2024年金融行业网络威胁风险报告

目录TABLE OF CONTENT 01背景3 02金融行业面对的网络威胁风险4 2.1 传统金融业务风险42.2 数据安全风险4 2.3 互联网侧攻击风险6 2.3.5 分布式拒绝服务（DDoS）攻击风险11 03我们能做什么？13 3.1 数字风险防护133.2 网络攻击侧防护13 04发展趋势预测15 05总结16 01PART 背景 近年来，金融行业的数字化转型进行的如火如荼，并且随着大数据、区块链等技术的发展和普及，金融行业也在加速其信息化进程。由于数字技术与金融行业融合加速，线上业务领域持续扩大，直接导致金融网络数字安全风险加大，防护难度进一步提升。同时，随着科技的进步，来自互联网的网络攻击持续升级，全球金融行业面临着越来越多的网络威胁和挑战。 根据天际友盟 2024 年数字风险监测结果，金融行业在所有数字风险行业中排名第三，如图 1 所示。而金融行业又细分为银行、证券、基金、保险等多个子行业，其数字风险分布如图 2 所示。 金融行业在国民经济中占据着重要地位，其面临的威胁风险应该受到高度重视。本文将介绍在当今数字风险环境中金融行业面临的各类风险威胁，结合典型事件及其特点分析，给出相应的建议和应对方案。 金融行业面对的网络威胁风险 2.1 传统金融业务风险 网络钓鱼和欺诈一直是传统金融业务面临的主要风险之一。据统计，近年来针对金融行业的钓鱼攻击在所有此类活动中占比持续超过 50%，这些攻击的主要目的是窃取帐户凭据，以获取直接的经济利益。 针对金融行业的网络钓鱼攻击类型多样：在用户侧，仿冒银行、券商、保险等行业的钓鱼网站层出不穷；在金融机构侧，各类 BEC（商务电子邮件）攻击则通过诱使专业人士进行相关诈骗操作来实现，此类邮件中往往包含可能用于传播各类恶意软件的附件，从而进一步扩大攻击范围。 总体来说，网络钓鱼和欺诈等方式是相对直接的攻击手段，并且由于其攻击难度低，覆盖范围广，且能迅速获取收益，因此广受各类攻击团伙和组织的青睐，通常被视为初始目标入侵的首要方式。 2.2 数据安全风险 数据泄露是目前金融行业暴露的最为严重的问题之一，金融行业的数据泄露事件数量大幅领先于其它所有行业。美国财政部金融犯罪执法网络曾发布一份报告称，由于网络犯罪活动猖獗，每个月大约有 10 亿美元从金融机构被盗。金融行业除了自身资产信息的安全存在威胁，用户数据的安全也面临严峻挑战，一旦用户凭据遭到泄露或窃取，无论对银行还是个人，都将带来严重的财产损失。近几年，已披露多起针对金融机构的重大数据泄露事件，凸显了这一问题的严重性。 ▶国内早期有黑客利用木马病毒非法控制逾 2000 台计算机，入侵 40 多家国内金融机构的内网交易数据库，非法获取交易指令和多条内幕信息。 ▶2022 年 6 月，美国星旗银行称其在 2021 年底发生了一次重大数据泄露事件，受影响人数达到 154万人。 ▶据称为美国第四大贷款服务提供商的 Lakeview Loan Servicing 在 2022 年披露了一个之前未被发现的大规模数据泄露，当时泄露了超过 200 万客户的个人信息，这些数据于今年 3 月被公开，一些被盗数据已在“暗网”上挂牌出售。 ▶2023 年 3 月份，乌克兰黑客成功入侵俄罗斯中央银行，窃取到上万份内部文件，大小总计 2.6GB，这些文件主要涉及银行运营、安全政策以及部分员工的个人数据。 ▶2023 年，PayPal 披露其用户账户在大规模撞库攻击中被泄露。该攻击在 2022 年 12 月 6 日至 8 日期间发生，攻击者攻破了 34942 个 PayPal 账户。据悉，黑客在此次撞库攻击中获取了 PayPal 账户持有人的全名、出生日期、邮政地址、社会安全号码和个人纳税识别号码等个人敏感信息。 ▶2024 年初，美国金融巨头 LoanDepot 因勒索攻击损失近 2 亿元，超 1600 万用户数据泄露，数据泄露包括客户姓名、地址、电子邮件地址、电话号码、出生日期、社会保障号码和金融账号等。