示，在2016年監(jiān)測出的金融威脅數(shù)量高達(dá)120萬，是勒索軟件總和的2.5倍，僅僅Ramnit木馬(W32.Ramnit)的數(shù)量幾乎是所有勒索軟件數(shù)量的總和。

2、2016年，網(wǎng)絡(luò)攻擊事件層出不窮。賽門鐵克發(fā)現(xiàn)，針對大型金融機(jī)構(gòu)與企業(yè)的攻擊數(shù)量出現(xiàn)急速增長。

在2016年，38%的金融威脅主要針對大型企業(yè)，Ramnit，Bebloh以及Zeus三大金融威脅家族，主導(dǎo)了全球86%的金融木馬攻擊事件，日本、中國以及印度成為遭遇金融木馬攻擊的主要國家；不僅如此，APT組織正在將金融惡意程序用于更多的一般性攻擊。

3、移動(dòng)終端成為金融威脅的下一個(gè)試驗(yàn)田。隨著智能手機(jī)等移動(dòng)設(shè)備逐漸成為人們生活中不可或缺的工具，越來越多的交易認(rèn)證需要通過移動(dòng)客戶端及短信完成，賽門鐵克發(fā)現(xiàn)，針對移動(dòng)端的攻擊呈現(xiàn)出增長趨勢，為了竊取用戶的身份憑證，至少170個(gè)應(yīng)用程序成為手機(jī)銀行惡意軟件的攻擊目標(biāo)。

趨勢：針對性攻擊

盡管大多數(shù)網(wǎng)絡(luò)攻擊一般而言趨于針對任意目標(biāo)，通常以發(fā)起大規(guī)模攻擊為主，但在2016年，部分復(fù)雜性攻擊已將目標(biāo)從消費(fèi)者轉(zhuǎn)向金融機(jī)構(gòu)。賽門鐵克發(fā)現(xiàn)，2016年針對企業(yè)與金融機(jī)構(gòu)的攻擊數(shù)量出現(xiàn)明顯的上升，其中，針對環(huán)球銀行金融電信協(xié)會（SWIFT）會員的多起超大金額網(wǎng)絡(luò)搶劫案件引發(fā)了全球的關(guān)注。

孟加拉銀行搶劫案成為去年金融攻擊中最典型的事件之一。該攻擊利用 “BandWift” 入侵了擁有SWIFT網(wǎng)絡(luò)訪問權(quán)限的計(jì)算機(jī)，共造成8100萬美元的損失。賽門鐵克調(diào)研表示，此次攻擊也是首次擁有明顯跡象表明民族國家參與金融網(wǎng)絡(luò)犯罪的案例，例如Lazarus攻擊組織。

去年另一場針對全球金融機(jī)構(gòu)的網(wǎng)絡(luò)犯罪活動(dòng)中，名為“Trojan.Odinaff”的惡意程序遭到曝光。利用“Odinaff”程序的攻擊十分復(fù)雜并且需要大量手動(dòng)操作，這需要攻擊者能夠熟練地將一系列輕量級后門與專用工具部署于目標(biāo)計(jì)算機(jī)中。由此可以證明，該系列攻擊背后的網(wǎng)絡(luò)攻擊組織擁有專業(yè)的技術(shù)背景。在“Odinaff”攻擊中，攻擊者再次利用了銀行的安全漏洞入侵內(nèi)部網(wǎng)絡(luò)，并感染能夠訪問SWIFT網(wǎng)絡(luò)的計(jì)算機(jī)與應(yīng)用，但SWIFT網(wǎng)絡(luò)自身并未受到攻擊與入侵。

以上攻擊案例均對國際金融系統(tǒng)的內(nèi)部工作流程進(jìn)行入侵，此類復(fù)雜性攻擊往往需要更長時(shí)間去計(jì)劃及實(shí)施，成功率也相對較低，但一旦成功，網(wǎng)絡(luò)攻擊者便能夠獲得極高的利潤。也正因如此，金融搶劫對于攻擊組織而言具有強(qiáng)烈的吸引力。值得一提的是，復(fù)雜性攻擊中所使用的技術(shù)，曾主要用于高級針對性攻擊。

