加速创新遭遇高风险 Akamai报告揭示金融服务业五大攻击趋势

互联网、大数据、人工智能、云计算等技术的加速创新，与新科技密切相关的数字金融正在兴起。在金融科技的赋能之下，传统的金融业务会变得更加数字化、智能化以及更加便捷高效。

不过在加速创新的同时，金融服务业却遭遇了诸多安全挑战。近日，阿卡迈技术公司（Akamai）发布了新一期的《互联网现状/安全性》 (SOTI) 报告，报告标题为“创新遭遇高风险：金融服务业的攻击趋势”。

报告审视了金融服务业的攻击趋势，例如：

如今社会随着互联网应用领域愈发宽广，我们对应用程序编程接口（API）的依赖也越来越巨大。与2022年第二季度相比，金融服务行业的Web应用程序和API攻击增长了65%，在18个月内发生了90亿次攻击。这在一定程度上是由于网络犯罪集团积极寻找零日漏洞和一日漏洞，作为初始入侵的途径。

随着网络犯罪的增长，金融行业被DDoS的占比也随之水涨船高。金融服务的第3层和第4层DDoS攻击持续增加，并超过游戏成为最垂直的攻击。这种增长似乎是由虚拟机僵尸网络和亲俄黑客活动的力量急剧上升造成的，这些活动是由俄乌冲突引发的。

欧洲、中东和非洲（EMEA）地区占第三层和第四层DDoS事件的63.52%，延续了去年观察到的“区域转移”趋势。针对该地区的攻击次数几乎是排名第二的地区的两倍。据推测，这是由于攻击组织针对欧洲银行的金融和政治动机。此外，这也说明了对手是多么容易迅速转移他们的注意力。

虽然金融服务行业的第三方脚本比其他行业少（30%），但它很容易受到网页浏览等攻击。然而，金融服务机构正在积极反击，采用解决方案来满足支付卡行业数据安全标准（PCI DSS）v4.0的新要求。

恶意机器人活动对企业来说是一个重大风险，因为它可能导致帐户泄露、数据盗窃、垃圾邮件、更高的基础设施和支持成本、客户流失，以及在线服务退化。恶意机器人请求的数量不断上升（1.1万亿次），激增了69%，这表明金融服务客户及其数据正在遭受持续的攻击，比如账户接管和金融聚合器带来的风险。

亚太地区及日本是重灾区

报告显示，亚太地区及日本的金融服务业仍然是全球遭受攻击最多的行业之一，2022年第2季度到2023年第2季度所遭受的Web应用程序和API攻击数量增长36%，总数超过37亿次。

随着亚太地区及日本的金融服务企业开拓更多渠道并提供更好的客户体验，它们使用的第三方脚本越来越多，实际上其占比已达到了所用脚本总数的40%。报告发现，本地文件包含（LFI）仍然是最主要的攻击媒介，并且针对亚太地区及日本金融业的攻击中有92.3%的攻击以银行为目标，对金融机构及其客户构成了巨大威胁。

Akamai亚太地区及日本安全技术和战略总监Reuben Koh表示：“亚太地区及日本的金融服务业是全球最具创新力和竞争力的行业之一。金融机构越来越多地转为使用第三方脚本，以便快速为客户增加新产品、功能及交互式体验。但是，通常企业的监测能力有限，无法识别这些脚本的真实性以及是否存在潜在漏洞，因此会为企业带来另一层风险。由于企业对存在风险的第三方脚本的监测能力有限，攻击者现在可以利用另一种媒介发动对银行及其客户的攻击。”

恶意爬虫几乎出现在各个行业，无论是传统行业、泛互联网，还是政企、金融等，都各种程度遭受着爬虫的攻击，并且爬虫流量还在逐年增长。Akamai的报告发现，2022年以来亚太地区及日本的恶意爬虫程序流量增长了128%，这凸显出针对金融服务业客户及其数据的攻击持续不断。网络犯罪分子使用爬虫程序提升攻击的规模、效率和有效性。

在全球范围内，亚太地区及日本是针对金融服务业的恶意爬虫程序请求的第二大攻击目标区域，占全球所有恶意爬虫程序请求数量的39.7%。应用场景包括抓取网站内容以冒充金融服务业品牌的网站来实施网络钓鱼骗局，以及通过自动注入所窃取的用户名和密码来实施撞库攻击，从而实现帐户接管。这表明攻击者在不断地发展其技术，并且开始专注于攻击金融服务业消费者，以获得最大的投资回报。

报告的其他重要发现包括：

API作为一种应用程序接口，既能连接服务，又可以传输数据，是各业务系统之间的关键交互枢纽。Web应用程序和API依然是攻击者在亚太地区及日本的首选攻击媒介，金融行业遭受的攻击在此类攻击中占50%，紧随其后的是商业（19.99%）和社交媒体（8.3%）。

澳大利亚、新加坡和日本是APJ地区遭受攻击最多的三个国家，所受攻击总和在所有Web应用程序和API攻击中的占比超过四分之三。作为全球金融中心，这些国家的企业持续受到大规模定向攻击不足为奇。

本地文件包含（LFI）依旧是最主要的攻击媒介，在所有攻击中占比为63.2%，而跨站点脚本攻击（XSS）和PHP注入（PHPi）分列二三，其占比分别为21.3%和6.32%。在LFI攻击中，攻击者会利用Web服务器上不安全的编码实践或实际漏洞来远程执行代码或者访问本地存储的敏感信息。例如，基于PHP的陈旧Web服务器更容易遭受LFI攻击，因为存在会绕过其输入筛选器的已有方法。

亚太地区及日本的金融服务业中的企业必须继续留意额外的监管监督和新的报告义务。例如，对第三方脚本的使用不断增加，可能会让金融机构难以符合即将实施的支付卡行业数据安全标准（PCI DSS）v4.0的要求，该版本中将纳入与客户端脚本监测能力及管理相关的具体内容。监管机构可能会越来越加强实施新的法规的力度，因此各个企业必须确保考虑到这些新的合规性要求，否则可能会面临罚款或声誉受损。

写在最后

展望未来，随着金融业的创新步伐加快，网络犯罪分子随时都在尝试寻找更复杂的新方式来发动网络攻击。随着该行业金融服务聚合商以及那些渴望采用开放银行实践的企业的数量不断增加，这意味着该行业未来的发展会更加依赖使用API和第三方脚本，而这会导致攻击面的进一步扩大。

基于此，金融机构必须专注于保护新的数字产品，不断向客户普及有关网络安全最佳实践的相关知识，并投资于面向用户的流畅安全措施。随着监管机构实施各种政策来强化网络安全标准，金融服务企业还必须了解并考虑新的合规性要求，同时增强其抵御现代网络威胁的安全态势和网络韧性。