根据LoanDepot 的最新财务报告显示，该事件给公司造成了 2690 万美元（约合人民币 1.92 亿元）的损失。 ▶2024 年 5 月，澳大利亚最大非银机构遭遇了一起由网络攻击导致的数据泄露事件，据称 Embargo勒索软件团伙从该公司窃取了超过 500G 的数据。 根据天际友盟暗网监控数据显示，2024 年上半年金融行业的数据泄露事件超过 1500 起，很多售卖者利用匿名群聊、暗网渠道、云存储等隐蔽和便利的方式，进行大规模的数据交易。到目前为止，部分在暗网售卖的金融机构的泄露数据如下： 2.3 互联网侧攻击风险 金融行业同样在互联网侧也会遭受各类攻击，这些攻击包括：APT 攻击、供应链攻击、各类恶意软件攻击、区块链攻击以及 DDoS 攻击等。接下来详细分析一下这些互联网侧的攻击风险。 2.3.1 APT 攻击风险 作为黑客组织最容易直接获取经济利益的首选行业，一直以来，不断涌现出专门针对金融行业、仅以获取金钱为目标的攻击组织或团伙。近一年活跃的针对金融行业的 APT 组织攻击活动有： 近年来活跃的主要攻击金融相关行业的黑客组织或团伙有： ▶ FIN7 FIN7 自 2012 年活跃至今，是一个具有俄语背景的出于经济犯罪目的的黑客组织，其主要攻击目标为欧美地区的金融、零售、酒店、餐饮等行业，常在初始感染环节开展精心设计的鱼叉式钓鱼活动。FIN7 在历史攻击活动中展现出对 JavaScript、Powershell 等类型攻击载荷的青睐，而且曾使用 Carbanak 武器库。FIN7 与具有相似背景相同非法敛财目的的 FIN4、FIN5、FIN6、FIN8、FIN10 均存在紧密联系。此外，FIN7自 2020 年以来，转向开展勒索软件业务，Black Basta 勒索团伙还曾使用由 FIN7 组织开发的自定义工具。 ▶ Evilnum Evilnum 从 2018 年起开始活跃，主要针对金融服务公司，且大多数目标都位于欧盟国家和英国，但也有针对澳大利亚和加拿大等国家的袭击，主要目的是获取财务信息。Evilnum 组织在攻击过程中不断构建新的攻击流程，除了常用的钓鱼手段以外，Evilnum 还可通过 NSIS 包装、签名、隐写术等操作实现免杀，最终投递如 AgentVX 在内的木马程序，具有较高的攻击水平。但近一年来其攻击活动有所下降。 ▶ TA505 TA505 是一个经济动机驱使的网络犯罪组织，从 2014 年起就开始大规模活动，它以大量分发银行木马和勒索软件等著称，该组织经常使用 Necurs 僵尸网络来传播他们的大规模垃圾邮件活动。 ▶Water Hydra Water Hydra 是一个以经济利益为驱动的 APT 组织，最早出现于 2021 年，擅长通过窃取目标主机的密码来获取受害者在线账户中存入的资产。其攻击目标是欧洲、亚洲 ( 如韩国和越南 ) 和中东等地区的各类在线交易平台，涵盖加密货币、线上赌场、网络银行、在线信贷等行业，常用攻击手段是水坑攻击和鱼叉式网络钓鱼攻击，代表性攻击工具包括 DarkMe 木马和 WinRAR 漏洞 CVE-2023-38831。 ▶Citrine Sleet Citrine Sleet 是朝鲜黑客 Lazarus 的一个下属组织，至少自 2018 年以来一直活跃，与朝鲜侦察总局 (RGB)关系密切，主要针对金融机构，特别是管理加密货币的组织和个人，旨在获取经济利益。该组织最常使用其开发的独特木马恶意软件 AppleJeus 来感染目标，该恶意软件收集必要的信息以夺取目标加密货币资产的控制权。 ▶Jumpy Pisces Jumpy Pisces( 又名 Andariel、Hidden Cobra、Onyx Sleet)，也是 Lazarus 的下属组织之一，主要进行网络间谍活动，也会进行勒索软件活动。 ▶ Solar Spider Solar Spider 组织主要针对中东、南亚和东南亚的金融机构，也会间歇性地瞄准中亚、欧洲和撒哈拉以南非洲地区的金融实体，常发起以金融为主题的网络钓鱼活动，以传播 JSOutProx RAT。 ▶ 银狐 银狐据称是一个庞大的黑产团伙，主要针对中国的金融、软件信息与技术、政府等领域，其恶意样本最早于 2021 年 5 月活跃，目前的主要传播途径包括：即时通讯工具、搜索引擎，各类社交及应用软件。其攻 击手段多样，钓鱼、水坑、社交工具、木马后门等等，主要利用技术手段则是通过白加黑、公共服务器加载载荷，常用工具为 Gh0st 远控木马。其样本迭代更新迅速，至今已发现百余类变种。所以有研究人员认为银狐不是一个黑产团伙，而是一个成熟的黑产工具，被各大黑产团伙（如游蛇、谷堕大盗、树狼等）所利用。 ▶ 金相狐 金相狐（Golden Physiognomy Fox）于 2024 年 2 月首次被披露，是一个旨在获取经济利益的黑产团伙。该团伙通过将其恶意软件伪装成目标人群所需或使用量大的软件，配合使用社会工程学手段诱导其下载安装金融监控软件，最终窃取受害者的面部生物特征数据，再通过 AI 换脸或合成等技术，实现异地登录受害者金融账户，进而实施转移财产等操作。 随着 APT 组织的不断发展，除了上述专门针对金融相关行业的 APT 组织外，很多组织涉及行业非常广泛，而金融行业只是其中之一。例如来自朝鲜的知名 APT 组织 Kimsuky 和 Lazarus 均涉及对目标国家金融行业的攻击。Kimsuky 的目标主要锁定在韩国，而 Lazarus 多个附属组织均有涉及针对许多国家的金融和加密货币行业的攻击。还有专注哥伦比亚及南美部分地区的盲眼鹰 APT-C-36 组织，该组织主要依靠发送给特定公司的鱼叉式网络钓鱼邮件来开展恶意活动。 2.3.2 恶意软件攻击风险 恶意软件分类较广，其攻击方式也多种多样，这里主要介绍针对金融行业的银行木马攻击、ATM 恶意软件攻击、Web Skimmer 攻击、勒索软件攻击、挖矿软件攻击等主要攻击方式。 A. 银行木马攻击 一直以来，银行木马都是金融业面临的最为严重的威胁之一。银行木马是一种专门针对金融客户的恶意软件，其主要目的是窃取用户的网上银行凭证信息，进而盗取帐户里的资金。银行木马的攻击非常活跃并且版本快速迭代更新，例如像 Zeus、Emotet、Qakbot、Trickbot、等传统银行木马，虽然有的已经退出舞台，但其后续版本不断更新，涌现出很多新的变种。如 Zeus 的继任者 Zloader2 可提供金融相关服务的未经授权的访问等。近期活跃的活动如 Octo 银行木马攻击世界各地金融组织，银行木马 TinyNuke、Mispadu 分别瞄准法国和墨西哥实体企业等。其中，还有一些专门针对安卓系统的银行木马，如 PixPirate 木马以巴西金融机构为目标，安卓银行木马 BRATA 不断升级来强化其数据窃取功能，安卓木马 ERMAC2.0 从 467 个应用程序中窃取账户、数字钱包，Anatsa、Antidot 银行木马通过 Google Play 商店传播感染移动设备等。 B.PoS 和 ATM 恶意软件攻击 Point of Sale（PoS）恶意软件的出现是当消费者从零售商处购买商品或服务时，其交易最初由销售点PoS 系统处理。PoS 系统由硬件（例如用于刷信用卡或借记卡的设备以及连接到它的计算机或移动设备）以及告诉硬件如何处理其捕获的信息的软件组成。近年来，影响 PoS 系统的恶意软件在网络犯罪分子中越来越受欢迎，犯罪分子将物理设备连接到 PoS 系统以收集卡数据，称为盗刷。在其他情况下，该恶意软件还可以通过 RAM 抓取获取卡数据，然后将被盗信息传递给攻击者。这类攻击通过难以修补的传统硬件漏洞和一般的操作系统漏洞相结合，意味着这种特定威胁很常见但难以防御。 ATM 恶意软件指的是可以破坏 ATM 取款机运作的恶意软件。该