freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

94%对金融服务行业的攻击都是以下的方式
2019-08-19 17:17:38
所属地 广东省

Akamai 2019年互联网安全金融服务攻击经济报告的数据显示,在所有受到网络钓鱼域影响的机构中,有50%都来自金融服务行业。此外,数据显示,在18个月内,攻击者发起了高达35亿次攻击尝试,不仅利用网络钓鱼,还利用了凭证填充攻击,这使金融服务客户的个人数据和银行信息面临风险。

一、网络钓鱼域名和凭证填充

报告指出,在2018年12月2日到2019年5月4日期间,检测出了将近200000个网络钓鱼域,其中66%的网络钓鱼域直接针对消费客户。而在仅针对消费客户的网络钓鱼域里,又有50%的目标公司来自金融服务行业。(约6600个网络钓鱼域)。“犯罪分子通过网络钓鱼补充现有的被盗凭证数据,然后他们赚钱的一种方式是劫持帐户或转售他们创建的列表。我们看到整个经济正朝着金融服务组织及其消费者的方向发展。“

faq_2019081301_image001.jpg

二、bank drops:设立账户

犯罪分子成功完成攻击后,就需要处理他们的不义之财:数据和资金。正如Akamai的报告所强调的那样,处理这种情况的一种方法通常是利用“bank drops” –一种可用于欺诈性地在特定金融机构开立账户的数据包。

Bank drops通常包括个人的被盗身份(网络犯罪分子通常称之为’fullz’,包括姓名,地址,出生日期,社会保障详情,驾驶执照信息和信用评分。)犯罪分子通过远程桌面服务器安全访问欺诈性帐户,这些服务器与银行的地理位置和“Fullz”相匹配。

金融机构一直都在调查犯罪分子设立这些账户的方式,并试图提前一步发现问题。但是,大多数企业没有意识到的是,犯罪分子正在重新使用旧的攻击手段。

Akamai的调查结果显示,94%观察到的金融服务攻击来自四种方法之一:SQL注入(SQLi),本地文件包含(LFI),跨站点脚本执行(XSS)和OGNL Java注入(在本报告覆盖期内,攻击者使用这种方法发动超过800万次攻击尝试)。OGNL Java 注入因为Apache Struts漏洞而闻名,而在发布补丁程序数年后,仍然在被攻击者继续使用。

三、DDoS 攻击: 损害资产和声誉

在金融服务行业,犯罪分子也已经开始发起DDoS攻击,分散大众对于凭证填充攻击或利用基于Web的漏洞的关注。在18个月的时间里,Akamai发现针对金融服务行业的DDoS攻击超过800次。

McKeay认为:“攻击者正在瞄准金融服务组织的弱点,也就是消费者、网络应用程序和可用性,因为事实证明,这非常有效。”

faq_2019081301_image002.jpg

最近(2019年3月),很多针对几家金融服务机构的DDoS攻击都使用TCP SYN-ACK数据包来淹没他们的数据中心,尽管这种攻击影响有限,但似乎攻击者的目标之一是为了破坏这些机构的对外声誉。

用于让反射器发送 SYN-ACK的原始SYN数据包,被反射器视为SYN泛洪攻击,并导致反射器把伪造的ip地址标记为恶意参与者。此外,这还造成了金融服务的IP地址被列入黑名单的结果,给维护者带来了更多的难点和挑战。

“一种理论认为,这种行为是通过让金融服务组织被错误地识别为恶意参与者,从而损害工具和工具制造商的声誉。譬如Spamhaus项目就受到了特别大的影响,愤怒的安全团队甚至打电话来问,为什么他们突然被列为恶意的。“

在过去一年内,一系列国际数据保护法规相继出台,包括欧洲《通用数据保护条例》(GDPR)、《加利福尼亚州消费者隐私法案》(CCPA),以及最近的新加坡《个人资料保护法案》(PDPA)。严格的数据合规要求下,保护数据隐私成为每个企业都需要面对的事情。那么,企业究竟该如何做呢?

1、 企业应部署SSL证书。为了防止用户误入假冒网站/钓鱼网站的陷阱,企业网站应部署SSL证书或更高级别的EV SSL证书,将企业网站和钓鱼网站区分开,网址栏展示HTTPS、安全锁以及证书中的网站真实身份信息,让用户拥有足够的信息判断网站真实性,对比之下,假冒网站立显原形。

2、 企业应为软件进行代码签名证书。合法APP应使用代码签名证书签名软件程序,签名后的软件,可展示软件开发者的真实身份,同时证明软件在传输过程中没有被非法篡改或植入病毒木马,用户可通过证书,判断软件来源的真实性及软件程序的完整性。

3、企业应为员工通讯邮箱部署电子邮件证书,为保护客户的利益,维护客户数据安全。邮件用户使用沃通邮件证书对电子邮件进行数字签名并加密传输,一方面可以保证邮件发送者身份真实性,另一方面保障了邮件传输过程中不被他人阅读及篡改,并由邮件接收者进行验证,确保电子邮件内容的完整性。

如今,数据正成为数字化世界中的强大经济引擎。这时如何确保数据保护和数据安全,尤其涉及到敏感的隐私信息,都是摆在我们面前的重要挑战。可以说,一旦做好了个人数据的防护,不仅能够有效避免数据泄露的危害,还能够大幅消除用户对于个人隐私泄露的疑虑 。

如果用户遇到的问题不能解决,可通过Wotrus官网客服寻求帮助,凡是选择Wotrus ssl证书的网站用户,Wotrus可提供免费一对一的ssl证书技术部署支持,免除后顾之忧。

翻译自:helpnetsecurity

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者