2018年金融信息安全發展趨勢

■譚軍

2018年信息安全形勢將會對金融信息安全發展趨勢產生什么樣的影響？對于互聯網金融信息安全影響又是怎樣的，卡巴Securelist實驗室從2017金融行業信息安全事件中預測，2018金融信息安全將會有如下趨勢：

通過金融系統基礎的區塊鏈技術發動攻擊；

金融領域出現更多的供應鏈攻擊；

社交媒體入侵和操縱，通過證券/密碼交換交易來獲利；

.ATM惡意軟件自動化；

對加密貨幣交易平臺的攻擊增多；

由于2017年的大量數據泄露，傳統銀行卡詐騙將會激增；

國家組織支持的、針對金融機構的APT攻擊增多；

移動金融：傳統的、面向個人電腦的網上銀行木馬數量下降。移動銀行新用戶將會成為犯罪分子新的主要目標。

一、2017金融行業信息安全事件

2017年是金融機構所面臨網絡威脅世界發生重大變化的一年。

首先，在2017年，我們見證了針對運行SWIFT——世界金融生態系統基本組成部分——系統持續的網絡攻擊。利用金融機構中的惡意軟件，攻擊者能夠操縱負責跨境交易的應用程序，從而能從世界上任何金融組織中提取資金。這是因為SWIFT軟件使用統一標準，并且金融市場幾乎所有主要的參與者都使用了它。這些攻擊的受害者包括世界各地十余個國家的多家銀行。

其次，我們在2017年見證了，網絡犯罪分子一直試圖滲透的金融機構的范圍有了顯著地擴張。各種不同的網絡犯罪團體滲透到銀行基礎設施、電子貨幣系統、加密貨幣交易所、資本管理基金、甚至賭場。他們的主要目的就是提取非常大額的資金。

攻擊者依賴經過考驗的網絡訪問貨幣化方案，來完成他們的網絡犯罪活動。除了對SWIFT系統的攻擊，網絡犯罪分子還積極利用ATM感染（這些ATM位于金融機構自身網絡、遠程銀行系統、POS終端網絡），并篡改銀行的數據庫來“玩”銀行卡余額。

ATM攻擊值得單獨提一提。這類搶劫行為變得如此流行，以致2017年見證了第一例ATM惡意軟件即服務（malware-as-a-service）：網絡犯罪分子在地下論壇提供獲得ATM訪問權限所必需的惡意程序和視頻指導。服務購買者只需要選擇一臺ATM，根據指導打開它，向服務提供者付費以激活ATM上的惡意程序。然后，提款就開始了。這樣的計劃大大提高了網絡犯罪分子的數量，甚至讓非專業人士也可以實施網絡犯罪。

我們看到劫持銀行域名從而對銀行客戶電子業務操作的攔截。因此，客戶無法訪問銀行真正的基礎設施，而只能訪問入侵者偽造的基礎設施。因此，在持續數個小時的時間內，犯罪分子可以進行釣魚攻擊、植入惡意代碼，并能夠使用網上銀行客戶正在使用的業務。

值得注意的是，在一些國家，銀行已經忘記了最“不重要的東西”——物理安全。這讓攻擊銀行的金融資產成為可能。在某些情況下，這是因為攻擊者能夠輕易接觸到電纜線路，然后連接超小型電腦設備（RaspberryPi）。在幾個月的時間里，這些設備被動地收集關于銀行網絡的信息，并通過LTE連接將截獲的數據發送到入侵者的服務器。

二、2018金融信息安全發展趨勢預測

1.通過金融系統基礎的區塊鏈技術發動攻擊

世界上幾乎所有大型金融機構都在積極投資區塊鏈的系統。任何新技術都擁有其優點，但也會帶來一些新的風險。基于區塊鏈的金融系統并不是獨立存在的，因此攻擊者可以利用區塊鏈實施中的漏洞和錯誤來賺錢并破壞金融機構的工作。例如，2016至2017年間，在智能合同中發現了一些漏洞和錯誤，而金融機構已經基于這些智能合同建立了一些業務。

2.金融領域出現更多的供應鏈攻擊

大型金融機構在網絡安全方面投入了大量的資源，因此，滲透他們的基礎設施并不容易。但是，網絡犯罪分子在即將到來的一年很可能采用的威脅方式是，對金融機構的軟件供應商進行攻擊。在大多數情況下，這些供應商的安防水平比金融機構自身的水平低。去年，我們見證了一些這樣的攻擊，包括對于NetSarang、CCleaner和MeDoc的攻擊。正如我們所見，攻擊者替換或篡改了不同類型軟件的更新。2018年，我們能預見網絡犯罪分子通過專門為金融機構設計的軟件，包括為ATM和POS終端設計的軟件，來發動攻擊。幾個月前，我們記錄了這類攻擊的第一次嘗試：攻擊者在固件安裝文件中植入了一個惡意模塊，并將安裝文件放到了一個美國ATM軟件供應商的官方網站上。

