最近雷鋒網(wǎng)聽了一個關(guān)于金融威脅很可怕的報告，產(chǎn)生了想把存在銀行里的錢都取出來花光免得被偷的想法。算了，銀行卡里也沒有錢，還是把這些記在小本本上吧。

一． 這他喵的是個坑！

說起安全威脅界的頭牌，最近換上了勒索軟件。其實也不是它多能吸金，只是人家頭條上的多，中沒中招的，懂不懂網(wǎng)絡安全的，誰不轉(zhuǎn)一發(fā) WannaCry 都不時髦了。

但實際上黑客針對金融機構(gòu)發(fā)動攻擊頻次更高，造成的后果也更加惡劣。僅孟加拉銀行搶劫一案，攻擊者利用 “BandWift” 入侵了擁有SWIFT網(wǎng)絡訪問權(quán)限的計算機，造成超過8,100萬美元的損失。這可是針對單個用戶贖金交易的勒索軟件，沒辦法達到的規(guī)模。

雷鋒網(wǎng)了解到，賽門鐵克在2016年監(jiān)測出的金融威脅數(shù)量高達120萬，是勒索軟件總和的2.5倍，僅僅 Ramnit 木馬（W32.Ramnit）的數(shù)量幾乎是所有勒索軟件數(shù)量的總和。

但為什么沒有引起外界警惕呢？

主要是因為金融攻擊大多針對特定機構(gòu)，而處于政策等內(nèi)容的考慮，遭遇攻擊的機構(gòu)通常都會選擇低調(diào)處理。

試想一下，哪一個被黑客攻擊的銀行愿意和滿世界的媒體哭訴自家丟了幾車票票呢？

二．咦？有什么變化

這里有個很突出的現(xiàn)象，過去，黑客的主要攻擊目標是美國、歐洲等發(fā)達國家的金融企業(yè)。但這幾年亞太地區(qū)已經(jīng)成功引起黑客注意，日本成為亞太地區(qū)受金融攻擊影響最大的國家，遭遇攻擊的比例超過30%。中國、印度分別位列第二、三。

顯然，在全球GDP總量占比上升除了會引起政客大佬的注意，還有黑客們。

錢多，肥肉多。

另外，針對大型企業(yè)與金融機構(gòu)的攻擊數(shù)量出現(xiàn)急速增長。在2016年，38%的金融威脅主要針對大型企業(yè)，Ramnit，Bebloh以及Zeus三大金融威脅家族主導了全球86%的金融木馬攻擊事件。

但在過去一年，金融木馬的數(shù)量總體呈現(xiàn)稍微下降的形勢，這可能是在一些大型攻擊敗露后，攻擊者會把與事件相關(guān)的木馬程序關(guān)閉。

莫要松一口氣，數(shù)量的下降并不代表金融攻擊威脅會減少。

以惡意程序這個小妖精為例，2016年賽門鐵克發(fā)現(xiàn)其4.01億個，盡管整體數(shù)量比之2015年有所減少，但是！其中近90%的惡意程序（約3.57億）是2016年首次出現(xiàn)。

這說明什么？

僅在過去一年便創(chuàng)建出如此龐大的惡意程序規(guī)模，說明黑客的攻擊變得越發(fā)頻繁。

當然，在長久刺激的攻防對抗中黑客變得越來越狡猾，他們在發(fā)動攻擊時，會努力隱藏惡意程序的痕跡，降低被安全軟件發(fā)現(xiàn)的風險。比如他們會通過SSL方式以及加密流量等方式隱藏惡意程序。

我方在明，敵方在暗，害怕臉。

三． 扒一發(fā)常見的金融威脅手段

接下來我們來和大家介紹下黑客所使用的攻擊技術(shù)。

第一位出場的是沙同學，全名沙箱逃逸。

沙箱主要是金融企業(yè)用來對付零日攻擊和未知威脅的技術(shù)。而相應的，如果黑客制作的木馬程序能夠智能地躲避偵測的話，就叫沙箱逃逸。木馬程序首先會探測攻擊對象的虛擬環(huán)境，如果發(fā)現(xiàn)該企業(yè)不是目標客戶，就會停止攻擊。反之，就會輕松入侵到目標客戶系統(tǒng)中。

第二位出場的是無同學，全名無文件攻擊。

被黑怕了，金融行業(yè)一般會在所有與互聯(lián)網(wǎng)相連的通道里，安裝多個安全軟件和設備來對下載的文件進行檢查。

但可謂道高一尺魔高一丈，黑客不從互聯(lián)網(wǎng)下載到本地或服務器的文件中進行攻擊，反而在注冊表里面嵌入腳本，或通過修改DNS設置，進行重新定向到假冒網(wǎng)站，又或者在內(nèi)存里面進行操作。

反正結(jié)果就是完美躲避了金融行業(yè)內(nèi)的企業(yè)監(jiān)測。

第三位是源同學，全名源代碼融合。

這種技術(shù)可以用一個公式簡單理解：1+1=1。即一個網(wǎng)絡攻擊組織借鑒其他一個黑客的攻擊手法就會產(chǎn)生一個新的攻擊手法。

單打獨斗已經(jīng)out了，將其他黑客組織所編寫的惡意程序代碼，融合到自己的代碼中，從而產(chǎn)生全新惡意程序，省時省力還讓原已具備該惡意程序防范能力的網(wǎng)絡安全廠商措手不及，就問變種值不值？

當然，這一技術(shù)直接就導致上述提到的出現(xiàn)接近九成新的惡意程序。

第四位，Webinjects。

這一技術(shù)黑客主要通過修改瀏覽器里面的內(nèi)容，然后利用社交工程躲避雙因素認證。這是針對于一般桌面電腦用戶的攻擊方式。

第五位，重新定向。

不少黑客開始利用重導向 (redirect)的手段進行攻擊。他們會將用戶從一個正常的訪問引導到一個虛假網(wǎng)站，但虛假網(wǎng)站的整個界面都與真正的銀行網(wǎng)站相同。黑客希望通過這種方式，引導用戶把賬號跟密碼輸入到虛假網(wǎng)站里面，這樣黑客就可以后續(xù)利用相關(guān)賬號資料進行真正的金融交易。

第六位，遠程訪問。

這項技術(shù)主要針對高價值的目標攻擊，為了獲的更高的利益，可能采用入侵認證的方式。即黑客在拿到賬號后，立即將錢轉(zhuǎn)走。而目標作為金融企業(yè)，會擁有很多有價值數(shù)據(jù)。例如：銀行都有信用卡中心，而信用卡中最有價值的是客戶資源，卡號，消費習慣等數(shù)據(jù)，這些都是黑客比較感興趣的。入侵以后，一旦黑客找到目標群體，便會遠程控制被感染的電腦，并向外傳送有價值的數(shù)據(jù)出來。

這六位童靴為什么被單獨拉了出來罰站呢？因為雷鋒網(wǎng)發(fā)現(xiàn)去年，在針對金融行業(yè)的攻擊中，沙箱躲避、無文件攻擊以及源代碼合并是網(wǎng)絡攻擊者所使用的主要攻擊策略。與此同時，無文件（Fileless）的攻擊方式也越發(fā)得到攻擊者的青睞。重新定向，Webinjects 以及遠程訪問則成為2016年的主要攻擊手段！

Soga~

四、還敢取錢嗎？

2016年11月，F(xiàn)BI發(fā)出警告，Buhtrap 攻擊組織能夠在不對ATM機進行物理篡改的情況下，成功入侵金融機構(gòu)的內(nèi)部網(wǎng)絡，并向ATM取款機發(fā)布執(zhí)行命令，隨后成功獲取大量現(xiàn)金。

臺灣警方預計，該攻擊造成超過3億美元的損失。此外，攻擊者同樣使用釣魚郵件以及其他惡意軟件對受感染的計算機進行遠程控制，隨后實施攻擊。

2016年8月，一家POS終端軟件供應商的網(wǎng)頁遭遇攻擊者入侵。報道稱，攻擊者利用盜取的信息，能夠?qū)Χ嗉伊闶凵趟褂玫腜OS終端進行遠程訪問。

攻擊消息滿天飛，10年前已經(jīng)面世的ATM惡意軟件在現(xiàn)在仍是一霸。更高科技的是現(xiàn)在攻擊者甚至不需要物理訪問，同樣能夠?qū)TM取款機與POS終端發(fā)起攻擊。

五、哦？移動終端已被黑客大佬看上

2016年，賽門鐵克監(jiān)測到了720萬個移動端惡意軟件，比前一年增長29%。

在國內(nèi)，人們已經(jīng)習慣了買買買使用微信、支付寶等程序支付，但實際上移動終端交易面臨很大的安全風險。如果你的設備沒有得到很好的安全保護，很容易就會成為黑客的攻擊目標。

在上述數(shù)據(jù)中，超過半數(shù)的移動惡意軟件與Android，MalDownloader等惡意下載器相關(guān)。

這些惡意應用程序都存在于第三方應用商店嗎？

當然不，Google Play Store 的官方應用中心竟然也有！

移動端的惡意軟件感染方式也有很多，最常見的是利用社交工程，通過向用戶發(fā)送帶有惡意鏈接的郵件，誤導潛在受害者下載偽裝成合法應用的威脅程序。攻擊者的另一常用伎倆是通過反復彈出 “設備管理激活” 對話框，直至用戶授予應用管理員權(quán)限，將惡意軟件安裝于設備中。

聽完這么多是不是感覺整個人都喪了起來，you are being watched。

不要慌，把銀行卡里的錢拿出來給自己買點好吃的，吃進肚子里就安全了。

白了個白~

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。