1,000 至 3,000 億美元:這就是金融機構遭到網路攻擊可能帶來的鉅額損失。儘管金額相當嚇人,但卻一點也不令人意外。因為過去三年之間,就有多家銀行因為 SWIFT (環球銀行金融電信協會) 基礎架構遭駭客入侵而損失共 8,700 萬美元。然而這只是冰山一角:某網路犯罪集團在其首腦於 2018 年被捕之前,已從 40 個國家 100 多家金融機構累積盜取了 12 億美元。
網路駭客不但有能力駭入金融機構的營業系統,更有能力駭入其底層基礎架構。這樣的情況近兩年來屢見不鮮,而且攻擊越來越難纏、精密、且影響深遠。歹徒專門尋找唾手可得的目標,因為先前爆發的一些知名攻擊事件已使得消費者的意識提升,對資料外洩更加敏感,亦不斷提升安全來保護自己的敏感資料。
趨勢科技對網路犯罪地下市場的長期觀察,讓我們能清楚掌握多年來駭客攻擊的手法和技巧如何演進,他們專門利用哪些資安盲點,對真實世界帶來什麼衝擊,以及使用者和企業機構如何加以防範。
偽裝成行動認證服務的假銀行應用程式 Movil Secure, 會收集簡訊和電話號碼。當安裝者手機收到新簡訊時– 包含行動銀行應用程式用來確認或授權銀行交易的簡訊,它會將簡訊寄件者和訊息內容傳送到C&C伺服器和一支特定的電話號碼。趨勢科技懷疑取得的資料會被用在進一步的簡訊釣魚(SMiShing)攻擊,或被用來從銀行客戶身上收集銀行帳密。
有許多銀行都在為自家的行動應用程式提供更多功能及升級,而且也因為銀行應用程式所帶來的便利性,讓全世界有越來越多用戶使用行動銀行服務。不過隨著新金融技術的大量使用以及使用者會尋找自己銀行的應用程式和服務,也為詐騙份子帶來了更多機會。最新的一個例子是應用程式Movil Secure。我們在10月22日在Google Play上發現這個惡意應用程式,是針對西班牙語系用戶的簡訊釣魚(SMiShing)詐騙的一部分。
Movil Secure是個假銀行應用程式,會偽裝成行動認證服務。開發者下了很大的功夫來讓使用者認為這是個合法軟體,包括具備專業外觀的品牌及精細的使用者介面。我們還發現此一個開發者名下有其他三個類似的假應用程式。Google確認了這些應用程式已經從Google Play移除。
Movil Secure在10月19日上架,六天內被下載了超過100次。這可能是因為它聲稱跟跨國的知名西班牙銀行集團Banco Bilbao Vizcaya Argentaria(BBVA)有關,該銀行以專業技術聞名,正版的行動銀行應用程式被認為是業界最好的之一。
假應用程式(見下圖1)充分利用了BVVA的知名度,偽裝成該銀行服務用於身份管理和交易授權的行動認證服務。但仔細檢查後發現它並不具備這些功能。
圖1、該應用程式聲稱它是行動認證應用程式
當資料外洩發生,其後續的效應並不一定會隨著事件落幕而消失。Akamai 的研究人員指出,根據他們在 2017 年 11 月至 2018 年 6 月之間觀察到的 300 億次惡意嘗試登入顯示,金融業正面臨越來越多的憑證填充 (Credential Stuffing) 攻擊。
憑證填充攻擊是一項利用殭屍網路(botnet)以自動化方式不斷使用偷來的登入憑證試圖登入網路服務的一種攻擊技巧。這項手法使用大量外流的電子郵件地址和密碼,再搭配自動化腳本,以疲勞轟炸的方式不斷試圖登入網路服務,直到某一組帳號密碼成功為止。此攻擊技巧很可能讓企業因為詐騙、網路斷線導致業務停擺、緊急應變與通知客戶、系統修復以及商譽受損等等而造成損失。
