你知道吗？94%针对金融服务业的攻击都是使用这4种方法！

根据安全数字化体验智能边缘平台Akamai最新发布的《2019年互联网安全状况报告：针对金融服务业的攻击经济》数据显示，在所有受网络钓鱼域影响的企业中，有50%来自金融服务行业。

数据显示，除了独特的网络钓鱼尝试之外，攻击者还利用凭证填充攻击在18个月的时间内进行了35亿次攻击尝试，使得金融服务行业客户的个人数据和银行信息面临严峻风险。

网络钓鱼域名和凭据填充

该报告表明，在2018年12月2日至2019年5月4日期间，共计发现了近200,000个网络钓鱼域名，其中66％直接瞄准了消费者。在考虑仅针对消费者的网络钓鱼域时，50％的目标公司是金融服务行业。

Akamai公司的安全研究人员Martin McKeay表示：

过去一年，凭证填充攻击一直在稳步增长，部分原因是针对消费者的网络钓鱼攻击有所增加。犯罪分子通过网络钓鱼来补充现有的被盗凭证数据，然后，他们赚钱的一种方式是劫持帐户或转售他们所创建的列表。我们看到整个经济正朝着金融服务组织及其消费者的方向发展。

用被盗身份开设账户

一旦犯罪分子成功实施了他们的计划，他们就需要处理自己获取到的不义之财和数据。正如Akamai的报告所强调的那样，犯罪分子处理这种情况的方法之一是利用“BankDrops”数据包，可用于在特定金融机构进行欺诈性开户。

BankDrops通常包括个人被盗身份（通常被网上的犯罪分子称为“Fullz数据”，其中包括姓名、地址、出生日期、社会保障详细信息、驾照信息和信用评分）。他们通过远程桌面服务器安全访问欺诈帐户，这些服务器与银行的地理位置和“Fullz”数据完全匹配。

金融机构正在继续研究犯罪分子开设这些账户的方式，并正在努力保持领先地位。但是，大多数企业没有意识到的是，犯罪分子们正在重拾老式的攻击方法。

Akamai的调查结果显示，在观察到的针对金融服务行业的攻击中，有94％来自以下四种攻击方法：SQL注入（SQLi），本地文件包含（LFI），跨站点脚本（XSS）以及OGNL Java注入（占在本报告期内，有超过800万次尝试）。由于Apache Struts漏洞而闻名的OGNL Java 注入，在发布补丁数年后仍被攻击者继续使用。

SQL注入攻击

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

SQL注入攻击会导致的数据库安全风险包括：刷库、拖库、撞库。

防御建议：SQL注入攻击属于数据库安全攻击手段之一，可以通过数据库安全防护技术实现有效防护，数据库安全防护技术包括：数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。

本地文件包含（Local File Include，简称LFI）

本地文件包含（Local File Include）是php脚本的一大特色，程序员们为了开发的方便，常常会用到包含。比如把一系列功能函数都写进fuction.php中，之后当某个文件需要调用的时候就直接在文件头中写上一句<?php include fuction.php?>就可以调用内部定义的函数。

本地包含漏洞是PHP中一种典型的高危漏洞。由于程序员未对用户可控的变量进行输入检查，导致用户可以控制被包含的文件，成功利用时可以使web server会将特定文件当成php执行，从而导致用户可获取一定的服务器权限。

防御建议：1）严格判断包含的参数是否外部可控，因为文件包含漏洞利用成功与否的关键点就在于被包含的文件是否可被外部控制；2）路径限制：限制被包含的文件只能在某一文件夹内，一定要禁止目录跳转字符，如：“../”；3）包含文件验证：验证被包含的文件是否是白名单中的一员；4）尽量不要使用动态包含，可以在需要包含的页面固定写好，如：include("head.php");。

跨站点脚本（XSS）

跨站点脚本是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。指的是恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

其危害包括：1）盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号；2）控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力；3）盗窃企业重要的具有商业价值的资料；4）非法转账；5）强制发送电子邮件；6）网站挂马；7）控制受害者机器向其它网站发起攻击。

防御建议：1）执行内部的输入过滤（有时候称为输入清洁设备）。对于内部书写的每个脚本中的每个用户输入 —— 参数或 HTTP 头，都应该应用高级的 HTML 标签（包括 JavaScript 代码）过滤；2）执行“输出过滤”，换句话说，当发回给浏览器时过滤用户数据，而不是当被脚本接收时；3）通过安装第三方应用程序防火墙，防火墙在 XSS 攻击到达 Web 服务器和易受攻击的脚本之前拦截它们，并阻塞它们。

OGNL Java注入

对象图导航语言（OGNL）是一种用于Java的开源表达式语言。OGNL的主要功能是获取和设置对象属性。在Java中可以做的大部分工作都可以在OGNL中实现。

而所谓“注入”指的是利用软件中为正常目的预留的数据传递途径，把恶意代码或恶意数据送入程序体中去，对软件产生负面影响的操作。

DDoS攻击：打击资产和声誉

在金融服务行业中，犯罪分子还开始发起DDoS攻击，以分散进行凭证填充攻击或利用基于Web的漏洞的注意力。在18个月的时间里，Akamai发现，仅仅是针对金融服务行业的DDoS攻击就高达800多次。

McKeay表示，

攻击者正在瞄准金融服务组织的弱点：消费者，Web应用程序和可用性，因为这些都是行之有效的。

最近发生了一系列针对多家金融服务组织的DDoS攻击，这些攻击使用TCP SYN-ACK数据包来淹没他们的数据中心。他们对这些影响有限，但似乎攻击者的次要目标是破坏他们的在线声誉。

Akamai解释称，

用于使反射器发送SYN-ACK的原始SYN数据包被反射器视为SYN泛洪攻击，并导致反射器将欺骗性IP地址标记为恶意行为者。这造成了将金融服务IP地址列入黑名单的次要影响，并为维权者制造了更多问题。有一种理论认为，这种攻击方式会损害金融工具和工具制造商的声誉，因为它们会恶意地将金融服务公司误认为是坏人。Spamhaus项目会尤为受到影响，因为愤怒的安全团队打电话来质问为什么他们突然被列为恶意网站。