概述

近日，卡巴斯基最新发布了《2022年的金融网络威胁报告》，提供了整个威胁领域的最新趋势概述，以更好地帮助组织应对相关挑战。

众所周知，经济利益始终是网络犯罪活动的主要驱动力。在过去的一年里，我们看到了这一领域的多种发展——从针对非接触式支付的新攻击方案，到持续出现并困扰企业的多个勒索软件组织。然而，传统的金融威胁（如银行恶意软件和金融网络钓鱼）也继续在这类“以经济为动机”的网络攻击中占据很大份额。

在过去的2022年，我们看到了臭名昭著的Emotet僵尸网络的重大升级，以及Emotet运营商发起的大规模活动。例如，在2022年4月，针对组织的恶意垃圾邮件活动增长了10倍，旨在传播Qbot和Emotet恶意软件。我们还见证了新的银行木马的出现，它们正在寻找银行登录凭据，一些知名木马的活动也在增加，如Dtrack、Zbot和Qbot。

好消息是，尽管有这些持续的升级，但我们也看到银行木马攻击的数量正在稳步下降。集成到操作系统中的安全解决方案、双因素身份验证以及其他验证措施，有助于减少易受攻击的用户数量。此外，在许多市场，手机银行正在冲击网上银行，越来越多方便和安全的银行应用程序正在出现。

与此同时，加密货币成为了那些寻求经济利益的人的主要目标。与加密货币相关的网络钓鱼数量在2022年显著增长，伴随着层出不穷的新币、NFT和其他DeFi项目，骗子也在不断地欺骗用户。通过加密货币损失的资金很难追踪，在监管机构的帮助下也不可能追回，因此这一趋势可能会继续下去。

一些高级持续性威胁（APT）参与者也开始涉足加密货币市场。我们之前报道过Lazarus团伙，该团伙开发了VHD勒索软件，旨在非法牟利。现在我们看到APT参与者也转向了加密货币。BlueNoroff开发了一个精心设计的网络钓鱼活动，针对初创公司，传播恶意软件，窃取与设备绑定的账户中的所有加密货币。他们假冒了许多风险投资集团和投资者，并取得了相当大的成功。NaiveCopy活动是高级威胁的另一个例子，其针对的是韩国的股票和加密货币投资者。该市场还有更大的发展空间——硬件钱包和智能合约可以为攻击者提供一个新的诱人目标。

重要发现

网络钓鱼

• 2022年，金融网络钓鱼占所有网络钓鱼攻击的3%；
• 网店品牌是最受欢迎的诱饵，占了钓鱼网站访问量的56%；
• 在电子支付系统类别中，PayPal几乎是钓鱼者唯一关注的焦点，84%的钓鱼页面针对该平台；
• 2022年加密货币网络钓鱼同比增长40%，检测到5040520次，而2021年为3596437次

PC恶意软件

• 2022年，受金融恶意软件影响的用户数量继续下降，比2021年下降了14%；
• Ramnit和Zbot是最流行的恶意软件家族，针对超过50%的受影响用户；
• 消费者仍然是金融网络威胁的主要目标，占攻击的8%。

移动恶意软件

• 与2021年相比，2022年受到银行恶意软件攻击的安卓用户数量下降了约55%；
• 2022年，Bian超过Agent成为最活跃的移动恶意软件家族，占攻击的22%，而Agent占20%；
• 2022年Android银行恶意软件影响用户的地理分布显示，西班牙的目标用户比例最高，为96%，其次是沙特阿拉伯（1.11%）和澳大利亚（1.09%）。

金融网络钓鱼

网络钓鱼仍然是最普遍的网络犯罪形式之一，这要归功于其较低的准入门槛和有效性。正如我们之前所报道的，网络犯罪分子可以通过购买现成的网络钓鱼工具包，以最小的努力发起网络钓鱼活动。

网络钓鱼通常围绕着一个经典的方案：首先创建一个网站，然后制作电子邮件或通知，模仿真实的组织，并提示用户链接到该网站，分享他们的个人或支付信息，或下载伪装成恶意软件的程序。钓鱼者会模仿各种类型的组织，包括银行、政府服务、零售和娱乐，只要这些服务有强大的用户基础。

