正文

《2024金融行业网络威胁风险报告》重磅发布丨天际报告

admin
admin V管理员 /0 评论 /43 阅读
1231
此篇文章发布距今已超过11天,您需要注意文章的内容或图片是否可用!

近年来,金融行业的数字化转型进行的如火如荼,并且随着大数据、区块链等技术的发展和普及,金融行业也在加速其信息化进程。由于数字技术与金融行业融合加速,线上业务领域持续扩大,直接导致金融网络数字安全风险加大,防护难度进一步提升。同时,随着科技的进步,来自互联网的网络攻击持续升级,全球金融行业面临着越来越多的网络威胁和挑战。
根据天际友盟2024年数字风险监测结果,金融行业在所有数字风险行业中排名第三,而金融行业又细分为银行、证券、基金、保险等多个子行业,数据如下:
图1. 2024数字风险行业TOP10
图2. 2024金融子行业数字风险分布
金融行业在国民经济中占据着重要地位,其面临的威胁风险应该受到高度重视。为此,天际友盟双子座实验室重磅推出《2024金融行业网络威胁风险报告》,介绍了在当今数字风险环境中金融行业面临的各类风险威胁,并结合典型事件及其特点分析给出相应的建议和应对方案。
金融行业面对的网络威胁风险

传统金融业务风险

网络钓鱼和欺诈一直是传统金融业务面临的主要风险之一。据统计,近年来针对金融行业的钓鱼攻击在所有此类活动中占比持续超过50%,这些攻击的主要目的是窃取帐户凭据,以获取直接的经济利益。
针对金融行业的网络钓鱼攻击类型多样:在用户侧,仿冒银行、券商、保险等行业的钓鱼网站层出不穷;在金融机构侧,各类BEC(商务电子邮件)攻击则通过诱使专业人士进行相关诈骗操作来实现,此类邮件中往往包含可能用于传播各类恶意软件的附件,从而进一步扩大攻击范围。
总体来说,网络钓鱼和欺诈等方式是相对直接的攻击手段,并且由于其攻击难度低,覆盖范围广,且能迅速获取收益,因此广受各类攻击团伙和组织的青睐,通常被视为初始目标入侵的首要方式。

数据安全风险

数据泄露是目前金融行业暴露的最为严重的问题之一,金融行业的数据泄露事件数量大幅领先于其它所有行业。美国财政部金融犯罪执法网络曾发布一份报告称,由于网络犯罪活动猖獗,每个月大约有10亿美元从金融机构被盗。金融行业除了自身资产信息的安全存在威胁,用户数据的安全也面临严峻挑战,一旦用户凭据遭到泄露或窃取,无论对银行还是个人,都将带来严重的财产损失。近几年,已披露多起针对金融机构的重大数据泄露事件,凸显了这一问题的严重性。
  • 国内早期有黑客利用木马病毒非法控制逾2000台计算机,入侵40多家国内金融机构的内网交易数据库,非法获取交易指令和多条内幕信息。
  • 2022年6月,美国星旗银行称其在2021年底发生了一次重大数据泄露事件,受影响人数达到154万人。
  • 据称为美国第四大贷款服务提供商的Lakeview Loan Servicing在2022年披露了一个之前未被发现的大规模数据泄露,当时泄露了超过200万客户的个人信息,这些数据于今年3月被公开,一些被盗数据已在“暗网”上挂牌出售。
  • 2023年3月份,乌克兰黑客成功入侵俄罗斯中央银行,窃取到上万份内部文件,大小总计2.6GB,这些文件主要涉及银行运营、安全政策以及部分员工的个人数据。
  • 2023年,PayPal披露其用户账户在大规模撞库攻击中被泄露。该攻击在2022年12月6日至8日期间发生,攻击者攻破了34942个PayPal账户。据悉,黑客在此次撞库攻击中获取了PayPal账户持有人的全名、出生日期、邮政地址、社会安全号码和个人纳税识别号码等个人敏感信息。
  • 2024年初,美国金融巨头LoanDepot因勒索攻击损失近2亿元,超1600万用户数据泄露,数据泄露包括客户姓名、地址、电子邮件地址、电话号码、出生日期、社会保障号码和金融账号等。根据LoanDepot的最新财务报告显示,该事件给公司造成了2690万美元(约合人民币1.92亿元)的损失。
  • 2024年5月,澳大利亚最大非银机构遭遇了一起由网络攻击导致的数据泄露事件,据称Embargo勒索软件团伙从该公司窃取了超500G的数据。
根据天际友盟暗网监控数据显示,2024年上半年金融行业的数据泄露事件超过1500起,很多售卖者利用匿名群聊、暗网渠道、云存储等隐蔽和便利的方式,进行大规模的数据交易。到目前为止,部分在暗网售卖的金融机构的泄露数据如下:

