强敌环伺：金融业信息安全威胁分析——钓鱼和恶意软件

门口的敌人：分析对金融服务的攻击

Akamai会定期针对不同行业发布互联网状态报告（SOTI），介绍相关领域最新的安全趋势和见解。最新的第8卷第3期报告主要以金融服务业为主，分析了该行业所面临的威胁和Akamai的见解。我们发现，针对金融服务业的攻击数量正在快速激增，而且攻击者会以更快的速度利用新发现的零日漏洞。

我们将通过总共三篇的系列文章详细介绍这些内容。本系列的第一篇（点击这里回看），介绍金融服务行业在信息安全威胁方面所面临的整体态势；第二篇（点击这里回看）重点介绍了软件漏洞和DDoS攻击对金融服务业造成的影响。本篇作为该系列的最后一篇，将着重介绍以金融服务业为目标的网络钓鱼攻击和有针对性的恶意软件等威胁。

“准星”下的金融服务客户

从早期的银行木马到网络诈骗全盛时期的现代网络钓鱼攻击，多年来，银行客户始终是网络犯罪行为最主要的受害者之一。从身份失窃到财务损失，这些网络犯罪行为对每个人的影响各不相同。网络犯罪分子可能冒充用户，开通信用卡或申请贷款，更糟糕的是，可能会冒充其他用户的身份进行犯罪，在暗网上出售用户身份等。由于这类网络犯罪会对个人产生破坏性影响，金融机构必须妥善保护自己客户的信息安全。

为了解金融客户遭受攻击的风险和危害，我们通过Akamai系统中的Client Reputation（客户声誉）机制仔细分析了个别攻击者（图18）。这让我们可以深入了解犯罪分子的攻击方法和动机，从而确定攻击者在以金融服务机构为攻击目标时的侧重点到底是什么。

图18：针对整个金融服务垂直行业所发起攻击的Client Reputation分布情况

最主要的五个攻击类别

• 账户接管（Account Takeover）——网络犯罪分子利用窃取的用户名和密码取得在线账户的所有权，从而发起的攻击。
• 网络爬虫（Web scraper）——一种自动化工具，可系统性地收集各类信息（如网站格式和网页内容），通常可用于复制网站，借此开展网络钓鱼攻击和诈骗。
• 扫描工具（Scanning tool）——在网络攻击的侦查阶段，用于扫描Web应用程序漏洞的工具。
• 拒绝服务攻击器（Denial-of-Service attacker）——使用自动化工具发起大量DDoS攻击的Web客户端/爬虫。
• Web攻击器（Web attacker）——用于执行常规Web攻击（如SQLi、远程文件包含、XSS）的Web客户端或攻击程序。

图18展示了一个有趣的视角：尽管我们检测到很多与DDoS、漏洞利用以及Web应用程序攻击有关的尝试，但超过80%的攻击者，其攻击目标都是金融服务业的客户，而非这些业内机构本身。账户接管攻击直接以客户为目标，网络爬虫则主要被用于创建钓鱼网站以及模拟这类网站的攻击工具包。

金融服务机构通常拥有强大的安全措施和极高的网络安全意识，足以挫败以机构本身为目标的很多攻击。因此网络犯罪分子会寻找阻力最小的攻击路径，往往会以更容易得手的客户为目标。虽然这不一定是金融服务机构的错，但针对客户的骗局也会伤害到这些机构的业务，从而损害机构的声誉和品牌，导致客户信任受损甚至遭遇经济损失。

1.账户接管

有一个数据可以进一步证明我们的观点：大部分以金融机构为目标的攻击都与账户接管有关（42%）。对于金融服务业，账户接管所造成的危害远远超出了对个人所产生的影响。当客户因账户接管而产生了未经授权的交易时，银行也将产生损失。据报道，账户接管所产生的欺诈行为估计年成本高达114亿美元。虽然银行的客户服务部门可以协助受害者解决问题（这些问题未必就是金融机构的责任），但这依然会让银行付出额外的资源和时间。

