网络钓鱼和撞库攻击是金融服务机构和客户的头号威胁

最新《互联网安全状况报告》显示，针对金融服务行业的恶意登录尝试达到35亿次；该报告体现出Akamai对网络威胁独有的可见性

负责提供安全数字化体验的智能边缘平台阿卡迈技术公司（Akamai Technologies, Inc.，以下简称：Akamai）最新发布的《2019年互联网安全状况报告：针对金融服务业的攻击经济》（2019 State of the Internet / Security Financial Services Attack Economy Report）数据显示，在所有受网络钓鱼域影响的企业中，有50%来自金融服务行业。该数据表明，在18个月的时间里，攻击者发起了35亿次攻击尝试，其中他们不仅利用了网络钓鱼攻击，还利用了撞库攻击，使得金融服务行业客户的个人数据和银行信息岌岌可危。

报告显示，从2018年12月2日至2019年5月4日，共有近200000个（准确数字为197524个）网络钓鱼域被检测出来，其中66%的网络钓鱼域直接瞄准消费者。如果仅考虑直接瞄准消费者的网络钓鱼域，这些被网络钓鱼域瞄准的企业有50%来自金融服务行业。

Akamai安全研究员兼《互联网发展状况安全报告》编辑部主任Martin McKeay表示：“我们发现撞库攻击次数在去年直线上升，这在一定程度上是因为针对消费者的网络钓鱼攻击不断增加。犯罪分子通过网络钓鱼攻击对现有的被盗凭据数据加以补充，然后通过劫持帐户或转卖他们创建的列表赚取利益，而这还只是他们赚钱的其中一种方式。我们发现，这已经形成了一条瞄准金融服务机构及其消费者的经济链。”

犯罪分子成功实施犯罪后，他们需要处理非法获得的数据和资金。Akamai报告指出，他们处理这种情况的方法之一是利用“Bank Drops”——这是一种数据包，可用于在特定金融机构进行欺诈性开户。Bank Drops通常包括个人被盗身份（通常被网上的犯罪分子称为“Fullz数据”，其中包括姓名、地址、出生日期、社会保障详细信息、驾照信息和信用评分）。他们通过远程桌面服务器安全访问欺诈帐户，这些服务器与银行的地理位置和“Fullz”数据完全匹配。

金融机构一直在调查犯罪分子开立这些Drop帐户的方式，并想方设法提前发现问题。但是，大多数企业都没有意识到，犯罪分子正在重新利用以前的攻击手段。

Akamai的研究结果表明，在金融服务行业遭受的攻击中，94%的攻击源自以下四种方法之一：SQL注入（SQLi）、本地文件包含（LFI）、跨站点脚本执行（XSS）和OGNL Java注入（在本报告涵盖的时间范围内，攻击者利用此类方法发起了超过800万次攻击尝试）。OGNL Java注入因Apache Struts漏洞而广为人知。在发布补丁程序后数年，依然有攻击者在使用这种方法。

在金融服务行业，犯罪分子已经开始通过发动DDoS攻击，来分散人们对撞库攻击的关注或利用基于Web的漏洞。在18个月的时间里，Akamai发现，仅针对金融服务行业的DDoS攻击就超过了800次。

McKeay坦言：“攻击者瞄准了金融服务机构的薄弱环节，即消费者、Web应用程序和可用性，因为这样他们才能达到目的。企业越来越擅于检测和防御这类攻击，但单点防御注定会以失败告终。企业需要检测、分析和防御使用多种不同类型工具的智能犯罪分子，保护自己的客户。二十多年来，Akamai一直在利用其对所有攻击类型的独一无二的可见性，帮助客户防范这些不断衍变的不法攻击行为。”

犯罪经济之所以愈演愈烈，这在一定程度上是因为犯罪分子瞄准了金融服务行业。例如，瞄准银行后，犯罪分子试图窃取敏感数据，然后使用相同的数据开立虚假帐户并获取信用额度。这是一个持续的犯罪恶性循环。犯罪分子将他们赖以生存的行业当做攻击目标，这真的很讽刺。虽然金融机构越来越擅长检测这些攻击，但攻击者仍然在故伎重演寻找成功发动攻击的机会，这成为了个问题。