金融服务尤其受到钓鱼者的高度关注，因为它与货币和支付数据有直接关联。2022年，卡巴斯基反钓鱼技术检测到的所有网络钓鱼攻击中，36.3%与金融网络钓鱼有关。

【2022年按类型划分的金融钓鱼案件分布情况】

在这份报告中，金融网络钓鱼包括特定的银行，但也包括电子商店和支付系统。

支付系统网络钓鱼指的是模仿知名支付品牌的网络钓鱼页面，如PayPal、万事达、Visa和美国运通。电子商店指的是在线商店和拍卖网站，比如亚马逊、全球速卖通、App Store和eBay。

2022年，网店品牌是钓鱼者最常用的诱饵类型，占了钓鱼网站访问量的15.56%。如果观察金融网络钓鱼的分布，电子商店占金融网络钓鱼案件的42%；紧随其后的是支付系统（10.39%）和银行（10.39%）。网上购物在全球范围内持续增长，因此，被钓鱼者模仿的品牌数量不断增加，新方案也不断出现。

【2022年电子商店品牌最常被金融网络钓鱼计划利用】

2022年，苹果仍是最受骗子青睐的品牌，占攻击的近60%。事实证明，赢得最新款苹果设备的诱惑对许多用户来说是不可抗拒的，尤其是在当前全球危机、价格不断上涨的情况下。我们不仅在苹果公司的重大活动期间看到了这类骗局的激增，而且骗子还经常利用苹果公司来引诱受害者，例如，在国际足联世界杯等重大活动期间，骗子会提供新发布的iphone作为预测比赛结果的奖品。与此同时，亚马逊仍以14.81%的攻击率位居第二。

在电子支付系统领域，PayPal一直是骗子利用的热门目标。然而，最近的数据表明，今年它不仅是主要的，而且几乎是钓鱼者的唯一焦点，电子支付系统的钓鱼页面中有惊人的84.23%针对PayPal。因此，其他支付系统的份额大幅下降，到2022年，万事达卡国际公司的份额降至3.75%，Visa公司的份额降至3.10%，美国运通的份额降至2.02%。

【2022年最常被用于金融网络钓鱼计划的电子支付品牌分布】

【仿冒PayPal登录页面的钓鱼页面示例】

加密货币钓鱼

在2022年，加密货币网络钓鱼上升到足以被列为一个单独的类别。虽然访问此类网站的尝试总数仅占所有网络钓鱼的一小部分（0.87%），但这类网络钓鱼同比增长40%，2022年检测到5,040,520次，而2021年为3,596,437次。加密钓鱼的繁荣部分原因可能是我们去年看到的加密市场浩劫。也就是说，到目前为止还不清楚这种趋势是否会继续下去，这在很大程度上取决于用户对加密货币的信任。

【提供加密的钓鱼页面的例子】

加密骗局利用加密货币的话题来欺骗人们（通常是通过承诺高回报的投资）并窃取他们的钱，常见类型包括庞氏骗局、ICO骗局、网络钓鱼骗局和假钱包骗局。

【一个请求加密货币详细信息的钓鱼页面例子】

银行恶意软件

报告指出，受金融恶意软件影响的用户数量持续下降。数据显示，从2021年的405985人减少到2022年的350808人，下降了14%。这一下降遵循了前几年观察到的趋势，2021年下降35%，2020年下降20%，2019年下降近13%。由于维护和开发能够成功攻击用户的僵尸网络所带来的挑战和成本增长，金融PC恶意软件正在式微。

为了成功实施攻击，木马必须等到用户手动登录他们的银行网站，而随着手机银行应用程序的普及，这种情况已经变得越来越少见。此外，最新版本的操作系统都带有内置的安全系统，系统中长期存在会增加恶意软件被检测到的可能性。这也可能表明，随着网络犯罪分子开始优先考虑大型企业目标，他们正在转向高级定向攻击。

此外，网络犯罪分子正在调整他们的策略，以利用向移动银行转变这一大趋势。随着越来越多的用户转向手机银行，攻击者正在开发新的技术来侵入移动设备并窃取敏感信息。

【2021 - 2022年受银行恶意软件攻击的唯一用户数量的动态变化】

银行恶意软件的主要参与者

我们对2022年金融网络威胁的分析显示，存在几个生命周期不同的银行恶意软件家族。其中，Ramnit以34.4%的份额成为最流行的恶意软件家族，其次是Zbot，占16.2%。有趣的是，分析强调，超过50%的受影响用户仅被这两个家庭针对。motet之前被欧洲刑警组织称为世界上最危险的恶意软件，在执法部门于2021年1月将其关闭后，它重新回到了最活跃的恶意软件家族的前三名。Emotet的生命周期生动地展示了恶意软件家族如何不断发展、扩展渗透并破坏金融系统的能力。