爬虫活动增加了81%，而在账户接管过程中，爬虫无疑也起到了重要作用。网络犯罪分子会在爬虫的帮助下，通过不同用户名和密码的组合自动发起撞库攻击，而这些用户名和密码往往都是从其他外泄的数据中窃取而来的。因此我们也毫不意外地看到，针对金融服务业的爬虫网络活动正在快速攀升，并在2022年5月到8月之间出现了非常明显的激增（图19）。

图19：针对金融服务业的爬虫数量激增，这一趋势与账户接管和网络爬虫攻击数量的增加密切相关

此外，爬虫的显著增加也与已知的Web自动化工具库不无关系，这也意味着爬虫的运营者正在利用常见的工具包来获取数据并发起账户接管操作。

成功接管了账户的攻击者将能榨干账户的所有剩余价值，并在黑市出售用户信息。截止2021年，网络银行登录凭据在暗网中的平均售价为40美元。账户接管会造成大量风险。如果用户习惯于重复使用相同密码，那么还可能导致自己的其他账户被进一步泄漏，更糟糕的是，攻击者可能冒充被泄漏的账户，将黑手伸向受害者的其他联系人。

2.网络爬虫

在我们的Client Reputation IP中，我们还观察到大量网络爬虫活动。这些工具通常被用于提取存储在网站中的数据，从而创建逼真的网络钓鱼工具包，通过模仿金融机构的网站来欺骗客户。与账户接管类似，爬虫程序也在这其中起到了重要作用。

3.追踪战术、技术和程序

研究攻击者的动机很重要，借此可以更好地了解他们可能会用怎样的战术、技术和程序（TTP）威胁客户或金融机构。随着时间的推移，追踪这些指标可以为企业提供有关客户风险暴露的威胁情报，从而帮助企业评估需要采取哪些措施（如Akamai MFA、Akamai Account Protector以及Akamai Bot Manager）来降低这些风险。

希望我们对这些攻击方法和动机的分类可以帮助大家在自己的企业内部顺利进行演练并有效分析相关趋势。

尽管我们检测到很多与DDoS、漏洞利用以及Web应用程序攻击有关的尝试，但超过80%的攻击者，其攻击目标都是金融服务业的客户，而非这些业内机构本身。

网络钓鱼趋势：金融服务客户正在遭受攻击

金融服务业是网络钓鱼诈骗最主要的目标之一。大部分钓鱼攻击都以经济利益为动机，全球范围内平均每分钟造成的损失高达1.77万美元。金融服务业备受此类攻击青睐，最主要的原因之一在于，以该行业及其客户为目标的攻击可以带来高额的回报。例如，在黑市中，每张信用卡的相关信息售价介于17-120美元之间，只需产生少量受害者，即可从中谋取到巨额利润。

由于黑市中还有着数量众多，价格低廉的攻击工具包，网络犯罪分子可以借此很轻松地针对目标发起攻击。虽然这类攻击主要以金融机构的客户，而非机构自身为目标，但所造成的损失已经远远超出了个人范围。冒充金融机构的网络犯罪分子会损害银行的品牌和声誉，并在该过程中损害客户信任（导致银行业务受损）。为了解决和应对此类钓鱼攻击，银行同样需要付出不菲的成本。

我们研究了2022年第1和第2季度被网络钓鱼诈骗活动冒充和滥用的品牌，并根据受害者人数对这些骗局进行了分类。借此准确追踪网络钓鱼活动，并分析其中的趋势和蕴含的模式。

图20：2022年第2季度的钓鱼攻击受害者

如图20所示，一直以来，金融服务机构和高科技公司都是最易受到此类攻击的行业，并且这两个季度相关比例还有所上升，从1季度的32%（金融服务）和31%（高科技）分别增长至2季度的47%（金融服务）和36%（高科技）。尽管这些发现并不值得惊讶，但针对金融服务业的网络钓鱼攻击如此快速地上升，这依然仍人感觉担忧。

