请随时准备好，大规模网络攻击随时到来

别说我没提醒各位啊！就在这个月月初，美国联邦调查局当时还专门给全球各大银行发布了一条警告，大致内容是“网络犯罪分子正在计划对全球范围内的ATM机进行一次大规模网络攻击”。就在三天之后，印度银行的ATM服务器上就出现了恶意软件，在此次攻击中，攻击者成功从该银行遍布全球的ATM机中非法提现了数百万美元。这件事情绝对需要引起各行各业的注意，因为当这样的事情即将发生在自己身上时，其实我们是没有多少时间去做准备的。这就好比你收到警报称“龙卷风还有30分钟“抵达战场”，这个时候你再去存储粮食和水，然后加固房屋的话，一切都太晚了。

这也是我写这篇文章的原因，因为在攻击真正发生之前，我们需要有一套完整的机制来处理网络攻击或数字欺诈。虽然我们无法完全阻止网络犯罪事件的发生，但是我们可以增加自己在网络安全事件中的“存活几率”，并降低事件所带来的影响。我们无法预知接下来将要发生的网络攻击类型（虽然针对印度银行ATM机的攻击早在2013年-2017年就已经发生过了，即臭名昭著的Carbanak和Cobalt恶意软件攻击），但无论网络攻击如何进化和发展，我们总有办法去降低这些攻击所带来的影响。

下面是我们提供给广大金融机构和客户的十种防范措施（建议）

一、从多个角度评价当前的防攻击/欺诈策略

从目前的网络技术发展状况来看，有效的防攻击/欺诈策略必须要扩展至组织的所有线上及线下渠道，对于金融机构来说，还包括无卡支付、电话帮助中心、ATM、移动端环境和云环境。之所以要覆盖所有渠道，是因为如果组织的整个运营机制的某个环节出现了问题，那么攻击者就能够利用其中一个渠道来攻击整个系统中的其他部分，并导致更严重的事情发生。这也就是我们为什么需要部署一个能够覆盖组织全渠道的防攻击/欺诈策略了，这一点非常关键，任何一个环节的疏漏都将导致你“全盘皆输”。

二、监控！监控！监控！

重要的事情说三遍，在之前的ATM攻击事件中，美国联邦调查局一直强调银行需要对ATM的所有相关活动进行监控，但我们认为组织需要把监控对象的范围扩大化，即监控组织内所有的数字渠道，拿ATM机攻击事件来举个例子，各大金融机构和组织应该持续监控的东西有：

1.远程网络协议以及管理员工具的使用情况，因为在网络犯罪活动中，攻击者往往需要使用这些工具来入侵/访问组织的网络系统。

2.通过非标准端口传输的加密网络通信数据。

3.原本不应该向外传输的网络通信数据。

三、在第一时间收到事件通知

确保组织的安全管理人员能够在第一时间收到：

1.潜在的欺诈行为指标，例如不正常的取款交易等等，这个可以通过ATM系统中的网络请求处理频率的变化来判断。

2.金融机构的ATM对其他发卡行的取款限制是否发生变化。

3.网络通信数据中的威胁指标，包括已知的安全威胁情报。

四、禁用ATM的PIN码修改功能

建议各大金融机构禁用ATM的PIN码修改功能，监控电话服务中心的PIN码修改请求，以及其他非金融事件的修改请求，例如客户手机号码和家庭住址等信息的修改。

五、更新ATM的操作系统

从技术角度出发，在2020年Windows 7彻底“挂掉”之前，银行是不需要将ATM机的操作系统更新至Windows 10的。但是等到“最后一刻”才更新系统的这种行为会放大整个系统所面临的安全风险，因为此时的系统中可能存在着各种各样已过期的软件，而这些软件会给攻击者提供可乘之机。由于缺乏定期的安全更新补丁，以及运行大量不受服务支持的软件，ATM机将无法有效抵御新型恶意软件的攻击。

六、针对芯片卡交易部署EMV终端

在ATM取款欺诈活动中，攻击者首先需要盗窃目标用户的支付卡数据，然后将数据复制到其他的芯片卡上，并用伪造的支付卡进行违规取款，但是克隆一张芯片卡，还是比较困难的。ATM行业协会将EMV技术称为了行业内针对伪造卡片的主要保护手段。

从客户的角度出发，金融机构应该鼓励广大用户去做以下几件事：

七、申请交易提醒

当客户的支付卡进行了交易之后，用户应该立即收到交易提醒。

八、定期查看卡片的日提款限额

定期查看卡片的日提款限额，以便在第一时间发现异常。

九、检查在线账号

定期检查在线账号的交易情况，及时上报可疑的交易活动。

十、定期修改密码

定期修改支付卡和在线账号的密码，将卡片遗失的损失降到最低。

后话

请大家记住，金融欺诈这个生态系统的规模每天都在壮大，复杂性也在不断增加。无论下一轮大规模的网络攻击活动何时到来，我们都应该随时准备着，而这种努力不仅是机构和组织需要付出的，广大用户同样需要付出。

*参考来源：rsa，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM