2018金融威脅新鮮事
眾所周知,網絡犯罪的兩大主因是政治和金錢,因此金融界一直是全球網絡罪犯的一大收入來源。雖然政府和各類組織一直在尋求保護金融服務的新方法,但網絡罪犯也有各類技術手段應對。這推動在線金融服務和支付系統、大型銀行和POS終端的使用方式發生了許多變化。過去一年,隨著新的滲透技術、攻擊載體和地域的擴展,金融網絡威脅格局發生了廣泛變化。但最有趣的事情是,人們被攻擊的方式發生了巨大變化。隨著區塊鏈和加密貨幣的流行,許多新的支付方式出現在黑白市場上,極大吸引了罪犯的目光。
2018年,加密貨幣成為最熱門的話題。毫無疑問,它成為了年度新聞,從網絡威脅排名榜單中打敗勒索軟件,並脫穎而出,將網絡安全界的目光聚焦在了全新的危險上。威脅通過兩種方式擴散——改裝惡意軟件,使其具有挖掘能力,從而在沒有阻礙的情況下市場化,以及攻擊加密貨幣基礎設施(錢包、交易所等)。即使是像Roaming Mantis這樣的主要APT攻擊者也試圖將其市場化,更不用說像PowerGhost這樣的加密貨幣挖掘惡意軟件了。同時也有人指出,作為2018年最活躍的金融威脅之一,Lazarus逐漸擴大了目標範圍——擴散至銀行、金融科技公司、PoS終端、自動取款機以及密碼交易所。
今年夏天,我們還報道了一個有趣的案例,證明了上面所說的——Lazarus使用一個假安裝程序和macOS惡意軟件攻擊加密貨幣交易所。在這種情況下,犯罪分子創造了貌似合規且功能合法的特殊軟件。然而,該程序也上傳了一個惡意後門。這是一種新型的攻擊,通過供應鏈感染目標。這成為2018年最具創意的攻擊之一。
然而,幾個月後,網絡安全領域給金融行業帶來了更大的驚喜,再次指出,即使是傳統的、有防護經驗的金融企業也可能面臨危險。去年12月,卡巴斯基實驗室披露了DarkVishnya行動:針對東歐金融機構的一系列的網絡搶劫。我們發現,在每一個案例中,公司網絡都是因為一個由攻擊者控制的未知設備被攻破的,該設備被偷運進公司大樓並與內部網絡相連。該地區至少有8家銀行受到了這樣的攻擊,估計損失達數千萬美元。所得教訓很簡單——即使是已經關注到網絡安全,你也可能永遠不知道網絡罪犯會如何攻擊你。我們都應該加倍警惕。
另一個令人擔憂的原因是,犯罪分子決定不僅把他們的目光集中在金融服務上,同時還有其他行業公司的金融部門,在那裡,數十萬美元的付款不會引起太多懷疑。2018年夏天,卡巴斯基實驗室的專家發現了一波金融釣魚郵件,這些郵件偽裝成合法的採購和會計信件,攻擊了至少400家行業組織,目的當然是為網絡犯罪分子賺錢。
我們也不應該忽視ATMs的金融威脅,與自動取款機攻擊相關的最大損失是由內部銀行網絡的感染造成的,比如FASTCash和 ATMJackPot,這使得攻擊者能夠觸達數千臺自動取款機。除此之外,2018年還誕生了一種直接從這類機器上偷錢的新工具——我們稱之為KoffeyMaker。
從中小企業轉向個人用戶,我們可以說,2018年個人用戶在金融威脅下也沒有多少喘息的機會。臭名昭著的移動銀行惡意軟件仍然在尋找攻擊機會。考慮到上述領域的變化,它們攻擊能力變強也就不足為奇了,現在的它們往往結合了多種功能。其中一些增加了採礦能力,以確保它們能夠盈利。其他網絡威脅也在以新的方式威脅用戶——例如,在2018年,卡巴斯基實驗室的專家發現了一個相當罕見的Chrome擴展,旨在竊取用戶的證書。
這份報告概述了近年來金融威脅狀況的演變。它涵蓋了用戶遇到的常見釣魚威脅,以及基於windows和android的金融惡意軟件。
以下為報告正文。
網絡釣魚
2018年,金融類網絡釣魚案件佔全部網絡釣魚案件的比例從53.8%下降到44.7%,但仍佔全部網絡釣魚案件的近一半。
超過五分之一的人試圖加載已被認證的銀行類釣魚網頁。
2018年,針對支付系統和電商的網絡釣魚攻擊所佔比例分別接近14%和8.9%。這比2017年略低。
Mac用戶遭遇金融釣魚的比例略有上升,為57.6%。
銀行惡意軟件
2018年,被銀行木馬攻擊的用戶數量為889,452人,比2017年的767,072人增加了15.9%。
24.1%被銀行惡意軟件攻擊的用戶是企業用戶。
俄羅斯、德國、印度、越南、意大利、美國和中國的用戶最常受到銀行惡意軟件的攻擊。
Zbot和Gozi仍然是最廣泛的銀行惡意軟件家族(超過26%和20%的攻擊用戶),其次是SpyEye(15.6%)。
Android銀行惡意軟件
2018年,全球遭遇安卓銀行惡意軟件的用戶增加了兩倍多,達到1799891人。只有三個銀行惡意軟件家族對85%用戶發起了攻擊。
俄羅斯、南非和美國是受Android銀行惡意軟件攻擊比例最高的國家。
金融網絡釣魚
金融網絡釣魚是犯罪分子最典型的賺錢方式之一,它不需要很多投資就能獲得可觀利潤。如果成功了,犯罪分子就會拿到一些認證信息,這些信息可以直接用來賺錢,也可以賣個好價錢。
這種技術簡單性和有效性的結合使得這類惡意活動對犯罪分子具有吸引力,在過去幾年裡,此類活動約佔所有釣魚攻擊的一半。
圖1:2015-2018年金融釣魚攻擊佔總體釣魚攻擊的百分比
2018年,卡巴斯基反網絡釣魚技術檢測到482,465,211次試圖訪問不同類型的網絡釣魚頁面的行為。其中,試圖訪問金融釣魚頁面的檢測佔44.7%,比2017年註冊的釣魚檢測佔比低10%。
這主要是由於其他釣魚攻擊類別的增加。首先讓我們仔細看看金融類別。
卡巴斯基實驗室將幾種類型的網絡釣魚網頁歸類為“金融”——銀行、貝寶(PayPal)、Visa、萬事達(MasterCard)、美國運通(American Express)等知名支付品牌,以及亞馬遜(Amazon)、蘋果商店(Apple store)、Steam、E-bay等互聯網商店和拍賣網站。2018年,所有這些公司都稍微鬆了口氣,因為針對銀行、支付系統和在線商店的網絡釣魚攻擊比例分別下降了5.3、1.8和2個百分點左右。
金融釣魚攻擊排名第二、第三和第四名:
圖2:卡巴斯基2018年檢測到的不同類型的金融釣魚行為分佈
2017年,在我們的觀察中,支付系統和在線商店首次在所有類別的釣魚檢測中排名前三,而2018年則是迴歸正常的一年,全球門戶網站位居首位。然而,圖表顯示,幾乎每一次網絡釣魚攻擊都與財務問題有關。
我們認為,這一變化的發生是由於媒體對Facebook等目標的高度關注。
圖3:2016-2018年卡巴斯基檢測到的全球門戶網絡釣魚的百分比
與此同時,網絡犯罪的受害者類型並沒有發生任何變化——頂級跨國銀行、流行的支付系統、網店和拍賣網站仍然是網絡犯罪的最吸引人的目標。
Mac上的金融釣魚
由於針對MacOS的惡意軟件家族數量較少,MacOS一直被認為是相對安全的網絡安全平臺。然而,網絡釣魚是一種與操作系統無關的犯罪活動——它完全與社工有關。
2016年,針對Mac用戶的網絡釣魚攻擊中,31.4%的攻擊目標是竊取財務數據。這幾乎是2017年的一半,過去一年也顯示出小幅增長,總體份額達到57.6%,這意味著威脅並沒有消失。
總的來說,2017年的佔比情況是這樣的:
圖4:2017年在Mac上檢測到不同類型的金融釣魚行為的分佈情況
一年後,“其他”類別略有下降,導致金融相關攻擊的總體增長。
圖5: 2018年在Mac上檢測到的不同類型的金融釣魚行為分佈
總而言之,我們的數據顯示,針對Mac電腦的網絡釣魚攻擊份額也相當可觀——就像Windows一樣。讓我們仔細看看這兩個類別。
Mac和Windows
2017年,我們發現了一個有趣的轉折,蘋果成為MacOS和Windows統計數據中在線商店類別中使用最頻繁的品牌,將亞馬遜擠到了後者平臺的第二位。
圖6:“網上購物”金融釣魚中最常用的品牌
當涉及到攻擊支付系統用戶時,情況如下:
圖7:“支付系統”金融釣魚方案中使用頻率最高的品牌
總的來說,除了Paypal超過萬事達卡,並在MacOS的統計數據中排名第一之外,情況或多或少是相同的。
上面的表格說明了犯罪分子將使用這些眾所周知的服務來試圖非法獲取用戶支付卡、在線銀行和支付系統憑證。
釣魚活動主題
除了下面將介紹的傳統活動之外,與2016年和2017年相比,釣魚偽裝還有一個獨特的特點——娛樂。雖然這與經濟並不完全相關,但犯罪分子仍然可以竊取用戶的證件或賬戶用於銷售或個人用途。表單上的內容不再侷限於相當舊的網上銀行、支付系統或網上商店網頁。
以下是對電影流媒體服務行業最具針對性的調查。
圖8:流媒體服務偽裝下的釣魚頁面
數字遊戲平臺:
圖9:遊戲平臺偽裝下的釣魚頁面
典型的商業和支付品牌也成為了攻擊目標——通常攻擊手段是促使受害者儘快輸入證書信息。
圖10:一條來自支付品牌的釣魚信息
圖11:一條來自支付品牌的釣魚信息
通過點擊鏈接或輸入憑證,用戶將無法訪問他們的賬戶——他們只會將重要的個人信息傳遞給騙子。
這是恐嚇受害者最常見的伎倆之一——威脅攔截一個賬戶:你的賬戶已被暫停。
不要向陌生人展示你的信用卡數據!
由於人的本性和社工的原因,網絡釣魚多年來一直是網絡犯罪分子強有力的武器庫,它不僅是賺錢的主要工具,也是APT行動者最初破壞目標系統的一種方法。
也就是說,要時刻保持警惕。在網上付款時,再次檢查網站的合法性。仔細檢查電子郵件的合法性,尤其是當它們敦促你做某事時——比如更改密碼。
如果你不能確定以上問題,不要點擊鏈接。
不要忘記使用基於行為的反釣魚技術的安全解決方案。這將使識別最新的釣魚詐騙(還沒有添加到反釣魚數據庫的)成為可能。
銀行惡意軟件
在本文中討論金融惡意軟件時,我們指的是典型的銀行木馬,其目的是竊取用於訪問在線銀行或支付系統帳戶的憑證,並攔截一次性密碼。
在2014年和2015年有所下降之後,2016年被金融惡意軟件攻擊的用戶數量穩步增長。2017年和2018年上半年再次出現下滑。2017年,受攻擊用戶數量再次下降,從2016年全球1088933名下降至767072名,降幅近30%。
然而,2018年5月至11月的大幅增長改變了這一格局,重新平衡了下降趨勢,與去年相比總體增長15.95%,達到889,452人。這是自2016年以來首次出現同比增長。這是由於RTM銀行木馬家族的爆炸性增長,分析如下。
圖12:2016-2018年銀行惡意軟件攻擊用戶數動態變化
受攻擊用戶的地理位置
如下表所示,2017年和2018年被銀行惡意軟件攻擊的用戶中,來自10個國家覆蓋了全球過半用戶。2017年,德國位居榜首,俄羅斯和中國緊隨其後。
圖13:2017年銀行惡意軟件攻擊用戶地理分佈情況
2018年發生了什麼?