實(shí)施攻擊所需的資源、知識和耐心，以及純粹為了博取名聲的原因都表明了，網(wǎng)絡(luò)犯罪已經(jīng)進(jìn)入了一個(gè)新的時(shí)代。

主要手段：社交工程

在針對金融行業(yè)的攻擊中，沙箱躲避、無文件攻擊以及源代碼合并是網(wǎng)絡(luò)攻擊者所使用的主要攻擊策略。2016年，20%的惡意軟件能夠檢測并分辨虛擬機(jī)環(huán)境。與此同時(shí)，無文件（Fileless）的攻擊方式也越發(fā)得到攻擊者的青睞。

重新定向，Webinjects以及遠(yuǎn)程訪問則成為2016年的主要攻擊手段。值得提出的是，由于越來越多的安全工具能夠檢測并阻止Webinjects，賽門鐵克去年觀察到，使用重定向攻擊代替本地入侵（inject）成為金融攻擊的主要趨勢之一。攻擊者會利用惡意軟件將網(wǎng)頁重新定向至遠(yuǎn)程站點(diǎn)，并在遠(yuǎn)程服務(wù)器中進(jìn)行流量替換及詐騙。賽門鐵克甚至發(fā)現(xiàn)傳統(tǒng)DNS重定向攻擊也開始死灰復(fù)燃。

當(dāng)下，社交工程在大多數(shù)網(wǎng)絡(luò)攻擊中發(fā)揮了重要作用，這也包括針對金融行業(yè)的攻擊。無論是在入侵階段，還在是后期的多方認(rèn)證階段，攻擊者甚至無需任何惡意程序，只需要利用社交工程手段便可實(shí)現(xiàn)攻擊。其中，商務(wù)電郵詐騙（BEC）便是去年利用社交工程的主要詐騙手段。攻擊者通過向企業(yè)的財(cái)務(wù)部門發(fā)送電子郵件，以說服其進(jìn)行轉(zhuǎn)賬付款。此外，賽門鐵克還觀察到，一些網(wǎng)絡(luò)釣魚郵件使用了個(gè)性化名稱，和其他從數(shù)據(jù)泄露中獲得信息，使其更加具有欺騙性，增加攻擊成功幾率。

針對ATM取款機(jī)、POS終端的攻擊并未消失，移動(dòng)終端成為下一個(gè)重要目標(biāo)

在2016年，針對ATM取款機(jī)和POS終端的攻擊數(shù)量持續(xù)增加。盡管ATM惡意軟件在10年前便已出現(xiàn)，但即便是現(xiàn)在，它們?nèi)耘f是十分有效的手段。面向ATM機(jī)的攻擊涉及不同層次的復(fù)雜程度，但值得一提的是，如今攻擊者甚至無需物理訪問，同樣能夠?qū)TM取款機(jī)與POS終端發(fā)起攻擊。

2016年11月，F(xiàn)BI發(fā)出警告，Buhtrap攻擊組織能夠在不對ATM機(jī)進(jìn)行物理篡改的情況下，成功入侵金融機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)，并向ATM取款機(jī)發(fā)布執(zhí)行命令，隨后成功獲取大量現(xiàn)金。臺灣警方預(yù)計(jì)，該攻擊造成超過3億美元的損失。此外，攻擊者同樣使用釣魚郵件以及其他惡意軟件對受感染的計(jì)算機(jī)進(jìn)行遠(yuǎn)程控制，隨后實(shí)施攻擊。2016年8月，一家POS終端軟件供應(yīng)商的網(wǎng)頁遭遇攻擊者入侵。報(bào)道稱，攻擊者利用盜取的信息，能夠?qū)Χ嗉伊闶凵趟褂玫腜OS終端進(jìn)行遠(yuǎn)程訪問。