图21：钓鱼攻击更多地会以消费者而非企业为目标

大部分（80.7%）网络钓鱼活动的目标是消费者而非企业（图21）。我们认为，原因主要在于地下黑市对消费者账户有着巨大的需求，因为这些账户还可被用于发起与欺诈有关的第二阶段攻击。

Akamai研究发现，由于基于令牌的2FA解决方案还远远不够完善，企业还需要采取更强大的多重身份验证保护措施。

然而，即便只有19.3%的攻击活动直接以企业为目标，相关隐患同样不容忽视，因为这类攻击通常更有针对性，更有可能造成重大损失。针对企业的攻击可能导致企业网络被恶意软件或勒索软件攻陷，甚至导致机密信息外泄。也许最开始只是一名员工无意中点击了钓鱼邮件中一个链接，这最终也可能导致企业遭受重大的财务和声誉损失。

针对Colonial Pipeline的攻击就是一个不容忽视的例子。针对这家企业的攻击，最开始就是通过一个外泄的VPN账户发起的。虽然无法明确确定原因，但据分析，很可能是因为这个被攻陷的账户使用了和暗网中出售的其他账户相同的密码。

可绕过双重身份验证的钓鱼攻击

Akamai安全研究人员还分析了2022年2季度最常用的工具包，并统计了分发每个工具包的域名数量。我们发现，Kr3pto是最常用的工具包，与之相关的域名超过了500个（图22）。

图22：Kr3pto是2022年2季度最常用的钓鱼工具包，它甚至可以绕过双重身份验证

Kr3pto背后的开发者主要开发并销售以金融机构和其他品牌为目标的特殊工具包。某些情况下，这些工具包会以英国的金融机构为目标，甚至可以绕过双重身份验证。此外还有证据显示，虽然该钓鱼工具包早在三年多之前就诞生了，但至今依然非常有效，并且至今依然被广泛使用。

虽然类似Kr3pto这样的钓鱼活动并不新鲜，但与这类攻击有关的细节可以帮助我们理解网络钓鱼的趋势，分析相关活动的规模和复杂性。一旦被攻破，目标凭据可能会导致后续的欺诈活动，或导致未经授权人员访问企业的内部网络，因为这类攻击甚至可以使用一次性密码令牌或推送通知来绕过双重身份验证解决方案。

Akamai研究发现，由于基于令牌的2FA解决方案还远远不够完善，企业还需要采取更强大的多重身份验证保护措施。例如FIDO2就是一种能提供更高安全性的新标准，这是一种无密码技术，可要求用户在本地（例如使用生物识别技术）进行身份验证，随后即可访问网站或进行在线交易。由于这种方式不再需要用户名和密码，因此也不会产生可能被窃取并用于钓鱼攻击。

恶意软件之路

上文已经详细介绍了攻击者用来破坏金融服务的各类战术和方法。接下来，我们一起看看当攻击者（通过新的或旧的漏洞、Web应用程序和API攻击，甚至钓鱼骗局）成功渗透进入金融服务机构的内部网络之后可能发生的事情。一旦攻击者渗透到组织网络内部，即可执行大量恶意活动，例如通过各类恶意软件（包括勒索软件）破坏安全措施。

金融服务是对安全性要求最高的行业之一，然而该行业正在遭遇越来越频繁的攻击，因此必须对各类问题保持警惕。因此我们更是有必要深入研究勒索软件的现代TTP（毕竟网络犯罪分子就是借此入侵企业的），从而围绕RaaS、钓鱼攻击、漏洞扫描甚至DDoS等攻击方式找出最适合的应对措施。

从初始访问到凭据收割

为实现网络渗透和传播的目标，勒索软件团伙会采用各种工具，其中大部分都是业内众所周知甚至大量使用的工具。实际上，一般来说，只有加密器（以及有时所使用的特洛伊木马程序）是不同勒索软件团伙所独有的。但横向移动、传播和渗透等TTP对攻防双方来说应该都不陌生，无非就是Cobalt Strike、Mimikatz、PsExec等。

