自從網(wǎng)絡(luò)時(shí)代開(kāi)始，金融行業(yè)一直是最容易被攻擊的幾個(gè)行業(yè)之一，它占火傘云相關(guān)跟蹤攻擊嘗試的28%，僅次于游戲行業(yè)。隨著網(wǎng)絡(luò)犯罪的增長(zhǎng)，金融服務(wù)業(yè)將繼續(xù)成為網(wǎng)絡(luò)攻擊者的重點(diǎn)目標(biāo)。

攻擊者出于多種原因瞄準(zhǔn)金融領(lǐng)域，但最重要的原因是金融行業(yè)直接和錢(qián)相關(guān)聯(lián)，因此很容易獲得巨額收入和或獲取有價(jià)值的數(shù)據(jù)。任何不安全的銀行數(shù)據(jù)、加密錢(qián)包、密碼或內(nèi)部系統(tǒng)的漏洞都為攻擊者提供了耗盡賬戶和傳輸信息所需的契機(jī)。許多金融服務(wù)網(wǎng)站都需要高價(jià)值的個(gè)人信息（例如身份證號(hào)碼、信用卡或其他數(shù)據(jù)）來(lái)創(chuàng)建或訪問(wèn)帳戶信息。除非這些數(shù)據(jù)得到妥當(dāng)?shù)谋Ｗo(hù)，否則攻擊者可以輕松訪問(wèn)、使用或出售這些數(shù)據(jù)。攻擊者可以勒索網(wǎng)站并逼迫金融公司支付賠償金，否則公司就會(huì)冒著聲譽(yù)受損的巨大風(fēng)險(xiǎn)。

火傘云為大家分享金融服務(wù)行業(yè)最容易被使用的攻擊類(lèi)型：

01API安全

金融行業(yè)通常利用API來(lái)連接應(yīng)用程序和系統(tǒng)，并在手機(jī)上啟用銀行小部件和其他數(shù)字服務(wù)等功能。盡管API讓客戶和開(kāi)發(fā)人員的工作變得更加輕松，但它們也帶來(lái)了全新的威脅。由于API被設(shè)計(jì)為易于調(diào)取和訪問(wèn)，因此本質(zhì)上是開(kāi)放且易用的，這使得API成為攻擊者訪問(wèn)后端數(shù)據(jù)庫(kù)的機(jī)會(huì)。

根據(jù)我們的跟蹤的一個(gè)比較常見(jiàn)的與API相關(guān)的安全威脅是API違規(guī)，即與API預(yù)期定義不符的調(diào)用。我們通過(guò)客戶提供API定義，或者通過(guò)觀察API流量并隨著時(shí)間的推移了解定義來(lái)確定API定義。因此我們可以檢測(cè)不符合預(yù)期定義的API調(diào)用，并將其定義為攻擊。

對(duì)API站點(diǎn)的大多數(shù)攻擊都是API違規(guī)，例如可疑調(diào)用、不正確的數(shù)據(jù)類(lèi)型等。

影子API是未記錄且不由正常IT管理和安全流程維護(hù)的API。當(dāng)API被棄用但未刪除時(shí)，它們可能會(huì)成為影子API。此外，這也可能是由于開(kāi)發(fā)人員在沒(méi)有文檔或清單的情況下發(fā)布API，或開(kāi)發(fā)人員無(wú)意中對(duì)現(xiàn)有隱藏API進(jìn)行更改而導(dǎo)致其暴露的結(jié)果。

如果不維護(hù)影子API，就會(huì)帶來(lái)巨大的安全風(fēng)險(xiǎn)，并為攻擊者提供訪問(wèn)網(wǎng)絡(luò)其余部分的媒介。2022年金融服務(wù)行業(yè)的所有API會(huì)話中有30%連接到影子API，這一比例高于2021年的2%。隨著越來(lái)越多的API投入使用，忘記API或讓它變成影子API的風(fēng)險(xiǎn)也會(huì)增加。

02DDoS攻擊

除了拒絕服務(wù)之外，攻擊者還可以使用DDoS來(lái)分散其他更具侵入性的攻擊方法的注意力，或破壞安全更新。DDoS還可用于對(duì)金融機(jī)構(gòu)進(jìn)行勒索和勒索，以向攻擊者支付費(fèi)用以恢復(fù)功能。如果攻擊者能夠破壞大型金融機(jī)構(gòu)的功能并影響其為客戶提供服務(wù)的能力，他們可能愿意支付大量資金來(lái)恢復(fù)服務(wù)。

2022年金融行業(yè)的DDoS攻擊呈上升趨勢(shì)，2023年從目前趨勢(shì)來(lái)看可能還會(huì)增加。總體而言，2022年針對(duì)金融服務(wù)的DDoS攻擊量比2021年增長(zhǎng)了121%。平均而言，2022年針對(duì)金融服務(wù)的DDoS攻擊持續(xù)時(shí)間約為7.5分鐘，但我們監(jiān)測(cè)到的單次最長(zhǎng)攻擊時(shí)間接近12.5小時(shí)。

由于金融服務(wù)被認(rèn)為是重要的民用基礎(chǔ)設(shè)施，其運(yùn)營(yíng)的任何中斷都可能產(chǎn)生嚴(yán)重影響。例如，在俄烏戰(zhàn)爭(zhēng)沖突爆發(fā)之初，烏克蘭銀行遭受了DDoS攻擊，極大地影響了該國(guó)開(kāi)展關(guān)鍵服務(wù)的能力。

03惡意機(jī)器人威脅

惡意機(jī)器人對(duì)金融服務(wù)業(yè)構(gòu)成了另一個(gè)巨大威脅，金融網(wǎng)站27%的流量來(lái)自惡意機(jī)器人，并且通過(guò)多種自動(dòng)化方法來(lái)進(jìn)行惡意活動(dòng)。賬戶接管(ATO)攻擊（即機(jī)器人試圖通過(guò)暴力或使用被盜憑證來(lái)訪問(wèn)用戶賬戶）在金融服務(wù)行業(yè)很常見(jiàn)。

其他與機(jī)器人相關(guān)的攻擊包括信用卡欺詐、數(shù)據(jù)抓取或針對(duì)API級(jí)別的金融網(wǎng)站。尤其是帳戶接管攻擊對(duì)該行業(yè)來(lái)說(shuō)是一個(gè)巨大的威脅。攻擊者嘗試通過(guò)多種方法登錄現(xiàn)有帳戶，并訪問(wèn)該帳戶包含的數(shù)據(jù)。大多數(shù)ATO攻擊都是通過(guò)預(yù)先識(shí)別的機(jī)器人簽名或幾種不同類(lèi)型的暴力嘗試來(lái)識(shí)別的。同時(shí)金融網(wǎng)站在ATO攻擊中所占比例最高，達(dá)到38%。

結(jié)論

金融服務(wù)行業(yè)的特點(diǎn)天生就決定了它對(duì)攻擊者來(lái)說(shuō)是一個(gè)誘人的目標(biāo)，但我們可以采取措施讓攻擊者更難得逞。我們需要專業(yè)的公司比如火傘云等制定網(wǎng)絡(luò)安全計(jì)劃并及時(shí)了解最新的安全更新，投資DDoS防護(hù)以確保持續(xù)可用性，并確保API得到正確維護(hù)。