3.社交媒體（通常包括推特賬號、Facebook網頁、Telegram等）入侵和操縱，通過證券/密碼交換交易來獲利

2017將被記為“假新聞”年。除了輿論操縱之外，這個名詞也意味著一種不誠實的賺錢方式。雖然證券交易大部分由機器人完成，它們操作用于進行某些交易的原始數據，但假新聞也能導致商品價格、金融工具和加密貨幣價格發生巨大的變化。事實上，意見領袖的一條推特，或者虛假賬號在社交網絡上制造的一波消息，就可以推動市場。入侵者肯定將會使用這一方法。用這種方法，幾乎不可能找出那個推動攻擊發起的受益人。

4.ATM惡意軟件自動化

第一個ATM惡意軟件出現在2009年。從那時起，ATM設備一直受到網絡欺詐者的關注。這種攻擊一直在持續演變。過去一年見證了ATM惡意軟件即服務（Malware-as-a-service）的出現，而下一步就是這類攻擊的完全自動化——微型計算機將自動連接到ATM，導致惡意軟件安裝和吐鈔或者卡數據收集。這將縮短入侵者實施犯罪的時間。

5.對加密貨幣交易平臺的攻擊增多

在過去的一年，加密貨幣吸引了大量的投資者，反過來又導致了各種硬幣和代幣交易業務的蓬勃發展。網絡安全保障高度發達的金融市場傳統玩家并沒有急于進入這一領域。

這種情況為攻擊者攻擊加密貨幣交易提供了完美的機會。一方面，新公司未設法正確測試他們的安全系統。另一方面，從技術上說，整個加密貨幣交易業務都建立在眾所周知的原則和技術之上。因此，攻擊者了解并擁有必要的工具來滲透使用加密貨幣的新站點和新服務的基礎設施。

6.由于大量數據泄露，傳統銀行卡詐騙將會激增

大規模私人數據泄露事件，導致傳統的銀行安全措施嚴重失效，因為這些措施基于對當前或潛在客戶的數據分析。這些事件包括最近發生的Equifax事件，導致超過1.4億美國居民的數據被泄露給網絡犯罪分子；以及Uber事件，導致另外5700萬客戶的數據被泄露。

例如，攻擊者了解受害人詳細的個人數據之后，可以假冒銀行客戶并提取受害者的錢或者安全信息；而對涉事銀行來說，攻擊者的請求看起來是合法的。因此，新的一年傳統詐騙方案的高峰可能會成為一個標記，機構多年來收集（但未正確保護）的客戶數據，將幫助攻擊者成功實施他們的詐騙計劃。

7.國家組織支持的、針對金融機構的APT攻擊增多

臭名昭著的拉撒路集團（Lazarusgroup）很可能是某政府資助的，在過去幾年已經襲擊了世界各地的銀行，包括拉美、歐洲、亞洲和大洋洲的銀行。他們的主要目的是提取大筆資金，總額達數億美元。另外，影子經紀人（ShadowBrokers）公布的數據顯示，政府贊助的、經驗豐富的APT組織正在瞄準金融機構，以更多的了解現金流。新的一年很可能發生的是，新加入網絡間諜行動的國家APT組織也會采用這一方式——既能賺錢又能獲取信息。

8.移動金融：傳統的、面向個人電腦的網上銀行木馬數量下降，移動銀行新用戶將會成為犯罪分子新的主要目標

數字銀行將繼續在全球范圍內，特別是在新興市場，徹底革新金融業。例如，在巴西和墨西哥，這些銀行勢頭越來越猛，并且當然地吸引了網絡犯罪分子的注意。我們相信在網絡犯罪世界，將會看到越來越多針對這些銀行和其客戶的攻擊。這些銀行的主要特點是完全沒有分支機構和傳統客戶業務，銀行和客戶間的所有溝通實際上都發生在移動APP上。

這可能有幾個“喉痛”。首先，通過傳統互聯網銀行竊取現金的Windows木馬將會減少。其次，數字金融機構數量的增長將會導致其用戶的增長，而這些用戶是網絡犯罪分子容易攻擊的目標。沒有任何移動銀行業務經驗的人在移動設備上裝有銀行APP，這些人會成為惡意軟件（比如Svpeng）攻擊和完全基于社會工程的攻擊的主要目標，說服客戶通過移動應用程序轉賬，比強迫他們到實體銀行柜臺轉賬要容易得多。

三、金融信息安全結論

在過去幾年中，對金融機構的攻擊數量和質量在持續提高。這些攻擊恰恰是針對機構的基礎設施和員工，而不是針對客戶的攻擊。那些還沒考慮網絡安全的金融機構，將很快面臨黑客攻擊的惡果。這些惡果與銀行業務的發展將完全不相容，它們會導致業務完全停頓，以及最大程度的損失。

為防止這種情況發生，有必要不斷調整安全系統，以適應新的威脅。如果不分析關于瞄準金融機構的、最重要和最相關的網絡攻擊的數據和信息，這種調整是不可能的。

防范攻擊的有效方法是，讓銀行選擇合適的安全解決方案，并采用有針對性的威脅情報報告。因為這些報告包含必須立即落實到整個系統信息保護。例如，使用YARA規則和入侵指標（indicatorsof compromise，IOC），將在未來幾個月對金融機構變得至關重要。