過去幾年中，針對移動(dòng)端的金融威脅變得愈發(fā)普遍。在2016年，賽門鐵克共監(jiān)測到720萬個(gè)移動(dòng)端惡意軟件，較前一年增長29%。其中超過半數(shù)的移動(dòng)惡意軟件與Android. MalDownloader等惡意下載器相關(guān)。這也使得金融威脅成為除惡意發(fā)送收費(fèi)短信應(yīng)用程序與勒索軟件外，第三大最常見的移動(dòng)端威脅類別。

移動(dòng)端的惡意軟件感染方式分為多種。最常見的是利用社交工程，通過向用戶發(fā)送帶有惡意鏈接的郵件，誤導(dǎo)潛在受害者下載偽裝成合法應(yīng)用的威脅程序。此外，攻擊者正在將合法工具木馬化。攻擊者的另一常用伎倆是通過反復(fù)彈出 “設(shè)備管理激活” 對話框，直至用戶授予應(yīng)用管理員權(quán)限，將惡意軟件安裝于設(shè)備中。

值得消費(fèi)者注意的是，惡意應(yīng)用程序如今不僅存在于第三方應(yīng)用商店，即便在Google PlayStore的官方應(yīng)用中心，賽門鐵克也同樣發(fā)現(xiàn)受感染的應(yīng)用程序。

賽門鐵克護(hù)航

賽門鐵克建議，采用多層安全防御能夠最大程度降低受到攻擊的可能性，企業(yè)和金融機(jī)構(gòu)可以從三個(gè)方面抵御金融威脅攻擊：

1、抵御：在攻擊發(fā)生前，攔截可能的安全威脅入侵、感染或破壞。

2、控制：攻擊發(fā)生過程中，限制感染的傳播范圍。

3、響應(yīng) - 遭遇攻擊后，通過事件響應(yīng)流程對攻擊進(jìn)行分析，以提高企業(yè)的防護(hù)能力。

目前，抵御攻擊的最有效方式便是在受到攻擊之前進(jìn)行充分的安全防護(hù)。電子郵件和受到感染的網(wǎng)頁是感染惡意程序的主要途徑，因此，企業(yè)需要采取強(qiáng)大的安全保護(hù)措施降低感染風(fēng)險(xiǎn)。

消費(fèi)者可采取以下措施，降低遭遇網(wǎng)絡(luò)金融攻擊的風(fēng)險(xiǎn)：

1、在進(jìn)行網(wǎng)上銀行交易時(shí)，時(shí)刻保持警惕，尤其是發(fā)現(xiàn)銀行網(wǎng)站的行為與界面發(fā)生變化的時(shí)候 ；

2、在使用金融機(jī)構(gòu)所提供的服務(wù)時(shí)，如果發(fā)現(xiàn)異常情況，應(yīng)盡快告知該金融機(jī)構(gòu)；

3、在收到未知或可疑郵件時(shí)，時(shí)刻保持警惕；

4、及時(shí)更新系統(tǒng)，確保安全軟件處于最新版本；

5、采用高級賬戶安全功能，盡可能使用雙重認(rèn)證或開啟登錄告知功能；

6、對所有賬戶使用高強(qiáng)度密碼；

7、在完成使用后，及時(shí)登出賬戶；

8、定期查看銀行賬單；

9、對任何試圖要求用戶啟用宏的微軟Office附件保持警惕；

賽門鐵克與諾頓產(chǎn)品能夠通過高級機(jī)器學(xué)習(xí)、文件信譽(yù)評級、行為監(jiān)測等方式幫助企業(yè)與消費(fèi)者抵御金融木馬的攻擊。此外，賽門鐵克能夠?qū)σ韵绿囟抉R進(jìn)行主動(dòng)通用監(jiān)測：

• ·Trojan.Bebloh
• ·Trojan.Snifula
• ·Trojan.Zbot
• ·W32.Ramnit
• ·W32.Cridex
• ·Infostealer.Boyapki.E

附《互聯(lián)網(wǎng)安全威脅報(bào)告》特別報(bào)告——《金融威脅2017》