2020年金融机构面临的网络威胁:概述和预测

2020年5G技术预测

 

卡巴斯基安全公告2019。2020年的高级威胁预测

 

互联医疗2020的网络安全:概述和预测

 

2020企业安全预测

 

2020年金融机构面临的网络威胁:概述和预测

 

关键事件2019

  • 大规模的反欺诈旁路:发现了创世纪数字指纹市场
  • 多因素身份验证(MFA)和生物识别挑战
  • 针对金融机构的有针对性的攻击集团:分裂和全球化
  • ATM恶意软件更具针对性
  • 卡信息盗窃和重复使用:到处都是疯了,拉丁美洲的POS恶意软件家族之战

大规模的反欺诈旁路:发现了创世纪数字指纹市场

在过去的几年中,网络罪犯已经在绕过反欺诈系统的方法上进行了大量投资,因为现在仅窃取登录名,密码和PII并不足够–他们现在需要数字指纹才能绕过反欺诈系统,以便从银行提取钱。在2019年期间,我们确定了一个巨大的地下市场Genesis,该市场出售全球在线银行用户的数字指纹。

从反欺诈系统的角度来看,用户的数字身份是数字指纹-每种设备独有的系统属性以及用户的个人行为属性的组合。它包括IP地址(外部和本地),屏幕信息(屏幕分辨率,窗口大小),固件版本,操作系统版本,安装的浏览器插件,时区,设备ID,电池信息,字体等。设备可能已经超过用于浏览的100个属性。数字身份的第二部分是行为分析。

随着犯罪分子不断寻找克服反欺诈保障措施的方法,他们试图用伪造的指纹或从他人的PC窃取的现有指纹代替系统的真实指纹。

Genesis Store是一个仅受邀请的在线私人网络犯罪市场,用于窃取数字指纹。在我们进行研究时,它提供了超过6万个被盗的漫游器配置文件。这些配置文件包括浏览器指纹,网站用户登录名和密码,Cookie,信用卡信息等。通过将此指纹上载到Tenebris Linken Sphere浏览器,犯罪分子能够冒充来自任何地区,国家,州,城市的合法网上银行用户等

这种类型的攻击表明,犯罪分子对内部银行系统的工作原理具有深入的了解,这是防止此类攻击的真正挑战。最好的选择是始终使用多因素身份验证。

多因素身份验证(MFA)和生物识别挑战

MFA是网络犯罪分子的挑战。使用MFA时,他们必须想出绕过它的技术。去年使用的最常见方法是:

  • 利用系统配置中的漏洞和缺陷。例如,犯罪分子能够发现并利用远程银行系统中的多个漏洞绕过OTP(一次性密码)。
  • 使用社会工程学,这是俄语网络犯罪分子和亚太地区中常见的一种方法;
  • SIM卡交换,这在拉丁美洲和非洲等地区特别受欢迎。实际上,尽管SMS不再被认为是安全的2FA,但较低的运营成本意味着它是提供商最常用的方法。

从理论上讲,生物识别技术应解决许多与两因素身份验证相关的问题,但实践表明,它可能并不那么简单。在过去的一年中,已经发现了几例表明生物识别技术还不完善的案例。

首先,存在很多实现问题。例如,在解锁过程中,Google Pixel 4不会使用面部特征检查您的眼睛是否睁开。另一个例子是,在包括三星等流行品牌在内的各种制造商生产的智能手机上,使用屏幕下方的传感器绕过指纹认证的可能性。

拉丁美洲还利用了另一种技巧:视觉捕获攻击。网络罪犯安装了流氓CCTV摄像机,并用它们记录人们用来解锁手机的PIN。这种简单的技术对于两种类型的受害者仍然非常有效:使用生物识别技术的患者以及喜欢PIN而不是指纹或面部识别的患者。这是因为,当设备尘土飞扬或油腻(用户的手指也一样)时,解锁手机的最佳方法是使用PIN。

其次,生物统计数据库有数个引人注目的泄漏。最臭名昭著的是Biostar 2数据库的泄漏,其中包括超过100万人的生物特征数据。该公司存储了未加密的数据,包括名称,密码,家庭住址,电子邮件地址,最重要的是,未加密的生物特征数据包括指纹和面部识别图案以及面部的实际照片。美国海关和边境巡逻承包商发生了类似的泄漏,泄漏了超过100,000人的生物特征信息。

已经有几种使用生物识别数据绕过安全控制的概念验证攻击,但是仍然可以通过系统更新来应对这些攻击。另一方面,由于这些最新的泄漏,这将无法正常工作,因为您的生物特征数据无法更改–它永远存在。

上面提到的案例,再加上网络犯罪分子为获得用户完整的数字指纹以绕过反欺诈系统而进行的高质量研究,表明仅依靠生物识别数据将无法解决当前的问题。当今的实现需要大量的精力和更多的研究才能使其真正安全。

针对金融机构的有针对性的攻击集团:分裂和全球化

FIN7

2018年,欧洲刑警组织和美国司法部宣布逮捕FIN7和Carbanak / CobaltGoblin网络犯罪组织的领导人。一些人认为,逮捕将对该组织的业务产生影响,但事实并非如此。实际上,在CobaltGoblin和FIN7的保护下运作的小组数量有所增加:有几个相互联系的小组使用非常相似的工具包和相同的基础结构来进行网络攻击。

在这个保护伞下的第一个行动是如今臭名昭著的FIN7,它专门攻击各种公司以访问财务数据或其PoS基础架构。它依赖于Griffon JScript后门和Cobalt / Meterpreter,以及最近的攻击者PowerShell PowerShell。

第二个是CobaltGoblin / Carbanak / EmpireMonkey。它使用相同的工具箱,技术和类似的基础结构,但仅针对金融机构以及相关的软件和服务提供商。

最后一个小组是新发现的CopyPaste小组,该小组针对一个非洲国家的金融实体和公司,这使我们相信该小组与网络雇佣兵或培训中心有关。CopyPaste和FIN7之间的联系仍然很薄弱。这类活动的运营商很可能受到开源出版物的影响,实际上与FIN7没有任何关系。

所有这些小组都从公司环境中未打补丁的系统中受益匪浅,并继续使用有效的鱼叉式网络钓鱼活动以及由其利用框架生成的著名的Microsoft Office利用。到目前为止,这些团体还没有使用任何零日漏洞。FIN7 /钴网上诱骗文件可能看起来很基础,但结合其广泛的社会工程学和针对性强的目标,事实证明它们是相当成功的。

在2019年中,FIN7保持沉默,但在年底以新攻击和新工具返回。我们怀疑沉默期与他们关闭东欧防弹托管公司后发生的基础架构关闭有关。

与FIN7相比,Cobalt Goblin Group全年的活动稳定,这再次证明了这些组是相互联系的,但是它们是独立运作的:它们的工具集和TTP非常相似,但是独立运作;而且只有偶尔我们才能发现基础设施的重叠。同时,攻击强度略低于2018年。CobaltGoblin的策略保持不变:他们使用带有漏洞利用程序的文档,这些漏洞首先加载小型下载器,然后加载Cobalt Beacon。主要目标也保持不变:各个国家的小型银行。也许我们发现由于多样化而导致的攻击次数较少,因为一些指标表明该组织还可能参与JS嗅探(MageCarting),以便直接从网站获取有关支付卡的数据。

JS嗅探在一年中非常流行,我们发现数千个电子商务网站都感染了这些脚本。注入的脚本以不同的方式起作用,攻击者的基础设施也非常不同,这表明至少有十二个网络犯罪集团使用了这种欺诈行为。

沉默集团全年积极地将业务扩展到不同的国家。我们在从未见过的区域发现了攻击。例如,我们记录了在东南亚和拉丁美洲的袭击。这表明他们要么自己扩大了业务范围,要么开始与其他在区域内安装的网络犯罪组织进行合作。但是,当我们查看其主要后门的发展时,我们发现他们的技术在过去两年中几乎没有变化。

ATM恶意软件更具针对性

关于ATM恶意软件,我们在2019年发现了许多全新的家族。最著名的是ATMJadi和ATMDtrack。

ATMJadi是一个有趣的应用程序,因为它不使用标准的XFS,JXFS或CSC库。取而代之的是,它使用受害者银行的ATM软件Java专有类:这意味着该恶意软件只能在一小部分ATM上运行。它使该恶意软件非常有针对性(针对一个特定的银行)。

这让人想起2018年以来的FASTcach案,当时犯罪分子将目标对准运行AIX OS的服务器。可以说,随着通用提款工具数量的减少,ATM恶意软件正变得越来越稀有和更具针对性。

另一个有趣的恶意软件是ATMDtrack,它首先在印度的金融机构中被发现,并被编程为兑现ATM。使用卡巴斯基针对性攻击归因引擎(KTAE),我们能够将这些攻击归因于拉撒路组织,该组织支持我们从2018年开始的预测,即“将会有更多的国家赞助的针对金融组织的攻击 ”。此外,在研究中心也发现了类似的间谍软件,拉撒路APT小组使用几乎相同的工具来窃取科研机构的研究结果。

