安全厂商发布金融威胁综述分析报告

专题库
CFCA信息安全实验室 来源:中国电子银行网 2017-06-09 10:07:27 金融安全 信息安全

核心提示从攻击网上银行的金融特洛伊木马,对ATM的攻击,销售点(POS)机器和欺诈性的同业间交易来说,犯罪分子有许多不同的攻击方式。

  由于近期的注意力都被勒索软件所吸引而忽视了其他威胁,例如针对金融部门及其用户的威胁。然而,这些类型的威胁对于企业和消费者来说都是一个严重和昂贵的问题。虽然财务威胁往往没有获得与赎金相同的新闻报道,也许是因为他们的视觉影响较小,它们更加普遍。每年检测超过120万次,金融威胁空间是ixomware的2.5倍。例如,财务Trojan Ramnit(W32.Ramnit),其2016年的检测总数大致相等于所有的ransomware检测合并。

  虽然我们在2016年的金融恶意软件全球检测数量下降了36%,但这主要是由于早期的攻击链接阻塞和更多的集中攻击。但不要误会,金融风暴仍然是有利可图的,因此在网络罪犯中继续受到欢迎。从攻击网上银行的金融特洛伊木马,对ATM的攻击,销售点(POS)机器和欺诈性的同业间交易来说,犯罪分子有许多不同的攻击方式。

  三重麻烦

安全厂商发布金融威胁综述分析报告

  三个恶意软件家庭统治了2016年的金融威胁:Ramnit,Bebloh(Trojan.Bebloh)和Zeus(Trojan.Zbot),他们共同负责全球检测量的86%。但是,由于被逮捕,下放和重组造成的破坏,一年来出现了一些波动。最显着的飙升是在2016年下半年,当时Trojan.Bebloh和Trojan.Snifula都开始大力集中在日本的20家银行。这两种威胁都通过垃圾邮件传播,双重扩展附件伪装成扫描文档-早期版本使用Web exploit工具包。不清楚为什么两个威胁同时开始针对日本的银行?然而,他们似乎共享一个动态网页注入的共同资源,允许攻击者即时操纵网络流量。

  瓦解

安全厂商发布金融威胁综述分析报告

  在2016年底,由Bebloh使用的Avalanche恶意软件托管网络拆除后,我们看到Bebloh活动急剧下降。在2017年1月被追捕的Trojan.Snifula被指控的作者被捕后,我们也看到了嗅探检测的下降。这两个事件导致检测数量下降:贝布洛从2016年12月至2017年3月下降了66%,嗅探数量在同一时期下降了83%。现在这些威胁似乎几乎消失了。

  在全球范围内,美国的金融机构是由赛门铁克分析的样本,波兰和日本最多的。但是,我们已经看到更多的威胁隐藏研究人员的配置文件,使得生成统计信息变得更加困难。例如,BlackMoon(Infostealer.Boyapki.E)变体仅存储URL的SHA1哈希值,从而难以找出所有被监视的URL。另一个观察到的趋势是转向重定向攻击而不是本地注入。这涉及整个页面被重定向到远程站点,远程服务器上发生流量更换和欺诈。我们甚至注意到老式DNS重定向攻击有所增加。

  特别待遇

  袭击者也有兴趣更多地了解他们的受害者。例如,Dridex下载器(W32.Cridex)现在检查已安装的软件列表以获取财务软件包。如果找到有趣的东西,如离线支付工具,那么将通过远程访问工具(如隐藏的虚拟网络计算(VNC))服务器手动访问计算机。然后,攻击者将研究受感染的计算机,并学习使用哪些软件,并制定出可能的欺诈交易方法。

  其他威胁将等到本月底,许多企业进行批量交易,并添加自己的欺诈交易或修改现有的交易。这种行为正在增加,因为它显然是有益的。平均而言,在2016年的业务地点中发现了38%的财务威胁。大多数这些感染尝试没有针对性,是由于广泛的电子邮件活动。然而,如前所述,一些受感染的计算机可能被攻击者标记为有趣的,并从他们那里获得特殊的手动处理。

  攻击者的最终目标是赚取更大的利润。这导致了对银行和金融机构本身而不是零售客户的更多攻击。这一趋势在2016年达到顶峰,多次被广泛讨论,涉及与SWIFT网络相关的机构的高价值诉讼,导致网络犯罪集团和民族国家支持的攻击者如拉撒路集团损失了数百万美元。

  只要它仍然是有利可图的,我们预计未来的金融威胁将继续成为银行客户的一个问题,但攻击者也可能会将重点放在企业财务部门。随着信息技术保护措施的改善,我们预计袭击者会增加对社会工程的依赖。金融风暴背后的网络罪犯也将着重于其他地理位置的开发,而这些地理位置可能没有受到当前目标地区的金融威胁的保护。

  保护

  采用多层次的安全措施可最大限度地减少感染的机会。赛门铁克有三个阶段可以防范恶意软件(包括财务威胁)的策略:

  `防止:阻止入侵或感染,防止发生损害

  `包含:限制在感染成功的情况下攻击的蔓延

  `回应:有一个事件响应过程,从攻击中学习,并改善防御

  预防感染是迄今为止最好的结果,因此请注意如何预防感染。电子邮件和感染的网站是恶意软件最常见的感染媒介。对这两种感染载体采取强有力的防御措施有助于降低感染的风险。

  另外,用户应该遵循以下建议来减少网络攻击的风险:

  `进行网上银行业务时要特别注意,尤其是银行网站的行为或外观发生变化时

  `在使用他们的服务时,向您的金融机构通知任何奇怪的行为

  `收到未经请求的,意外的或可疑的电子邮件时,请小心谨慎

  `使安全软件和操作系统保持最新

  `启用高级帐户安全功能,如2FA和登录通知(如果有)

  `为所有帐户使用强密码

  `完成后,请始终注销会话

  `定期监控银行对账单

  `警惕Microsoft Office附件,提示用户启用宏

  详见  

责任编辑:韩希宇

为你推荐

    暂无相关推荐
    合作媒体

    中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 第一理财网 | 网易科技 | 中华财会网 | 电商中心 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 计世网 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 钱讯网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | CIO时代网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 光芒网 | 大公财经 | 外汇 | 品途网

    微信

    QQ

    微博