賽門鐵克發佈2017年金融威脅白皮書，金融威脅數量高達120萬

近日，全球網路安全領導廠商賽門鐵克公司發佈《金融威脅白皮書2017》，揭示金融行業中企業機構及消費者所面臨的愈加嚴峻的安全威脅。從利用金融木馬對網上銀行進行攻擊，

到面向ATM機與銀行內部的欺詐性☆禁☆交易，攻擊者正在利用不同的攻擊手段，時時威脅著企業與消費者。儘管相對於勒索軟體而言，金融威脅或許未得到媒體的廣泛討論，但其仍舊是網路攻擊者獲取利潤的主要方式之一。根據賽門鐵克發佈的白皮書表示，在2016年監測出的金融威脅數量高達120萬，是勒索軟體總和的2.5倍，例如，僅僅Ramnit木馬(W32.Ramnit)的數量幾乎是所有勒索軟體數量的總和。

主要發現

2016年，網路攻擊事件層出不窮。賽門鐵克發現，針對大型金融機構與企業的攻擊數量出現急速增長。在2016年，38%的金融威脅主要針對大型企業，Ramnit，Bebloh以及Zeus三大金融威脅家族主導了全球86%的金融木馬攻擊事件。日本、中國以及印度成為遭遇金融木馬攻擊的主要國家。不僅如此，APT組織正在將金融惡意程式用於更多的一般性攻擊。

隨著智慧手機等移動設備逐漸成為人們生活中不可或缺的工具，

以及越來越多的交易認證需要通過移動用戶端及短信完成，賽門鐵克發現，針對移動端的攻擊呈現出增長趨勢，為了竊取用戶的身份憑證，至少170個應用程式成為手機銀行惡意軟體的攻擊目標。

消費者與金融機構所面臨的常見金融威脅

更多針對性攻擊將金融機構作為目標

儘管大多數網路攻擊更加趨於針對任意目標，並且通常以發起大規模攻擊為主，但在2016年，部分複雜性攻擊已將目標從消費者轉向金融機構。賽門鐵克發現，2016年針對企業與金融機構的攻擊數量出現明顯的上升。其中，針對環球銀行金融電信協會（SWIFT）會員的多起超大金額網路搶劫案件引發了全球的關注。

2016年初，孟加拉銀行搶劫案成為金融攻擊中最典型的事件之一。

該攻擊利用 “BandWift” 入侵了擁有SWIFT網路存取權限的電腦，共造成8,100萬美元的損失。賽門鐵克的調研表示，此次攻擊也是首次擁有明顯跡象表明民族國家參與金融網路犯罪的案例，例如Lazarus攻擊組織。

在2016年，另一場針對全球金融機構的網路犯罪活動中，名為“Trojan.Odinaff”的惡意程式遭到曝光。利用“Odinaff”程式的攻擊十分複雜並且需要大量手動操作，這需要攻擊者能夠熟練地將一系列羽量級後門與專用工具部署於目的電腦中。

由此可以證明，該系列攻擊背後的網路攻擊組織擁有專業的技術背景。在“Odinaff”攻擊中，攻擊者再次利用了銀行的安全性漏洞入侵內部網路，並感染能夠訪問SWIFT網路的電腦與應用，但SWIFT網路自身並未受到攻擊與入侵。

以上攻擊案例均對國際金融系統的內部工作流程進行入侵，此類複雜性攻擊往往需要更長時間去計畫及實施，成功率也相對較低，但一旦成功，網路攻擊者便能夠獲得極高的利潤。也正因如此，金融搶劫對於攻擊組織而言具有強烈的吸引力。值得一提的是，複雜性攻擊中所使用的技術，曾主要用於高級針對性攻擊。

實施攻擊所需的資源、知識和耐心，以及純粹為了博取名聲的原因都表明了，網路犯罪已經進入了一個新的時代。

利用社交工程成為金融威脅的主要攻擊手段

在針對金融行業的攻擊中，沙箱躲避、無檔攻擊以及原始程式碼合併是網路攻擊者所使用的主要攻擊策略。2016年，20%的惡意軟體能夠檢測並分辨虛擬機器環境。與此同時，無檔（Fileless）的攻擊方式也越發得到攻擊者的青睞。

重新定向，Webinjects以及遠端存取則成為2016年的主要攻擊手段。值得提出的是，由於越來越多的安全工具能夠檢測並阻止Webinjects，賽門鐵克去年觀察到，使用重定向攻擊代替本地入侵（inject）成為金融攻擊的主要趨勢之一。攻擊者會利用惡意軟體將網頁重新定向至遠端網站，並在遠端伺服器中進行流量替換及詐騙。賽門鐵克甚至發現傳統DNS重定向攻擊也開始死灰復燃。