互联网侧攻击风险

金融行业同样在互联网侧也会遭受各类攻击,这些攻击包括:APT攻击、供应链攻击、各类恶意软件攻击、区块链攻击以及DDoS攻击等。接下来详细分析一下这些互联网侧的攻击风险。
  • APT攻击风险
作为黑客组织最容易直接获取经济利益的首选行业,一直以来,不断涌现出专门针对金融行业、仅以获取金钱为目标的攻击组织或团伙。近一年活跃的针对金融行业的APT组织攻击活动有:
近年来活跃的主要攻击金融相关行业的黑客组织或团伙有:FIN7、Evilnum、TA505、Water Hydra、Citrine Sleet、Jumpy Pisces、Solar Spider、银狐、金相狐。
随着APT组织的不断发展,除了上述专门针对金融相关行业的APT组织外,很多组织涉及行业非常广泛,而金融行业只是其中之一。例如来自朝鲜的知名APT组织Kimsuky和Lazarus均涉及对目标国家金融行业的攻击。Kimsuky的目标主要锁定在韩国,而Lazarus多个附属组织均有涉及针对许多国家的金融和加密货币行业的攻击。还有专注哥伦比亚及南美部分地区的盲眼鹰APT-C-36组织,该组织主要依靠发送给特定公司的鱼叉式网络钓鱼邮件来开展恶意活动。
  • 恶意软件攻击风险
恶意软件分类较广,其攻击方式也多种多样,这里主要介绍针对金融行业的银行木马攻击、ATM恶意软件攻击、Web Skimmer攻击、勒索软件攻击、挖矿软件攻击等主要攻击方式。
银行木马攻击一直以来,银行木马都是金融业面临的最为严重的威胁之一。银行木马是一种专门针对金融客户的恶意软件,其主要目的是窃取用户的网上银行凭证信息,进而盗取帐户里的资金。银行木马的攻击非常活跃并且版本快速迭代更新。
PoS和ATM恶意软件攻击:Point of Sale(PoS)恶意软件的出现是当消费者从零售商处购买商品或服务时,其交易最初由销售点PoS系统处理。PoS系统由硬件(例如用于刷信用卡或借记卡的设备以及连接到它的计算机或移动设备)以及告诉硬件如何处理其捕获的信息的软件组成。近年来,影响PoS系统的恶意软件在网络犯罪分子中越来越受欢迎,犯罪分子将物理设备连接到PoS系统以收集卡数据,称为盗刷。在其他情况下,该恶意软件还可以通过RAM抓取获取卡数据,然后将被盗信息传递给攻击者。这类攻击通过难以修补的传统硬件漏洞和一般的操作系统漏洞相结合,意味着这种特定威胁很常见但难以防御。
ATM恶意软件指的是可以破坏ATM取款机运作的恶意软件。该恶意软件通常由犯罪分子自己物理安装在目标ATM中。该恶意软件可以导致ATM根据命令分配大量现金,还可用于窃取ATM终端的个人财务信息,例如银行卡号和PIN码。此类攻击需要线下操作,实现起来有很大难度,故ATM恶意软件并不十分流行。
Web Skimmer攻击:随着在线零售商店的兴起,Web Skimmer攻击从针对线下支付卡转移到了网络在线商店。Web Skimmer是指攻击者通过窃取输入在线支付表格中数据的脚本,利用服务器端请求将JavaScrip恶意代码动态加载到线上商店中,恶意Skimmer会抓取许多用户字段并窃取支付信息。研究表明,攻击者经常利用网站中的漏洞或接管帐户来进行攻击。Web Skimmer攻击对目标公司的影响非常大,这些公司不仅必须面对此类事件后用户的高流失率,而且还可能面临巨额经济处罚。Web Skimmer攻击这两年逐渐呈现下降的趋势。
