2017年無疑是金融機(jī)構(gòu)所面臨的網(wǎng)絡(luò)威脅世界發(fā)生重大變化的一年，惡意攻擊者隊(duì)伍不斷壯大、攻擊方式的多樣性，這給2018年的金融行業(yè)帶來哪些考驗(yàn)與啟示？

2017年度，全球十余個國家的多家銀行機(jī)構(gòu)使用的SWIFT（銀行結(jié)算系統(tǒng)）陸續(xù)遭到網(wǎng)絡(luò)攻擊，此類系統(tǒng)正是全球金融生態(tài)系統(tǒng)的基礎(chǔ)。攻擊者能夠利用金融機(jī)構(gòu)內(nèi)部的惡意軟件操縱處理跨境交易的應(yīng)用程序，之后可在全球任意金融機(jī)構(gòu)處提取資金。

其次，2017年網(wǎng)絡(luò)犯罪分子一直試圖滲透金融機(jī)構(gòu)，且惡意活動顯著擴(kuò)張。不同的網(wǎng)絡(luò)犯罪組織正大量入侵銀行基礎(chǔ)設(shè)施、電子貨幣系統(tǒng)、加密貨幣交易所、資本管理基金甚至是賭場，并希望借此獲取數(shù)額可觀的資金。

為了實(shí)施上述網(wǎng)絡(luò)犯罪活動，攻擊者們傾向于采用成熟的貨幣化網(wǎng)絡(luò)入侵手段。除了攻擊SWIFT（銀行結(jié)算系統(tǒng)）之外，網(wǎng)絡(luò)犯罪分子們還一直在積極利用ATM感染（包括金融機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)中的ATM設(shè)備），遠(yuǎn)程銀行系統(tǒng)、PoS終端網(wǎng)絡(luò)以及變更銀行數(shù)據(jù)庫內(nèi)余額數(shù)據(jù)等方法。

網(wǎng)絡(luò)犯罪分子逐漸熱衷于使用劫持銀行域名的方式對銀行客戶的電子業(yè)務(wù)進(jìn)行攔截。通過這種方式，客戶無法訪問銀行的系統(tǒng)，而是被重新定向至入侵者創(chuàng)建的虛假系統(tǒng)。犯罪分子能夠在數(shù)小時內(nèi)陸續(xù)完成釣魚攻擊，安裝惡意代碼、并干擾在線網(wǎng)銀客戶等操作。

在某些國家，銀行機(jī)構(gòu)對于物理安全的重視程度持續(xù)走低，這也是導(dǎo)致金融資產(chǎn)易遭受各類攻擊的原因之一。具體來講，由于攻擊者能夠輕松訪問相關(guān)設(shè)備的電纜線路，并接入小型Raspberry Pi設(shè)備，數(shù)個月之后這些小裝置將能夠收集到大量與銀行網(wǎng)絡(luò)相關(guān)的信息，并通過LTE連接將截獲的數(shù)據(jù)發(fā)送至入侵者的服務(wù)器端。

· 通過金融系統(tǒng)的底層區(qū)塊鏈技術(shù)實(shí)施攻擊

全球范圍內(nèi)幾乎所有大型金融機(jī)構(gòu)都在積極投資構(gòu)建基于區(qū)塊鏈技術(shù)的系統(tǒng)。任何新興技術(shù)都擁有顯著的優(yōu)點(diǎn)，但也會帶來某些新的風(fēng)險(xiǎn)。基于區(qū)塊鏈技術(shù)的金融系統(tǒng)并非完美，事實(shí)上區(qū)塊鏈體系中的漏洞與錯誤很可能給攻擊者帶來可乘之機(jī)，甚至破壞金融機(jī)構(gòu)的工作成果。舉例來說，2016年到2017年之間，智能合約中就被發(fā)現(xiàn)存在一系列漏洞與錯誤，并影響到以此為基礎(chǔ)建立的部分金融服務(wù)。

　　· 金融領(lǐng)域將出現(xiàn)更多供應(yīng)鏈攻擊

大型金融機(jī)構(gòu)在網(wǎng)絡(luò)安全方面投入了大量資源，因此對基礎(chǔ)設(shè)施進(jìn)行滲透絕非易事。然而，未來一年內(nèi)，網(wǎng)絡(luò)犯罪分子可能會積極利用威脅向量對“為金融機(jī)構(gòu)提供軟件”的廠商發(fā)動攻擊。與金融機(jī)構(gòu)本身相比，這些軟件供應(yīng)商的自我保護(hù)能力大多相對較低。去年，此類攻擊就讓NetSarang、CCleaner以及MeDoc等成為受害者，攻擊者對各類軟件的更新補(bǔ)丁進(jìn)行了替換或篡改。