當下，社交工程在大多數網路攻擊中發揮了重要作用，這也包括針對金融行業的攻擊。無論是在入侵階段，還在是後期的多方認證階段，攻擊者甚至無需任何惡意程式，只需要利用社交工程手段便可實現攻擊。其中，商務電郵詐騙（BEC）便是去年利用社交工程的主要詐騙手段。攻擊者通過向企業的財務部門發送電子郵件，以說服其進行轉帳付款。此外，賽門鐵克還觀察到，一些網路釣魚郵件使用了個性化名稱，和其他從資料洩露中獲得資訊，使其更加具有欺騙性，增加攻擊成功幾率。

針對ATM取款機、POS終端的攻擊並未消失，移動終端成為下一個重要目標

在2016年，針對ATM取款機和POS終端的攻擊數量持續增加。儘管ATM惡意軟體在10年前便已出現，但即便是現在，它們仍舊是十分有效的手段。面向ATM機的攻擊涉及不同層次的複雜程度，但值得一提的是，如今攻擊者甚至無需物理訪問，同樣能夠對ATM取款機與POS終端發起攻擊。

2016年11月，FBI發出警告，Buhtrap攻擊組織能夠在不對ATM機進行物理篡改的情況下，成功入侵金融機構的內部網路，並向ATM取款機發佈執行命令，隨後成功獲取大量現金。臺灣警方預計，該攻擊造成超過3億美元的損失。此外，攻擊者同樣使用釣魚郵件以及其他惡意軟體對受感染的電腦進行遠端控制，隨後實施攻擊。2016年8月，一家POS終端軟體供應商的網頁遭遇攻擊者入侵。報導稱，攻擊者利用盜取的資訊，能夠對多家零售商所使用的POS終端進行遠端存取。

值得消費者注意的是，惡意應用程式如今不僅存在于協力廠商應用商店，即便在Google Play Store的官方應用中心，賽門鐵克也同樣發現受感染的應用程式。

成功率也相對較低，但一旦成功，網路攻擊者便能夠獲得極高的利潤。也正因如此，金融搶劫對於攻擊組織而言具有強烈的吸引力。值得一提的是，複雜性攻擊中所使用的技術，曾主要用於高級針對性攻擊。

實施攻擊所需的資源、知識和耐心，以及純粹為了博取名聲的原因都表明了，網路犯罪已經進入了一個新的時代。

利用社交工程成為金融威脅的主要攻擊手段

在針對金融行業的攻擊中，沙箱躲避、無檔攻擊以及原始程式碼合併是網路攻擊者所使用的主要攻擊策略。2016年，20%的惡意軟體能夠檢測並分辨虛擬機器環境。與此同時，無檔（Fileless）的攻擊方式也越發得到攻擊者的青睞。

重新定向，Webinjects以及遠端存取則成為2016年的主要攻擊手段。值得提出的是，由於越來越多的安全工具能夠檢測並阻止Webinjects，賽門鐵克去年觀察到，使用重定向攻擊代替本地入侵（inject）成為金融攻擊的主要趨勢之一。攻擊者會利用惡意軟體將網頁重新定向至遠端網站，並在遠端伺服器中進行流量替換及詐騙。賽門鐵克甚至發現傳統DNS重定向攻擊也開始死灰復燃。

當下，社交工程在大多數網路攻擊中發揮了重要作用，這也包括針對金融行業的攻擊。無論是在入侵階段，還在是後期的多方認證階段，攻擊者甚至無需任何惡意程式，只需要利用社交工程手段便可實現攻擊。其中，商務電郵詐騙（BEC）便是去年利用社交工程的主要詐騙手段。攻擊者通過向企業的財務部門發送電子郵件，以說服其進行轉帳付款。此外，賽門鐵克還觀察到，一些網路釣魚郵件使用了個性化名稱，和其他從資料洩露中獲得資訊，使其更加具有欺騙性，增加攻擊成功幾率。

針對ATM取款機、POS終端的攻擊並未消失，移動終端成為下一個重要目標

在2016年，針對ATM取款機和POS終端的攻擊數量持續增加。儘管ATM惡意軟體在10年前便已出現，但即便是現在，它們仍舊是十分有效的手段。面向ATM機的攻擊涉及不同層次的複雜程度，但值得一提的是，如今攻擊者甚至無需物理訪問，同樣能夠對ATM取款機與POS終端發起攻擊。

2016年11月，FBI發出警告，Buhtrap攻擊組織能夠在不對ATM機進行物理篡改的情況下，成功入侵金融機構的內部網路，並向ATM取款機發佈執行命令，隨後成功獲取大量現金。臺灣警方預計，該攻擊造成超過3億美元的損失。此外，攻擊者同樣使用釣魚郵件以及其他惡意軟體對受感染的電腦進行遠端控制，隨後實施攻擊。2016年8月，一家POS終端軟體供應商的網頁遭遇攻擊者入侵。報導稱，攻擊者利用盜取的資訊，能夠對多家零售商所使用的POS終端進行遠端存取。

值得消費者注意的是，惡意應用程式如今不僅存在于協力廠商應用商店，即便在Google Play Store的官方應用中心，賽門鐵克也同樣發現受感染的應用程式。