勒索软件攻击:IBM发布的《威胁情报指数(2022)》报告指出,勒索软件攻击高居网络安全威胁榜首。作为赤裸裸以获取赎金为目的勒索团伙,金融行业当然是其重要目标之一,但相比其它行业而言,金融机构本身的安全防御和基础设施比较健全,勒索软件成功的概率并不如其它行业。所以很多勒索软件攻击行业范围非常广泛,且勒索软件的目标以欧美等国家为主。
挖矿软件攻击:恶意挖矿软件通常是在未经允许的情况下进行后台挖矿,占用了大量系统资源或云上资源。恶意挖矿软件的出现一般处在攻击的后续阶段,攻击者在成功入侵目标主机后通过其它载荷下载挖矿软件,所以通常和其它攻击联合使用,比如利用钓鱼或长期控制的僵尸网络,将挖矿软件植入PC或服务器中,挖矿软件经过免杀处理后,很难被用户和杀毒软件发现。
  • 供应链攻击风险
随着近年来各类软硬件产品漏洞的大量披露和零日漏洞的迅速传播,供应链攻击事件呈快速增长态势,危害也愈发严重,因为即使企业自身防护的再坚固,只要其供应链环节任何一环出现问题,整个产业链都将遭受严重的损失。
金融行业的业务系统往往涉及很多上下游应用,其中不乏有大量购买第三方软件和采用免费开源软件的企业,因此如果有些软件缺少对应的安全检查,企业则面临着巨大的供应链攻击风险。
CL0P勒索团伙在2023年期间,利用在MOVEit Transfer Web应用程序中广泛存在的SQL注入漏洞(CVE-2023-34362)进行了大规模攻击,涉及全球多个行业和大中型公司。由于德国账户转换服务提供商Majorel存在MOVEit漏洞,其影响了包括德意志银行、ING、Postbank和Comdirect在内的多家德国银行。
2021年10月,中国某银行被爆出遭受供应链攻击,此次攻击事件,攻击者并未真正入侵到银行内部网络。攻击组织(据称为ATW)主要通过花费2个月的时间成功入侵了该银行一个分行的软件供应链厂商,从而获取了部分为该银行开发的一些系统源码。
  • 区块链攻击风险
区块链属于互联网金融的一个新的分支。区块链攻击是指针对区块链网络或其组成部分(如节点、智能合约、加密货币钱包等)实施的恶意攻击,旨在破坏网络的完整性、可用性或安全性。由于区块链技术被广泛应用于加密货币、智能合约和去中心化应用,因此它成为了网络犯罪分子的重要目标。
2023年10月,Angel Drainer钓鱼团伙针对Web3钱包发起攻击,这次攻击涉及Balancer DNS劫持,一旦用户访问Balance网站的链接,其钱包便会遭受钓鱼攻击。据悉,Angel Drainer团伙针对加密行业进行的钓鱼攻击涉及3000多个域名,并存在36个与该钓鱼团伙有关的恶意地址。其中Angel Drainer热钱包地址有两个,涉及多条链,且ETH链和ARB链涉及资金较多。据不完全统计,该团伙已通过钓鱼的方式共计获利约几百万美元。
  • 分布式拒绝服务(DDoS)攻击风险
DDoS攻击已成为网络战的重要手段,根据Akamai最新的统计,金融业遭受的DDoS攻击已占到所有行业攻击总量的34%,这一数字几乎为排名第二的游戏行业的两倍。在过去,许多DDoS攻击通常综合利用多种攻击向量(即多种攻击方式),但在2023年至2024年期间,针对金融行业的DDoS攻击中,单一向量的攻击却占据了主导地位。
单一向量攻击由于有针对性地利用某些漏洞,往往能够以较小的资源和较容易的执行方式发起大规模的DDoS攻击。
我们能做什么