該研究特別指出,遭遇這類攻擊的企業不分大小。報告引述的例子是某家財星 500 大 (Fortune 500) 企業,同時也是一家信用合作社,該公司的日常登入活動突然飆高,造成每分鐘網路流量大幅增加。在為期 6 至 7 天的觀察期間,其網路活動從 420 萬飆升至 850 萬次嘗試登入,因而讓這起殭屍網路暴力攻擊與試圖暗中存取活動曝光。
[延伸閱讀:A Shift in the ATM Malware Landscape: From Physical to Network-based Attacks]
目前,金融業與零售業依舊是這類攻擊的主要目標,因為這類自動化攻擊非常容易實行。而且行動裝置與網站的介面和作業系統通常會盡可能精簡,因為冗長的載入時間不利於客戶和合法使用者的線上體驗。同時,客戶和員工也習慣在多個網路帳號上使用相同的電子郵件與密碼組合,而企業也仍在使用一些老舊或廠商已不再支援的作業系統。除此之外,還有企業的員工和現有系統無法有效分辨正常使用者與網路犯罪集團的登入活動。
由於網路犯罪集團總是處心積在尋找獲利方式,因此針對金融業網路資產的攻擊不論是數量、型態和手法都會不斷增加。以下是一些強化安全來防範這類攻擊的建議方法:
趨勢科技 XGen™ 防護能為企業提供跨世代融合的威脅防禦技巧,完整防範各式各樣的威脅,保護資料中心、雲端環境、網路及端點。
它藉由高準度的機器學習來保護閘道與端點資料和應用程式,保護實體、虛擬及雲端工作負載。XGen 能藉由網站/網址過濾、行為分析及客製化沙盒模擬分析,來防範今日針對企業量身訂做的威脅,這些威脅不僅能避開傳統資安防禦,更能利用已知、未知或尚未公開的漏洞,竊取個人身分識別資訊或將資料加密。XGen 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。
原文出處:Report Finds Increased Credential Stuffing Attacks on Financial Sector
不管是大型銀行還是中小企業都可能會遭受商業流程入侵(BPC)攻擊。不過還是有辦法防範或減輕它所造成的影響….
金融機構是商業流程入侵(BPC)攻擊的主要目標之一,就以2016年的孟加拉銀行事件為例,這起利用銀行內部流程的複雜性攻擊導致了8,100萬美元被竊走。而在最近的另外一起事件中,商業流程入侵(BPC)攻擊了多家前蘇聯國家的銀行,造成約4,000萬美元的損失。
商業流程入侵(BPC)攻擊會惡意操弄正常的內部流程。在這些最新的攻擊中,攻擊者結合了現實中的詐騙以及網路攻擊。第一部分是利用了透支額度(OD),這指的是金融簽帳卡允許使用者使用多少超出帳戶實際存款的金額。在這起案例中,攻擊者派出許多人申辦有金融簽帳卡的銀行帳戶。然後將卡片送到位於歐洲各國的惡意份子手上。
攻擊者還利用網路釣魚活動來針對銀行員工,目的是要在他們的系統上安裝惡意軟體(趨勢科技偵測為TROJ_MBRWIPE.B)。這種惡意軟體成為攻擊者進入銀行網路和系統的後門。一旦進入,攻擊者會使用銀行的VPN憑證來連上第三方的支付處理服務網路,接著植入各種惡意軟體,包括能夠連上控制卡片管理基礎設施的監控工具。同時還會安裝其他軟體如合法的監控工具Mipko來取得螢幕截圖和按鍵側錄等等。
這場精細策劃並實行的搶劫成為了商業流程入侵(BPC)攻擊的完美範例。這些攻擊是對企業來說日益嚴重的問題,根據2013年至2015年的資料,企業已經因為商業流程入侵(BPC)攻擊而損失至少31億美元 – 這數字在今日可能會更高。
五招防止商業流程入侵(BPC)攻擊
不管是大型銀行還是中小企業都可能會遭受商業流程入侵(BPC)攻擊。不過還是有辦法防範或減輕它所造成的影響: 繼續閱讀
