2018年金融信息安全发展趋势
2018-03-21谭军
■谭军
2018年信息安全形势将会对金融信息安全发展趋势产生什么样的影响?对于互联网金融信息安全影响又是怎样的,卡巴Securelist实验室从2017金融行业信息安全事件中预测,2018金融信息安全将会有如下趋势:
通过金融系统基础的区块链技术发动攻击;
金融领域出现更多的供应链攻击;
社交媒体入侵和操纵,通过证券/密码交换交易来获利;
.ATM恶意软件自动化;
对加密货币交易平台的攻击增多;
由于2017年的大量数据泄露,传统银行卡诈骗将会激增;
国家组织支持的、针对金融机构的APT攻击增多;
移动金融:传统的、面向个人电脑的网上银行木马数量下降。移动银行新用户将会成为犯罪分子新的主要目标。
一、2017金融行业信息安全事件
2017年是金融机构所面临网络威胁世界发生重大变化的一年。
首先,在2017年,我们见证了针对运行SWIFT——世界金融生态系统基本组成部分——系统持续的网络攻击。利用金融机构中的恶意软件,攻击者能够操纵负责跨境交易的应用程序,从而能从世界上任何金融组织中提取资金。这是因为SWIFT软件使用统一标准,并且金融市场几乎所有主要的参与者都使用了它。这些攻击的受害者包括世界各地十余个国家的多家银行。
其次,我们在2017年见证了,网络犯罪分子一直试图渗透的金融机构的范围有了显著地扩张。各种不同的网络犯罪团体渗透到银行基础设施、电子货币系统、加密货币交易所、资本管理基金、甚至赌场。他们的主要目的就是提取非常大额的资金。
攻击者依赖经过考验的网络访问货币化方案,来完成他们的网络犯罪活动。除了对SWIFT系统的攻击,网络犯罪分子还积极利用ATM感染(这些ATM位于金融机构自身网络、远程银行系统、POS终端网络),并篡改银行的数据库来“玩”银行卡余额。
ATM攻击值得单独提一提。这类抢劫行为变得如此流行,以致2017年见证了第一例ATM恶意软件即服务(malware-as-a-service):网络犯罪分子在地下论坛提供获得ATM访问权限所必需的恶意程序和视频指导。服务购买者只需要选择一台ATM,根据指导打开它,向服务提供者付费以激活ATM上的恶意程序。然后,提款就开始了。这样的计划大大提高了网络犯罪分子的数量,甚至让非专业人士也可以实施网络犯罪。
我们看到劫持银行域名从而对银行客户电子业务操作的拦截。因此,客户无法访问银行真正的基础设施,而只能访问入侵者伪造的基础设施。因此,在持续数个小时的时间内,犯罪分子可以进行钓鱼攻击、植入恶意代码,并能够使用网上银行客户正在使用的业务。
值得注意的是,在一些国家,银行已经忘记了最“不重要的东西”——物理安全。这让攻击银行的金融资产成为可能。在某些情况下,这是因为攻击者能够轻易接触到电缆线路,然后连接超小型电脑设备(RaspberryPi)。在几个月的时间里,这些设备被动地收集关于银行网络的信息,并通过LTE连接将截获的数据发送到入侵者的服务器。
二、2018金融信息安全发展趋势预测
1.通过金融系统基础的区块链技术发动攻击
世界上几乎所有大型金融机构都在积极投资区块链的系统。任何新技术都拥有其优点,但也会带来一些新的风险。基于区块链的金融系统并不是独立存在的,因此攻击者可以利用区块链实施中的漏洞和错误来赚钱并破坏金融机构的工作。例如,2016至2017年间,在智能合同中发现了一些漏洞和错误,而金融机构已经基于这些智能合同建立了一些业务。
2.金融领域出现更多的供应链攻击
大型金融机构在网络安全方面投入了大量的资源,因此,渗透他们的基础设施并不容易。但是,网络犯罪分子在即将到来的一年很可能采用的威胁方式是,对金融机构的软件供应商进行攻击。在大多数情况下,这些供应商的安防水平比金融机构自身的水平低。去年,我们见证了一些这样的攻击,包括对于NetSarang、CCleaner和MeDoc的攻击。正如我们所见,攻击者替换或篡改了不同类型软件的更新。2018年,我们能预见网络犯罪分子通过专门为金融机构设计的软件,包括为ATM和POS终端设计的软件,来发动攻击。几个月前,我们记录了这类攻击的第一次尝试:攻击者在固件安装文件中植入了一个恶意模块,并将安装文件放到了一个美国ATM软件供应商的官方网站上。
3.社交媒体(通常包括推特账号、Facebook网页、Telegram等)入侵和操纵,通过证券/密码交换交易来获利