数字风险防护

面对金融行业传统的钓鱼欺诈和数据泄露等数字风险,我们能做什么?
首先,从企业安全管理层面,采用数字风险防护(DRP)服务是最优解,因为此类风险涉及攻击面广,封堵困难,以企业的安全团队力量很难做到及时发现和有效防范,所以使用契合本公司业务需求的数字风险防护业务就显得非常重要。
其次,对于企业内部的安全团队而言,加强内部员工培训,提高钓鱼欺诈邮件及网站的防范意识,定期进行安全演练,才能从内部打牢安全防线。安全部门还需要清楚公司全部资产的网络暴露面,加强公司内部资料和文档管理,可以采用适当的DLP产品以防止重要数据的泄露。

网络攻击侧防护

从网络攻击侧来看,面对复杂的APT组织和恶意软件攻击,金融机构也不能100%发现和防御,只有尽可能的去完善防御体系,建议可以采取以下措施:
1)企业严格的访问控制机制,采用多因素身份验证,仅允许授权的用户访问敏感数据和专业的运维人员进行系统安装。
2)在攻击面的各个环节部署监测设备,建立终端防护、邮件防护、网络防护为基础的金融信息安全管理策略。及时利用威胁情报,提前做出预防和决策。
3)及时升级系统补丁并定期执行安全漏洞扫描,发现网络中的漏洞要及时修复,保证对所有系统和软件进行更新和升级,以降低外部攻击利用漏洞成功入侵的机率。
4)定期备份网站数据和公司重要的资产数据,这一点在应对勒索软件攻击时显得尤为重要,安全运维团队应具有在遭受攻击后快速恢复系统及数据的能力。
针对供应链攻击,参考如下建议和方案:
1)定期监控开源项目,从正规官方途径进行下载或升级。
2)内置数据保护方案,开发人员应该在他们的应用程序中构建最新的加密技术,并对供应链使用数字签名、多因素身份验证等加强保护。
3)密切关注第三方风险:作为供应链环节的重要一方,第三方合作的公司其风险控制并未可知,所以在确认供应商和合作伙伴时要充分调研其供应链风险,确保所有各方都遵循网络安全最佳实践并提前做好风险防控的预案,这样一旦供应链的任何环节出现问题,都能进行应急响应,消除或减少公司损失。
针对区块链攻击,区块链开发者和用户需要不断改进技术和实践,包括加强共识算法的安全性、提高智能合约的质量、保护隐私以及增强网络的抗攻击能力。此外,保持对最新安全研究的关注,并及时响应新出现的威胁,也是保障区块链生态系统健康发展的关键。
针对DDoS攻击,一般采用自动化的DDoS防护解决方案居多,但也可参考以下建议:
1)建议使用知名厂商的服务器和设备,尤其是云端服务。在选择服务器的时候,尽量选择知名厂商的服务器,因为他们的机器性能会相对稳定,也具有很高的负载能力和其它防御能力。
2)升级源站配置,尽量使用高带宽。加强源站服务器配置,以保证自身抗击能力。显而易见,采用带宽大的服务器可以增加抗攻击能力,但这需要根据实际的业务需求和财务预算,选取合适的配置。
3)设置网页伪静态链接。种方法目前比较流行,安全运维人员可以给公司网站设置伪静态固定链接,提高抗攻击能力,而且伪静态还有利于SEO网站引擎排名优化。
4)开启服务器防火墙、套用高防CDN。服务器端,首先要开启服务器自带的防火墙,其次还应采用高防CDN服务来应对大规模攻击。目前使用高防CDN可以说是抵挡DDoS攻击最有效的方式,给网站套高防CDN不仅可以隐藏源站的IP,还可为网站内容进行加速,是抗DDoS攻击的主要防御手段。
发展趋势预测
随着金融科技的快速发展和数字化转型的加速,金融行业在2025年将面临更加复杂和多样化的网络威胁。我们基于当前趋势和技术的发展对金融行业未来的网络威胁风险进行预测:
1)风险领域AI驱动的自动化攻击将增多。人工智能和机器学习技术将被越来越多地应用于网络攻击中。黑客可以利用AI生成高度定制化的钓鱼邮件、自动化的恶意软件变种,甚至通过自然语言处理(NLP)技术模拟真实的对话,如deepfake攻击可以显著提高社会工程学攻击的成功率。
2)交易的泄露数据将持续活跃。网市场未来会继续繁荣,成为黑客出售窃取数据的主要平台。2025年,随着更多的组织和个人进入暗网市场,数据泄露事件的数量和规模将进一步增加。
3)软件攻击保持上升态势。索软件攻击将继续成为金融行业的首要威胁之一。根据Gartner的预测,2025年全球信息安全支出将超过1万亿美元,其中很大一部分将用于应对勒索软件攻击。
4)链攻击活动加剧。应链攻击已成为攻破金融行业的一个重要突破口,黑客通过攻击第三方供应商(如软件开发商、云服务提供商等)来间接入侵金融机构。预计这类攻击将在2025年进一步加剧。
5)链攻击中智能合约漏洞利用的可能大幅增加。能合约的安全性仍然是区块链领域的重大挑战。随着越来越多的去中心化金融项目和NFT市场依赖智能合约,攻击者将继续寻找并利用其中新的漏洞。特别是复杂的跨合约调用和不安全的外部调用可能会成为新的攻击点。
总结
随着数字经济的发展,金融行业的分支领域不断扩大,传统金融逐步向数字化金融转化,在数字风险下金融行业面临的网络威胁将会更加复杂。我们既要重视传统金融的钓鱼欺诈风险,也要防范网络侧的各类攻击以及日益严重的数据泄露风险,加强自身系统的安全体系建设,建立合适的防御、应急、响应机制。
以上为《2024金融行业网络威胁风险报告》的部分节选内容,点击文末“阅读原文”获取更多完整报告。