对于大部分勒索软件来说，网络钓鱼似乎是最常见的入侵载体，借此诱骗用户打开用于发起攻击的文件或工具。其他常见方式包括通过“猜测”正确的凭据来入侵VPN或远程桌面协议（RDP）服务器等。Conti的泄密事件则让我们借机深入了解了其他一些不太常见的感染方式所用爬虫的设计思路（图23）。

初始立足点（鱼叉式）钓鱼攻击或应用程序漏洞	横向移动在网络中传播以实现最大化覆盖面	提取查找并窃取有价值的数据	加密通过PKI加密方式被破解	发出勒索更换桌面墙纸或留下勒索信息文本文件	盈利？

图23：勒索软件的攻击链

勒索软件通常还会使用MITRE所涵盖的常见横向移动技术（如WMI、远程计划任务、RDP、WinRM、PsExec以及EternalBlue和BlueKeep等零日漏洞）在网络中移动。为了维持在网络中的立足点，Conti团伙使用了计划任务的方式。他们外泄的手册中还列出了其他持久隐藏的方式，如注册表的Run键、Office应用程序启动、Windows服务等。一旦网络犯罪分子获得了较高级别的特权，他们随后会窃取账户名称和密码。这种凭据收割过程通常是通过本地安全机构子系统服务（LSASS）或安全账户管理器（SAM）数据库实现的。这方面最常用的工具是Mimikatz（当然，同类的凭据转储工具还有很多）。如果通过网络获取凭据，则很多时候还会用到各种零日漏洞。

了解攻击面有助于针对关键风险获得见解，从而设计出更安全的控制和缓解措施。

本节通过几个简单的例子展示了我们所发现的，一些不容忽视的趋势。勒索软件可能是客户和企业会遇到的，最具破坏性的攻击方式之一，甚至会影响到客户对企业的信任。虽然勒索软件在金融业的流行程度远不如其他垂直行业，但依然是一种需要密切跟踪和缓解的威胁载体。为了进一步了解有关这些TTP的详细信息，欢迎阅读2022年上半年Akamai勒索软件威胁报告。

总结：不断扩大的威胁面

金融服务业是对安全性要求最高的行业之一，由于该行业特殊的性质和所拥有的机密数据数量，这也是网络犯罪分子最有利可图的目标之一。我们在研究中发现，当发现新漏洞后，金融服务业将是最先受到攻击，并且会受到最多攻击的行业。同时该行业也是DDoS攻击和网络钓鱼活动最青睐的行业，并且客户往往也会成为这些攻击的目标。

攻击者会想方设法渗透内部网络或影响你的客户。了解攻击面有助于针对关键风险获得见解，从而设计出更安全的控制和缓解措施。API和Web应用程序攻击的转变和激增有助于帮助企业和防御团队更好地理解攻击者的侧重点，并针对需要保护的领域划分优先级。此外，当新漏洞出现后，如果明白自己只有很短的时间来做出反应，这也有助于相关企业更好地采取主动措施（如补丁管理）加强防御能力。

我们的研究还重点关注了企业在了解了可能遇到的攻击类型后，该如何采取措施保护客户安全。此外，建议相关企业采取“后发制人”的心态，因为类似勒索软件这样的威胁往往会利用各种漏洞，并借助不同的工具和方法渗透到企业网络内部。企业必须慎重考虑自己是否具备适当的工具和流程来缓解勒索软件和其他威胁所造成的风险。最后，类似网络攻击链、NIST的800-207 Zero Trust Architecture以及最新的FIDO2标准，这些最佳实践和流程也都是金融服务业的重要参考资源。

---

Akamai将继续关注金融服务业和其他行业的安全态势，并通过全面的分析和适合的解决方案帮助企业有效缓解威胁，增强自己和客户的数据安全性。欢迎关注Akamai知乎机构号，第一时间了解最新进展。