根据安全数字化体验智能边缘平台最新发布的《2019年互联网安全状况报告:针对金融服务业的攻击经济》数据显示,在所有受网络钓鱼域影响的企业中,有50%来自金融服务行业。
数据显示,除了独特的网络钓鱼尝试之外,攻击者还利用凭证填充攻击在18个月的时间内进行了35亿次攻击尝试,使得金融服务行业客户的个人数据和银行信息面临严峻风险。
网络钓鱼域名和凭据填充
该报告表明,在2018年12月2日至2019年5月4日期间,共计发现了近200,000个网络钓鱼域名,其中66%直接瞄准了消费者。在考虑仅针对消费者的网络钓鱼域时,50%的目标公司是金融服务行业。
德迅云安全研究人员表示:
过去一年,凭证填充攻击一直在稳步增长,部分原因是针对消费者的网络钓鱼攻击有所增加。犯罪分子通过网络钓鱼来补充现有的被盗凭证数据,然后,他们赚钱的一种方式是劫持帐户或转售他们所创建的列表。我们看到整个经济正朝着金融服务组织及其消费者的方向发展。
用被盗身份开设账户
一旦犯罪分子成功实施了他们的计划,他们就需要处理自己获取到的不义之财和数据。正如德迅云安全的报告所强调的那样,犯罪分子处理这种情况的方法之一是利用“BankDrops”数据包,可用于在特定金融机构进行欺诈性开户。
BankDrops通常包括个人被盗身份(通常被网上的犯罪分子称为“Fullz数据”,其中包括姓名、地址、出生日期、社会保障详细信息、驾照信息和信用评分)。他们通过远程桌面服务器安全访问欺诈帐户,这些服务器与银行的地理位置和“Fullz”数据完全匹配。
金融机构正在继续研究犯罪分子开设这些账户的方式,并正在努力保持领先地位。但是,大多数企业没有意识到的是,犯罪分子们正在重拾老式的攻击方法。
德迅云安全的调查结果显示,在观察到的针对金融服务行业的攻击中,有94%来自以下四种攻击方法:SQL注入(SQLi),本地文件包含(LFI),跨站点脚本(XSS)以及OGNL Java注入(占在本报告期内,有超过800万次尝试)。由于Apache Struts漏洞而闻名的OGNL Java 注入,在发布补丁数年后仍被攻击者继续使用。
SQL注入攻击
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
SQL注入攻击会导致的数据库安全风险包括:刷库、拖库、撞库。
防御建议:SQL注入攻击属于数据库安全攻击手段之一,可以通过数据库安全防护技术实现有效防护,数据库安全防护技术包括:数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。
本地文件包含(Local File Include,简称LFI)
本地文件包含(Local File Include)是php脚本的一大特色,程序员们为了开发的方便,常常会用到包含。比如把一系列功能函数都写进fuction.php中,之后当某个文件需要调用的时候就直接在文件头中写上一句<?php include fuction.php?>就可以调用内部定义的函数。
本地包含漏洞是PHP中一种典型的高危漏洞。由于程序员未对用户可控的变量进行输入检查,导致用户可以控制被包含的文件,成功利用时可以使web server会将特定文件当成php执行,从而导致用户可获取一定的服务器权限。
防御建议:1)严格判断包含的参数是否外部可控,因为文件包含漏洞利用成功与否的关键点就在于被包含的文件是否可被外部控制;2)路径限制:限制被包含的文件只能在某一文件夹内,一定要禁止目录跳转字符,如:“../”;3)包含文件验证:验证被包含的文件是否是白名单中的一员;4)尽量不要使用动态包含,可以在需要包含的页面固定写好,如:include("head.php");。
跨站点脚本(XSS)
跨站点脚本是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。指的是恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
其危害包括:1)盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号;2)控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力;3)盗窃企业重要的具有商业价值的资料;4)非法转账;5)强制发送电子邮件;6)网站挂马;7)控制受害者机器向其它网站发起攻击。
防御建议:1)执行内部的输入过滤(有时候称为输入清洁设备)。对于内部书写的每个脚本中的每个用户输入 —— 参数或 HTTP 头,都应该应用高级的 HTML 标签(包括 JavaScript 代码)过滤;2)执行“输出过滤”,换句话说,当发回给浏览器时过滤用户数据,而不是当被脚本接收时;3)通过安装第三方应用程序防火墙,防火墙在 XSS 攻击到达 Web 服务器和易受攻击的脚本之前拦截它们,并阻塞它们。