在接下來的一年中，網(wǎng)絡(luò)犯罪分子還將針對金融機(jī)構(gòu)專用軟件（ATM與PoS終端軟件）發(fā)動更多攻擊。幾個月前，首例此類攻擊嘗試被發(fā)現(xiàn)——攻擊者將一個惡意模塊嵌入至固件安裝文件，并將其放置在美國某ATM軟件供應(yīng)商的官方網(wǎng)站上。

· 入侵并篡改大眾傳媒，獲取經(jīng)濟(jì)回報(bào)

2017年被稱為“假新聞”年。攻擊者入侵并篡改Twitter帳戶、Facebook頁面、Telegram等等大眾傳媒操縱輿論，甚至靠說謊賺錢，通過股票/加密貨幣交易獲取經(jīng)濟(jì)回報(bào)。

盡管證券交易大部分由負(fù)責(zé)操縱源數(shù)據(jù)的機(jī)器人進(jìn)行，且此類數(shù)據(jù)僅被單純用于執(zhí)行某些交易操作，但它有能力引發(fā)貨物、金融工具以及加密貨幣在價(jià)格層面的巨大變化。事實(shí)上，名人發(fā)布的一條推文或者是社交網(wǎng)絡(luò)上由大量假帳號放出的一波消息都有可能左右市場行情。相信入侵者們肯定會采取這樣的方法。如此一來，安全專家?guī)缀醪豢赡軓膮⑴c攻擊的帳戶中找到誰才是實(shí)際受益者。

　　· ATM惡意軟件自動化

首例面向ATM設(shè)備的惡意軟件始于2009年，那之后，此類設(shè)備一直受到網(wǎng)絡(luò)詐騙分子的高度關(guān)注，而相關(guān)攻擊手段也一直不斷演變。這類行為在2017年變得極為受歡迎，甚至出現(xiàn)了首個針對ATM的MaaS(惡意軟件即服務(wù))：

網(wǎng)絡(luò)犯罪分子在地下論壇可提供一切必要的惡意程序與視頻教程; 而購買者只需要選擇目標(biāo)ATM設(shè)備，按照說明進(jìn)行操作，向網(wǎng)絡(luò)犯罪分子付費(fèi)以激活A(yù)TM上的惡意程序，而后即可開始取款。此類服務(wù)的出現(xiàn)大大增加了網(wǎng)絡(luò)犯罪分子的數(shù)量，甚至使得非技術(shù)專業(yè)人士也能夠?qū)嵤┚W(wǎng)絡(luò)犯罪。

ATM MaaS的出現(xiàn)意味著這類攻擊將逐步實(shí)現(xiàn)全面自動化——微型計(jì)算機(jī)將自動接入自動取款機(jī)，進(jìn)而實(shí)施惡意軟件安裝及吐鈔操作——或者收集卡內(nèi)數(shù)據(jù)。這將大大縮短入侵者實(shí)施犯罪所需要的時間。

· 更多攻擊指向加密貨幣交易平臺

過去一年中，加密貨幣吸引到大量投資者，這又反過來推動各類虛擬幣與代幣交易呈現(xiàn)出蓬勃發(fā)展的態(tài)勢。不過擁有強(qiáng)大網(wǎng)絡(luò)安全保障能力的傳統(tǒng)金融機(jī)構(gòu)，卻并未急于殺入這一領(lǐng)域。

這種狀況為攻擊者們破壞加密貨幣交易流程帶來了理想的機(jī)會。一方面，新興企業(yè)很難正確測試其安全系統(tǒng)。另一方面，從技術(shù)角度講，整體加密貨幣交易業(yè)務(wù)建立在眾所周知的原則與技術(shù)基礎(chǔ)之上。因此，攻擊者很清楚而且能夠輕松獲取到足以滲透至加密貨幣服務(wù)站點(diǎn)的必要工具。

· 隨著前一年大量數(shù)據(jù)泄露事故的出現(xiàn)，2018年傳統(tǒng)銀行卡欺詐活動將迅速增加

2017年發(fā)生了一系列數(shù)據(jù)泄露事件——包括最近剛剛發(fā)生的、導(dǎo)致超過1.4億美國民眾數(shù)據(jù)泄露的Equifax案，以及造成5700萬客戶數(shù)據(jù)曝光的Uber案——這些都表現(xiàn)出傳統(tǒng)銀行業(yè)在安全方面的不足，因?yàn)樾孤抖际腔趯Ξ?dāng)前或潛在客戶的數(shù)據(jù)分析。

舉例來說，攻擊者可以利用其中包含的受害者個人信息偽造銀行客戶身份，從而要求銀行提供資金轉(zhuǎn)移或者安全信息提示。正因?yàn)槿绱耍?018年很可能迎來新一波傳統(tǒng)欺詐活動高峰，而各企業(yè)多年來收集（但未加以妥善保護(hù)）的客戶大數(shù)據(jù)將幫助攻擊者順利完成其欺詐活動。

