专栏首页FreeBuf金融服务机构和客户的头号威胁:94%的攻击都来源于这四种

金融服务机构和客户的头号威胁:94%的攻击都来源于这四种

94%观察到的金融服务攻击来自四种方法之一:SQL注入(SQLi),本地文件包含(LFI),跨站点脚本执行(XSS)和OGNL Java注入。

Akamai 2019年互联网安全金融服务攻击经济报告的数据显示,在所有受到网络钓鱼域影响的机构中,有50%都来自金融服务行业。

此外,数据显示,在18个月内,攻击者发起了高达35亿次攻击尝试,不仅利用网络钓鱼,还利用了凭证填充攻击,这使金融服务客户的个人数据和银行信息面临风险。

一、网络钓鱼域名和凭证填充

报告指出,在2018年12月2日到2019年5月4日期间,检测出了将近200000个网络钓鱼域,其中66%的网络钓鱼域直接针对消费客户。而在仅针对消费客户的网络钓鱼域里,又有50%的目标公司来自金融服务行业。(约6600个网络钓鱼域)。

Akamai安全研究员Martin McKeay坦言:“在过去一年,我们看到凭证填充攻击的数量稳步上升,这在一定程度上是由于针对消费客户的网络钓鱼攻击增加。”

“犯罪分子通过网络钓鱼对现有的被盗凭证数据进行补充,然后通过劫持帐户或转售他们创建的列表的方式获益,而这还只是他们获益的手段之一。我们可以看到,整个经济链正朝着针对金融服务组织及其消费客户的方向发展。“

二、bank drops:设立犯罪账户

犯罪分子成功完成攻击后,就需要处理他们的不义之财:数据和资金。正如Akamai的报告所强调的那样,处理这种情况的一种方法通常是利用“bank drops” –一种可用于欺诈性地在特定金融机构开立账户的数据包。

Bank drops通常包括个人的被盗身份(网络犯罪分子通常称之为’fullz’,包括姓名,地址,出生日期,社会保障详情,驾驶执照信息和信用评分。)犯罪分子通过远程桌面服务器安全访问欺诈性帐户,这些服务器与银行的地理位置和“Fullz”相匹配。

金融机构一直都在调查犯罪分子设立这些账户的方式,并试图提前一步发现问题。但是,大多数企业没有意识到的是,犯罪分子正在重新使用旧的攻击手段。

Akamai的调查结果显示,94%观察到的金融服务攻击来自四种方法之一:SQL注入(SQLi),本地文件包含(LFI),跨站点脚本执行(XSS)和OGNL Java注入(在本报告覆盖期内,攻击者使用这种方法发动超过800万次攻击尝试)。OGNL Java 注入因为Apache Struts漏洞而闻名,而在发布补丁程序数年后,仍然在被攻击者继续使用。

三、DDoS 攻击: 损害资产和声誉

在金融服务行业,犯罪分子也已经开始发起DDoS攻击,分散大众对于凭证填充攻击或利用基于Web的漏洞的关注。在18个月的时间里,Akamai发现针对金融服务行业的DDoS攻击超过800次。

McKeay认为:“攻击者正在瞄准金融服务组织的弱点,也就是消费者、网络应用程序和可用性,因为事实证明,这非常有效。”

最近(2019年3月),很多针对几家金融服务机构的DDoS攻击都使用TCP SYN-ACK数据包来淹没他们的数据中心,尽管这种攻击影响有限,但似乎攻击者的目标之一是为了破坏这些机构的对外声誉。

用于让反射器发送 SYN-ACK的原始SYN数据包,被反射器视为SYN泛洪攻击,并导致反射器把伪造的ip地址标记为恶意参与者。此外,这还造成了金融服务的IP地址被列入黑名单的结果,给维护者带来了更多的难点和挑战。

“一种理论认为,这种行为是通过让金融服务组织被错误地识别为恶意参与者,从而损害工具和工具制造商的声誉。譬如Spamhaus项目就受到了特别大的影响,愤怒的安全团队甚至打电话来问,为什么他们突然被列为恶意的。”

*参考来源:helpnetsecurity,kirazhou编译整理,转载请注明来自 FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:kirazhou

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-08-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 应用层慢速DoS攻击压力测试工具 – SlowHTTPTest

    特别提示:本工具仅供安全测试和教学使用,禁止非法用途 SlowHTTPTest是一个可配置的应用层拒绝服务攻击测试攻击,它可以工作在Linux,OSX和Cygw...

    FB客服
  • 特别企划 | 那些年你“听不懂”的安全名词

    也许你已经对网络钓鱼耳熟能详了,也许你也遇到过一些勒索软件或者病毒的攻击。但 catfishing 是什么?水坑攻击为什么叫水坑攻击?51% 攻击又是什么?边信...

    FB客服
  • “白象”APT组织近期动态

    “白象”又名“Patchwork”,“摩诃草”,疑似来自南亚某国,自2012年以来持续针对中国、巴基斯坦等国进行网络攻击,长期窃取目标国家的科研、军事资料。与其...

    FB客服
  • CNN实现“读脑术”,成功解码人脑视觉活动,准确率超50%

    【新智元导读】研究人员开发出以人脑为模型的深度学习算法,来破解人类大脑。相关研究发表在最新一期Cerebral Cortex,研究人员构建了一个大脑如何解码信息...

    新智元
  • __slots__(面向对象进阶)

    超蛋lhy
  • 关于对象莫名其妙的面试题

    李才哥
  • 面向 JavaScript 开发人员的 ECMAScript 6 指南(4):标准库中的新对象和类型

    在之前的 3 篇文章中,介绍了 ECMAScript 6 规范给 JavaScript 带来的一些巨大变化。如果您一直在关注本系列文章,那么您应该已经尝试了一些...

    疯狂的技术宅
  • Linux01之安装centOS6.5mini

      在程序猿的世界里肯定是离开开Linux环境的,而centOS这个发行版则是我们比较常接触的版本,所以本文就给大家来介绍下centOS6.5的安装。

    用户4919348
  • Python运行时动态查看进程内部信息

    kongxx
  • Android ADB动态查看内存信息之Watch使用

    这个命令相信大家都不陌生,就是查看内存信息,那这会你应该明白我们的效果通过什么来实现的了吧,那就是watch。

    先知先觉

扫码关注云+社区

领取腾讯云代金券