OGNL Java注入
对象图导航语言(OGNL)是一种用于Java的开源表达式语言。OGNL的主要功能是获取和设置对象属性。在Java中可以做的大部分工作都可以在OGNL中实现。
而所谓“注入”指的是利用软件中为正常目的预留的数据传递途径,把恶意代码或恶意数据送入程序体中去,对软件产生负面影响的操作。
DDoS攻击:打击资产和声誉
在金融服务行业中,犯罪分子还开始发起DDoS攻击,以分散进行凭证填充攻击或利用基于Web的漏洞的注意力。在18个月的时间里,Akamai发现,仅仅是针对金融服务行业的DDoS攻击就高达800多次。
最近发生了一系列针对多家金融服务组织的DDoS攻击,这些攻击使用TCP SYN-ACK数据包来淹没他们的数据中心。他们对这些影响有限,但似乎攻击者的次要目标是破坏他们的在线声誉。
用于使反射器发送SYN-ACK的原始SYN数据包被反射器视为SYN泛洪攻击,并导致反射器将欺骗性IP地址标记为恶意行为者。这造成了将金融服务IP地址列入黑名单的次要影响,并为维权者制造了更多问题。有一种理论认为,这种攻击方式会损害金融工具和工具制造商的声誉,因为它们会恶意地将金融服务公司误认为是坏人。Spamhaus项目会尤为受到影响,因为愤怒的安全团队打电话来质问为什么他们突然被列为恶意网站。
金融行业该如何避免被这些攻击影响
安全加速SCDN安全防范的策略
安全加速(Secure Content Delivery Network,SCDN)是德迅云安全推出的集分布式DDoS防护、CC防护、WAF防护、BOT、SQL注入、xss攻击行为分析为一体的安全加速解决方案是目前市面上主流金融行业的首选为金融企业提供全面的业务安全风险防控。
功能特性
Web攻击防护
- OWASP TOP 10威胁防护:有效防御 SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击。专业的攻防团队7*24小时跟进0day漏洞,分析漏洞原理,并制定安全防护策略,及时进行防护。
- AI检测和行为分析:通过对德迅云积累海量日志进行学习和训练输出多种Web安全防护模型,对用户多请求的多元因子进行智能分析,有效提高检出率,降低误报率;通过信息孤岛、行为检测分析,识别恶意攻击源,保护网站安全。
- 智能语义解析引擎:提供智能语义解析功能,在漏洞防御的基础上,增强SQL注入和XXS攻击检测能力。
应用层DDoS防护
- 威胁情报库:通过大数据分析平台,实时汇总分析攻击日志,提取攻击特征并进行威胁等级评估,形成威胁情报库。
- 个性化策略配置:如请求没有命中威胁情报库中的高风险特征,则通过IP黑白名单、访问频率控制等防御攻击。
- 日志自学习:实时动态学习网站访问特征,建立网站的正常访问基线。
- 人机校验:当请求与网站正常访问基线不一致时,启动人机校验(如JS验证、META验证等)方式进行验证,拦截攻击。
- 慢连接攻击防御:对Slow Headers攻击,通过检测请求头超时时间、最大包数量阈值进行防护。及对Slow Post攻击,通过检测请求小包数量阈值进行防护。
合规性保障
- 自定义防护规则:用户可以对HTTP协议字段进行组合,制定访问控制规则,支持地域、请求头、请求内容设置过滤条件,支持正则语法。
- 网页防篡改:采用强制静态缓存锁定和更新机制,对网站特定页面进行保护,即使源站相关网页被篡改,依然能够返回给用户缓存页面。
- 访问日志审计:记录所有用户访问日志,对访问源进行TOP N,提供趋势分析,可以根据需要提供日志下载功能。
- 数据防泄漏:对response报文进行处理,对响应内容和响应进行识别和过滤,根据需要设置数据防泄漏规则,保护网站数据安全。
HTTP流量管理
- 支持HTTP流量管理:可以设置源IP或者特点接口访问速率,对超过速率的访问进行排队处理,减缓服务器压力。
- 请求头管理:可以根据业务需要对请求头和响应头进行处理,可进行请求头替换或者敏感信息隐藏设置。
安全可视化
- 四大安全分析报表:默认提供Web安全攻击报表、CC攻击防护报表、用户访问统计报表和自定义规则命中报表,满足业务汇报和趋势分析需求。
- 实时数据统计:提供基于均值和峰值带宽统计信息,提供攻击带宽和正常占比,随时关注业务状况。提供多种组件,了解业务监控和核心指标变化情况。
- 全量日志处理:提供全量日志查询和下载功能,可以通过OpenAPI接口获取实时日志或离线日志信息。
199
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