十大PC银行恶意软件家族

受攻击用户的地理位置

2022年的报告还显示了金融恶意软件攻击在不同国家的分布情况。以下名单中排名前10的国家占所有感染企图的一半以上。

受攻击用户比例排名前10的国家和地区

受攻击的用户类型

2022年的数据显示，金融网络威胁的分布保持相对稳定，消费者（61.8%）仍然是主要目标，企业用户（38.2%）占攻击的比例较小。2022年的增幅相对较小，不到1%，并不代表攻击的总体分布发生了重大变化。

【2021 - 2022年恶意软件攻击类型分布（企业vs消费者）】

这可以归因于这样一个事实，即世界已经习惯了大流行后的新工作方式，许多公司继续采用远程或混合工作模式。在家或远程办公的趋势已经不是什么新鲜事了，许多公司已经适应了这种趋势。因此，他们也学会了如何应对潜在的威胁，并采取措施确保员工设备和数据的安全。现在，员工可能会出于个人和工作目的使用类似的设备和安全措施，这使得网络犯罪分子更难区分消费者和企业目标。

移动银行恶意软件

我们观察到，至少四年来，受银行恶意软件影响的安卓用户数量呈稳步下降趋势。2022年，受到银行恶意软件攻击的安卓用户数量为57,219人，比前一年报告的数字减少了2.5倍多，下降了约55%。

这一趋势标志着前几年的延续，2020年受攻击的安卓用户数量下降了55%，2021年下降了近50%，导致2021年共有147,316名用户受到影响。

【2020 - 2022年每月受银行恶意软件攻击的Android用户数量】

尽管受到银行恶意软件影响的Android用户数量稳步下降，但重要的是用户不要自满，因为网络犯罪分子正在不断进化他们的恶意软件，并寻找新的方法来实施攻击。在2022年，我们发现了超过20万新的银行木马安装者，这是前一年报告的数字的两倍。

比较2021年和2022年最活跃的移动恶意软件家族，我们看到了一些重大变化。在2022年，Bian超过Agent成为最活跃的移动恶意软件家族，攻击率为24.25%，而Agent为21.57%。

至于榜单上的其他恶意软件家族，Anubis（11.24%）和Faketoken（10.53%）分别保持在前5名的位置。Asacub也保持在前五名的位置，占到近10%的攻击，但从2021年的第三名降至第五名。

Top10安卓银行恶意软件家族

受攻击用户的地理位置

从2022年Android银行恶意软件影响用户的地理分布来看，西班牙的目标用户比例最高，为1.96%，其次是沙特阿拉伯，为1.11%。

受攻击用户比例排名前10的国家和地区

结语

2022年的调查结果表明，银行恶意软件攻击持续下降，无论是PC恶意软件还是移动恶意软件。尽管如此，此类攻击的数量仍然很大，用户需要一如既往地保持警惕。与此同时，网络犯罪分子正将重点转向加密货币，因为这些攻击更难追踪。随着新的支付系统的出现，我们肯定会在未来看到新的攻击，而且可能会有更多针对加密货币的攻击。

此外，金融网络钓鱼仍然是所有网络钓鱼的首要类别，欺诈者继续寻找银行和其他敏感数据，利用可信赖的品牌。这种活动不太可能消失，我们将继续目睹新的计划定期出现。

为了防范金融威胁，安全专家建议：

• 只安装从可靠来源获得的应用程序；
• 在没有首先确保它们与应用程序的功能集匹配之前，不要批准应用程序请求的权限或权限；
• 永远不要打开包含在意外或可疑消息中的链接或文档；
• 使用可靠的安全解决方案，保护数字基础设施免受各种金融网络威胁

为了保护组织的业务免受金融恶意软件的侵害，安全专家建议：

• 提供网络安全意识培训，特别是对负责金融的员工，其中包括如何检测钓鱼页面的说明

，以提高员工的数字素养；

• 针对重要用户配置文件，特别是财务部门的重要用户配置文件，启用默认拒绝策略，确保用户只能访问合法的web资源；
• 为所有使用的软件安装最新的更新和补丁。

原文链接：

https://securelist.com/financial-cyberthreats-in-2022/109219/