圖14:2018年銀行惡意軟件攻擊用戶地理分佈
去年,俄羅斯已經超過德國,印度也超過中國,成為第三名。總的來說,排名大致是穩定的,排名靠前的用戶約佔五分之一份額,而“其他”用戶約佔40%的份額。
受到攻擊的用戶類型
2017年,這一領域出現了小幅增長,證實了我們的假設,即犯罪分子正針對企業進行攻擊——儘管銀行惡意軟件檢測總體呈下降趨勢,但企業用戶的份額仍在穩步上升。
圖15:2017年攻擊用戶類型分佈
這令人擔憂,因為我們看到,在過去三年裡,幾乎有五分之一的銀行惡意軟件攻擊都集中在企業部門,而且這個比例還在增長。這背後的原因很清楚——儘管對消費者的攻擊只會讓犯罪分子進入銀行或支付系統賬戶,但對員工的成功攻擊也會損害公司的財務資源。
2018年再次證明了這一點:
圖16:2018年攻擊用戶類型分佈
企業用戶比例增長4個百分點以上。
主要的銀行惡意軟件及發展情況
銀行惡意軟件領域一直被幾個主要的參與者所佔據。2017年,Zbot成為領導者,緊隨其後的是Gozi。
圖17:2017年最普遍的銀行惡意軟件家族分佈情況
後者的市場份額增加了10個百分點以上,而Zbot的市場份額則下降到了32.9%。
2017年更有趣的是,其他類別的份額增長了一倍多,表明金融威脅的格局正變得越來越多樣化。也就是說,雖然主導者的比例在下降,但規模較小的參與者變得更加活躍。
圖18:2018年最廣泛的銀行惡意軟件家族分佈
2018年主要惡意軟件的攻擊率呈下降趨勢——Zbot下降到26.4%,Gozi下降到20%多一點。同時,其他類也有所減少。隨著主要中堅力量的鞏固,形勢明顯趨於穩定。
這對於安全研究社區來說非常不方便,因為跟蹤幾個大玩家要比跟蹤許多小而靈活的攻擊者容易得多。
特別令人感興趣的是RTM銀行木馬,其爆炸性增長推高了2018年的數據。當時該木馬家族的活動激增,2018年受到攻擊的用戶總數超過13萬,比2017年的2376名有所增加。
攻擊的高頻率發展一直持續到2019年,在今年的第一個半月就有超過3萬名用戶受到攻擊,使RTM成為威脅領域中最活躍的銀行木馬之一。
有趣的是,木馬的目標不是金融機構本身,而是負責中小企業財務會計的人員,特別關注IT和法律部門。這使得RTM攻擊成為一種普遍趨勢的一部分,網絡犯罪分子正將活動從金融機構蔓延開來,將注意力轉向私營部門,而私營部門通常在安全解決方案上的投資較少。
這就是為什麼我們敦促那些可能成為這種惡意軟件潛在目標的組織採取預防措施,確保他們的安全產品檢測並阻止這種威脅。
我們也建議用戶在使用個人電腦進行網上金融操作時要謹慎。不要低估了現代網絡犯罪的專業性,不要讓你的電腦處於保護之外。
受攻擊用戶的地理位置
圖19:2017年Android銀行惡意軟件用戶比例最高的10個國家
2018年,情況發生了變化:
圖20:2018年安卓銀行惡意軟件用戶比例最高的10個國家
正如我們所看到的,手機惡意軟件確實在增長,在前10個國家的平均感染水平增長了兩位數左右。2018年,俄羅斯躍居榜首,緊隨其後的是南非和美國。澳大利亞跌至第四位,土庫曼斯坦則離開了榜單。
Android銀行惡意軟件領域的重大變化
雖然數字本身可以說明問題,但還有許多方法可以探索威脅環境的變化和發展。我們的關鍵方法是分析在網絡世界裡發現的實際惡意軟件。
分析顯示,2018年可能是有史以來針對惡意移動軟件的網絡犯罪攻擊最猛烈的一年。
然而,2018年的情況表明,形勢已經發生了根本性的惡化。這種上升的根本原因尚不清楚,但罪魁禍首是Asacub和Hqwar木馬病毒的創造者。前者有著相當長的歷史——根據我們的數據,它背後的團隊已經工作了三年多。Asacub本身是從一個短信木馬演變而來的,該木馬從一開始就配備了一些工具,以抵消刪除和攔截來電和短信。後來,惡意軟件的創造者加強了它的邏輯,並開始使用與以前相同的攻擊載體進行大規模分發:通過短信進行社工。擁有陌生用戶信息的在線論壇成為了手機號碼的來源。接下來,雪崩傳播方法開始生效,受感染的設備本身成為分銷商——Asacub將向受害者聯繫人列表中的每個人發送信息。