· 更多民族國家支持型攻擊將降臨至金融機(jī)構(gòu)頭上

臭名昭著的拉扎魯斯集團(tuán)，其后可能有朝鮮支持，它近年來先后對世界范圍內(nèi)多家銀行施以攻擊——包括位于南美洲、歐洲、亞洲以及大洋洲的銀行機(jī)構(gòu)。其主要目標(biāo)在于竊取大筆資金，總金額已達(dá)數(shù)億美元。此外，由“影子經(jīng)紀(jì)人”方面發(fā)布的數(shù)據(jù)顯示，經(jīng)驗(yàn)豐富的國家支持型APT組織也在將矛頭指向金融機(jī)構(gòu)，以便進(jìn)一步把握資金的流向。明年很可能會有更多剛剛加入網(wǎng)絡(luò)間諜“競賽”的國家要求其APT組織同樣以金融機(jī)構(gòu)攻擊作為起點(diǎn)——既能賺錢又可獲取客戶信息、了解資金流向及金融機(jī)構(gòu)內(nèi)部程序，何樂而不為？

· 金融科技登場與純移動端用戶：傳統(tǒng)PC端網(wǎng)上銀行木馬的數(shù)量有所下降; 新興移動端銀行用戶將成為犯罪分子的首選攻擊目標(biāo)。

數(shù)字銀行將繼續(xù)在全球范圍內(nèi)，特別是在新興市場當(dāng)中徹底顛覆原有金融行業(yè)。以巴西與墨西哥為例，此類銀行服務(wù)正快速發(fā)展，這當(dāng)然引起了網(wǎng)絡(luò)犯罪分子的關(guān)注。網(wǎng)絡(luò)犯罪分子將越來越多地襲擊此類銀行及其客戶。此類金融機(jī)構(gòu)的特點(diǎn)在于，其完全不具備分支機(jī)構(gòu)以及傳統(tǒng)的客戶服務(wù)體系。銀行與客戶之間的所有溝通實(shí)際上都是通過移動應(yīng)用進(jìn)行的。這可能引發(fā)以下幾種后果：

首先是Windows木馬數(shù)量的減少，這意味著攻擊者不再以傳統(tǒng)網(wǎng)上銀行作為資金竊取的首選目標(biāo)。

其次，數(shù)字金融機(jī)構(gòu)數(shù)量的持續(xù)增加將給網(wǎng)絡(luò)犯罪分子帶來更多可作為目標(biāo)的用戶群體——特別是其中并不具備移動銀行業(yè)務(wù)使用經(jīng)驗(yàn)，但卻在移動設(shè)備上安裝有銀行應(yīng)用的用戶。這些人很可能成為Svpeng等社交工程類惡意軟件的主要攻擊對象。而且說服客戶通過移動應(yīng)用進(jìn)行轉(zhuǎn)賬，要比強(qiáng)迫其前往實(shí)體銀行執(zhí)行轉(zhuǎn)賬操作容易得多。

在過去幾年中，針對金融機(jī)構(gòu)的攻擊活動在數(shù)量與質(zhì)量層面皆在不斷提升。更具體地講，這些攻擊專門針對金融機(jī)構(gòu)的基礎(chǔ)設(shè)施及其員工，而非以其客戶為目標(biāo)。

尚未將網(wǎng)絡(luò)安全納入考量的各金融機(jī)構(gòu)也將很快看到黑客攻擊的后果，而這些后果將對其業(yè)務(wù)造成嚴(yán)重的負(fù)面影響，甚至導(dǎo)致業(yè)務(wù)完全停滯以及大額經(jīng)濟(jì)損失。

為了防止此類情況的發(fā)生，各金融機(jī)構(gòu)有必要不斷調(diào)整自身安全系統(tǒng)，從而適應(yīng)新的威脅與挑戰(zhàn)。而這一切的基礎(chǔ)，無疑在于對最重要且關(guān)聯(lián)性最強(qiáng)的網(wǎng)絡(luò)攻擊數(shù)據(jù)與信息作出分析——否則保護(hù)工作將無從談起。

要做到有效防范，不但要選擇正確的安全方案，還應(yīng)采用專門的攻擊情報(bào)報(bào)告機(jī)制，因?yàn)榇祟惽閳?bào)中包含有可立刻部署至整個保護(hù)系統(tǒng)中的信息。舉例來說，在未來幾個月中，采用YARA規(guī)則與IOC（即違規(guī)指標(biāo)）將成為金融機(jī)構(gòu)必須重視的一大關(guān)鍵性任務(wù)。