一直以来,天际友盟秉承“创造安全价值”的理念,致力于提供全生命周期的数字风险防护服务,为客户的数字化业务保驾护航。天际友盟以专注的威胁情报技术研究能力为支撑,以成熟多样的产品与服务落地,将数字风险防护的价值应用到众多客户的多样行业场景之中。

天际友盟技术骨干均为国内安全行业的专家人才,有着超过10年的安全从业经验,对威胁情报、数字风险、大数据分析、人工智能等领域有着深入的了解和丰富的实践经验。

天际友盟目前在北京、上海、深圳、广州、珠海、江苏、西安、沈阳、长春、哈尔滨、长沙、石家庄、太原、香港、澳门等多地设有分支机构,为全国各地的客户及合作伙伴提供及时、高效、优质的服务。2024年天际友盟在新加坡设立了东南亚业务中心,覆盖亚太市场。
了解更多内容请访问:https://www.tj-un.com

客户案例

威胁情报

CNCERT | 上海网信办 | 国家信息中心 | 国家电网

中国航信 | 中国电子技术标准化研究院 | 青岛税务局

河北省税务局 |中国银行 | 宁夏银行

国家信息技术安全研究中心 | 天津经开区 | ASTRI

华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车

河南电力 | 北京电力 | 浙江电力 | 中国移动

中国电信北京研究院 | 湖南广电 | Green Radar

北京电视台 | 天懋信息 | 核工业计算机应用研究所

上海观安 | 数梦工场 | 重庆银行 | 北京安态

数字风险防护
中国银行 | 交通银行 | 厦门国际银行
深圳农村商业银行 | 泉州银行 | 立桥银行 | 秦皇岛银行
黄河农村银行 | 乌鲁木齐银行 | 中国银联 | 泸州银行
昆仑银行 | 绵阳市商业银行 | 中泰证券 | 辉腾金控
安信证券 | 中国航信 | 大业信托 | 国信证券 | 国信期货
国家电网 | 核工业计算机应用研究所 | 顺丰速递
青岛市税务局 | 河北省税务局 | 中国密码学会
一图一数 | 抖音 | Tiktok | 懂车帝 | 字节跳动
火山小视频 | Musical.ly | 火币网 | OKCoin | Bit-Z
西瓜视频 | 京东 | 今日头条 | TANDL


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网