2017将被记为“假新闻”年。除了舆论操纵之外,这个名词也意味着一种不诚实的赚钱方式。虽然证券交易大部分由机器人完成,它们操作用于进行某些交易的原始数据,但假新闻也能导致商品价格、金融工具和加密货币价格发生巨大的变化。事实上,意见领袖的一条推特,或者虚假账号在社交网络上制造的一波消息,就可以推动市场。入侵者肯定将会使用这一方法。用这种方法,几乎不可能找出那个推动攻击发起的受益人。
4.ATM恶意软件自动化
第一个ATM恶意软件出现在2009年。从那时起,ATM设备一直受到网络欺诈者的关注。这种攻击一直在持续演变。过去一年见证了ATM恶意软件即服务(Malware-as-a-service)的出现,而下一步就是这类攻击的完全自动化——微型计算机将自动连接到ATM,导致恶意软件安装和吐钞或者卡数据收集。这将缩短入侵者实施犯罪的时间。
5.对加密货币交易平台的攻击增多
在过去的一年,加密货币吸引了大量的投资者,反过来又导致了各种硬币和代币交易业务的蓬勃发展。网络安全保障高度发达的金融市场传统玩家并没有急于进入这一领域。
这种情况为攻击者攻击加密货币交易提供了完美的机会。一方面,新公司未设法正确测试他们的安全系统。另一方面,从技术上说,整个加密货币交易业务都建立在众所周知的原则和技术之上。因此,攻击者了解并拥有必要的工具来渗透使用加密货币的新站点和新服务的基础设施。
6.由于大量数据泄露,传统银行卡诈骗将会激增
大规模私人数据泄露事件,导致传统的银行安全措施严重失效,因为这些措施基于对当前或潜在客户的数据分析。这些事件包括最近发生的Equifax事件,导致超过1.4亿美国居民的数据被泄露给网络犯罪分子;以及Uber事件,导致另外5700万客户的数据被泄露。
例如,攻击者了解受害人详细的个人数据之后,可以假冒银行客户并提取受害者的钱或者安全信息;而对涉事银行来说,攻击者的请求看起来是合法的。因此,新的一年传统诈骗方案的高峰可能会成为一个标记,机构多年来收集(但未正确保护)的客户数据,将帮助攻击者成功实施他们的诈骗计划。
7.国家组织支持的、针对金融机构的APT攻击增多
臭名昭著的拉撒路集团(Lazarusgroup)很可能是某政府资助的,在过去几年已经袭击了世界各地的银行,包括拉美、欧洲、亚洲和大洋洲的银行。他们的主要目的是提取大笔资金,总额达数亿美元。另外,影子经纪人(ShadowBrokers)公布的数据显示,政府赞助的、经验丰富的APT组织正在瞄准金融机构,以更多的了解现金流。新的一年很可能发生的是,新加入网络间谍行动的国家APT组织也会采用这一方式——既能赚钱又能获取信息。
8.移动金融:传统的、面向个人电脑的网上银行木马数量下降,移动银行新用户将会成为犯罪分子新的主要目标
数字银行将继续在全球范围内,特别是在新兴市场,彻底革新金融业。例如,在巴西和墨西哥,这些银行势头越来越猛,并且当然地吸引了网络犯罪分子的注意。我们相信在网络犯罪世界,将会看到越来越多针对这些银行和其客户的攻击。这些银行的主要特点是完全没有分支机构和传统客户业务,银行和客户间的所有沟通实际上都发生在移动APP上。
这可能有几个“喉痛”。首先,通过传统互联网银行窃取现金的Windows木马将会减少。其次,数字金融机构数量的增长将会导致其用户的增长,而这些用户是网络犯罪分子容易攻击的目标。没有任何移动银行业务经验的人在移动设备上装有银行APP,这些人会成为恶意软件(比如Svpeng)攻击和完全基于社会工程的攻击的主要目标,说服客户通过移动应用程序转账,比强迫他们到实体银行柜台转账要容易得多。
三、金融信息安全结论
在过去几年中,对金融机构的攻击数量和质量在持续提高。这些攻击恰恰是针对机构的基础设施和员工,而不是针对客户的攻击。那些还没考虑网络安全的金融机构,将很快面临黑客攻击的恶果。这些恶果与银行业务的发展将完全不相容,它们会导致业务完全停顿,以及最大程度的损失。
为防止这种情况发生,有必要不断调整安全系统,以适应新的威胁。如果不分析关于瞄准金融机构的、最重要和最相关的网络攻击的数据和信息,这种调整是不可能的。
防范攻击的有效方法是,让银行选择合适的安全解决方案,并采用有针对性的威胁情报报告。因为这些报告包含必须立即落实到整个系统信息保护。例如,使用YARA规则和入侵指标(indicatorsof compromise,IOC),将在未来几个月对金融机构变得至关重要。