94%观察到的金融服务攻击来自四种方法之一:SQL注入(SQLi),本地文件包含(LFI),跨站点脚本执行(XSS)和OGNL Java注入。
Akamai 2019年互联网安全金融服务攻击经济报告的数据显示,在所有受到网络钓鱼域影响的机构中,有50%都来自金融服务行业。
此外,数据显示,在18个月内,攻击者发起了高达35亿次攻击尝试,不仅利用网络钓鱼,还利用了凭证填充攻击,这使金融服务客户的个人数据和银行信息面临风险。
一、网络钓鱼域名和凭证填充
报告指出,在2018年12月2日到2019年5月4日期间,检测出了将近200000个网络钓鱼域,其中66%的网络钓鱼域直接针对消费客户。而在仅针对消费客户的网络钓鱼域里,又有50%的目标公司来自金融服务行业。(约6600个网络钓鱼域)。
Akamai安全研究员Martin McKeay坦言:“在过去一年,我们看到凭证填充攻击的数量稳步上升,这在一定程度上是由于针对消费客户的网络钓鱼攻击增加。”
“犯罪分子通过网络钓鱼对现有的被盗凭证数据进行补充,然后通过劫持帐户或转售他们创建的列表的方式获益,而这还只是他们获益的手段之一。我们可以看到,整个经济链正朝着针对金融服务组织及其消费客户的方向发展。“
二、bank drops:设立犯罪账户
犯罪分子成功完成攻击后,就需要处理他们的不义之财:数据和资金。正如Akamai的报告所强调的那样,处理这种情况的一种方法通常是利用“bank drops” –一种可用于欺诈性地在特定金融机构开立账户的数据包。
Bank drops通常包括个人的被盗身份(网络犯罪分子通常称之为’fullz’,包括姓名,地址,出生日期,社会保障详情,驾驶执照信息和信用评分。)犯罪分子通过远程桌面服务器安全访问欺诈性帐户,这些服务器与银行的地理位置和“Fullz”相匹配。
金融机构一直都在调查犯罪分子设立这些账户的方式,并试图提前一步发现问题。但是,大多数企业没有意识到的是,犯罪分子正在重新使用旧的攻击手段。
Akamai的调查结果显示,94%观察到的金融服务攻击来自四种方法之一:SQL注入(SQLi),本地文件包含(LFI),跨站点脚本执行(XSS)和OGNL Java注入(在本报告覆盖期内,攻击者使用这种方法发动超过800万次攻击尝试)。OGNL Java 注入因为Apache Struts漏洞而闻名,而在发布补丁程序数年后,仍然在被攻击者继续使用。
三、DDoS 攻击: 损害资产和声誉
在金融服务行业,犯罪分子也已经开始发起DDoS攻击,分散大众对于凭证填充攻击或利用基于Web的漏洞的关注。在18个月的时间里,Akamai发现针对金融服务行业的DDoS攻击超过800次。
McKeay认为:“攻击者正在瞄准金融服务组织的弱点,也就是消费者、网络应用程序和可用性,因为事实证明,这非常有效。”
最近(2019年3月),很多针对几家金融服务机构的DDoS攻击都使用TCP SYN-ACK数据包来淹没他们的数据中心,尽管这种攻击影响有限,但似乎攻击者的目标之一是为了破坏这些机构的对外声誉。
用于让反射器发送 SYN-ACK的原始SYN数据包,被反射器视为SYN泛洪攻击,并导致反射器把伪造的ip地址标记为恶意参与者。此外,这还造成了金融服务的IP地址被列入黑名单的结果,给维护者带来了更多的难点和挑战。
“一种理论认为,这种行为是通过让金融服务组织被错误地识别为恶意参与者,从而损害工具和工具制造商的声誉。譬如Spamhaus项目就受到了特别大的影响,愤怒的安全团队甚至打电话来问,为什么他们突然被列为恶意的。”
*参考来源:helpnetsecurity,kirazhou编译整理,转载请注明来自 FreeBuf.COM