然而,2018年的銀行業木馬不僅在規模上值得關注,在機制上也值得關注。其中一個方面是在銀行威脅中越來越普遍地使用易訪問性服務。這在一定程度上是對新版Android的回應,新版Android使得在銀行應用程序之上覆蓋釣魚窗口變得越來越困難,木馬會隱藏在設備中,因此用戶無法自己刪除它。更重要的是,網絡罪犯可以利用易訪問性服務劫持一個完全合法的應用程序,並迫使它啟動一個銀行應用程序,直接在受害者的設備上轉賬。技術也出現對抗動態分析:例如,Rotexy木馬會檢查它是否在沙箱中運行。然而,這並不完全是一件新鮮事,因為我們以前就觀察過這種行為。也就是說,需要注意的是,如果病毒作者設法將他們的木馬病毒滲透到流行的應用程序商店中,那麼結合混淆,反動態分析技術可能是非常有效的,在這種情況下,靜態和動態處理可能都是無能為力的。雖然沙箱檢測在網絡罪犯中並不常見,但趨勢是明顯的,我們相信這種技術在不久的將來會變得非常複雜。
結論和建議
2018年的情況表明,犯罪分子不斷更新他們的惡意軟件,添加新功能,投入資源開發新的分發方式和檢測規避技術。
他們還擴充了被攻擊者名單,增加了新的機構和行業。
這一切都意味著他們從他們的活動中獲得了可觀的經濟利益。
正如上述威脅數據所顯示的,在這一領域,涉及網絡釣魚和特定銀行惡意軟件的金融欺詐操作仍有很大的空間。與此同時,手機惡意軟件重新獲得了威脅全球用戶的力量。
為了避免網絡攻擊造成的損失,專家建議如下:
對於家庭用戶
不要點擊可疑鏈接。它們主要是用來下載惡意軟件到你的設備上,或者引導你進入網絡釣魚網頁,這些網頁會竊取你的證書。
永遠不要在你的設備上打開或存儲不熟悉的文件,因為它們可能是惡意的。
當使用公共Wi-Fi網絡時,要時刻保持警惕,因為它們可能不安全、不可靠,使熱點成為黑客竊取用戶信息的首要目標。為了保護您的機密信息安全,永遠不要使用熱點進行在線支付或共享財務信息。
網站可能是網絡罪犯的一個陣地,其唯一目的就是收集你的數據。為了防止你的機密信息落入壞人之手,如果一個網站看起來可疑或不熟悉,不要輸入你的信用卡信息或進行購買。
為了避免通過手機銀行應用程序損害您的證書,請確保您使用官方應用程序為您提供金融服務,並確保它沒有受到損害。只從官方應用商店下載應用,如谷歌Play或iOS應用商店。
為了避免落入陷阱,在輸入任何證書之前,一定要仔細檢查網址的格式或公司名稱的拼寫,以確保網站是真實的。假網站可能看起來就像真的一樣,但是會有一些異常情況來幫助你發現區別。
為了讓您在評估網站安全性時更有信心,請只使用以HTTPS://開頭的網站,這樣可以通過加密連接運行。HTTP://網站不提供相同的安全性,因此可能會使您的信息處於危險之中。
永遠不要向任何人透露你的密碼或pin碼——即使是你最親密的家人、朋友或銀行經理。分享這些只會增加你個人賬戶的風險和暴露程度。這可能會導致你的財務信息被網絡罪犯竊取,你的錢也會被盜。
為了防止金融欺詐,您可以為您的設備選用內置的專用安全解決方案,將為您所有的金融交易創建一個安全的環境。
為了保證您的憑證安全,重要的是在您的所有設備上應用相同級別的警惕性和安全性——無論是臺式機、筆記本電腦還是移動設備。網絡犯罪是沒有邊界的,所以您的安全需要同樣廣泛的關注,以儘量減少你的信息落入壞人之手的風險。使用可靠的安全解決方案存儲有價值的數字數據。
對於企業用戶
特別注意正在完成財務操作的端點:首先更新安裝在這些端點上的軟件,並使它們的安全解決方案保持最新。
定期對員工進行網絡安全意識培訓,教育他們不要點擊來自不可信來源的鏈接或打開附件。進行模擬釣魚攻擊,確保他們知道如何區分釣魚郵件。
如果您使用雲電子郵件服務,請確保您已經為您的電子郵件安裝了專門的保護。
確保所有級別的公司基礎設施都受到保護,從核心數據中心到銀行基礎設施(如atm)的專用系統。對於ATM和POS,使用專門為這些系統設計的解決方案。
利用先進的檢測和響應技術。
為了確保對客戶的保護,金融機構應該使用能夠防止欺詐的解決方案。
埃文科技——網絡空間地圖測繪領域技術專家,提供最全面、最精準的網絡空間地圖服務。
公司成立於2012年,專注於網絡空間、地理空間和社會空間的相互映射,繪製三位一體的網絡空間地圖,對網絡空間資源的靜態屬性和動態變化情況進行探測。擁有19項軟件著作權及10項發明專利。
閱讀更多 埃文小工 的文章