卡信息盗窃和重复使用

在这一年中,我们看到了许多针对最终用户和寻找信用卡数据的企业的恶意软件。尤其是在巴西,我们看到几个恶意软件家族相互争斗以保持对受感染设备的控制。HydraPOS和ShieldPOS在这一年中非常活跃,其新版本包括许多新目标。同时,Prilex在下半年减少了活动。

ShieldPOS至少自2017年以来一直处于活动状态,仅是恶意软件之后,它终于演变为MaaS(恶意软件即服务)。这一事实表明,拉丁美洲的网络犯罪分子对经营自己的“生意”以窃取信用卡非常感兴趣。HydraPOS主要集中在从餐馆,停车场老虎机和不同零售店的POS系统中窃钱。

与ShieldPOS相比,HydraPOS是我们叫Maggler的演员的较早广告活动,该演员至少自2016年以来一直从事信用卡业务。主要区别在于,与ShieldPOS不同,它不能用作MaaS。在这两种情况下,我们都怀疑最初的感染媒介是经过精心准备的社会工程运动,其中包括打给受害者的电话。

对2019年的预测分析

在给出2020年的预测之前,让我们看看我们对2019年的预测有多准确:

由于Cobalt / Carbanak和FIN7的分裂,出现了新的团体:新的团体和新的地理位置。

  • 是的,我们看到了CobaltGoblin活动,FIN7活动,CopyPaste活动以及IoC和Silence组的交集。

首先是通过盗窃和使用生物识别数据进行的攻击。

  • 是的,全年经常出现各种生物数据数据库遭到黑客入侵的情况。我们还揭示了一个数字指纹市场,犯罪分子可以在这里购买数字指纹,其中包括行为数据(生物识别的组成部分)。

攻击印度巴基斯坦地区,东南亚和中欧金融机构的新的本地团体的出现。

  • 号原来,知名集团如拉撒路,沉默和CobaltGoblin了自己的位置,并非常积极地在这些地区的攻击金融机构。

供应链攻击的持续性:对向全球金融机构提供服务的小公司的攻击。

  • 是。

传统的网络犯罪将侧重于最简单的目标,并绕过反欺诈解决方案:用对接受在线支付的系统(Magecarting / JS撇取)的攻击代替POS攻击。

  • 是的,在过去的一年中,开始对在线支付系统进行攻击的团体数量不断增加。我们检测到成千上万个受JS掠读影响的网站。

金融机构的网络安全系统将使用连接到内部网络的物理设备绕过。

  • 是的,不仅在金融机构,而且航空航天业(即NASA)都遭受了这种攻击。

针对企业用户的移动银行攻击。

  • 没有。

针对操作员,秘书和其他负责电汇的内部员工的高级社会工程运动。

  • 是的, BEC(企业电子邮件泄露)攻击在全球范围内呈上升趋势。我们已经看到日本发生了重大袭击,而南美特别是厄瓜多尔也发生了运动。
  • 此外,在巴西,先进的社交攻击已被积极使用,以使POS运营商进入恶意网站,以下载特制的远程控制模块并运行它们,例如在HydraPOS攻击中。

2020年预测

攻击天秤座和TON / Gram

Libra和Gram等加密货币的成功推出可能会导致这种资产在全球范围内传播,这自然会吸引犯罪分子的注意。鉴于2018年比特币和山寨币快速增长期间网络犯罪活动的严重激增,我们预测Gram和Libra周围也将发生类似的情况。这个市场的大型参与者应该特别小心,因为有许多APT小组,例如WildNeutron和Lazarus,他们的兴趣包括加密资产。他们很可能会利用这些发展。

转销银行访问

在2019年期间,我们目睹了一些案例,在专门销售rdp / vnc访问的其他团体(例如FXMSP和TA505)入侵之后,专门针对金融机构进行有针对性攻击的团体出现在受害者的网络中。地下论坛和聊天监控也证实了这些事实。

到2020年,我们预计在非洲和亚洲地区以及东欧,专门从事网络访问销售的团体的活动将会增加。他们的主要目标是小型银行,以及大型企业最近收购的金融组织,这些大型企业正在按照母公司的标准重建其网络安全系统。

针对银行的勒索软件攻击

从逻辑上讲,此预测是从前一个预测得出的。如上所述,小型金融机构通常成为机会主义网络罪犯的受害者。如果这些罪犯无法转售访问权限,或者即使他们不太可能提取资金,那么这种访问权限的最合理货币化就是勒索软件。银行是比接受数据丢失更有可能支付赎金的组织之一,因此我们预计,这种有针对性的勒索软件攻击的数量将在2020年继续增加。

针对中小型金融机构的另一种勒索软件攻击媒介将是“按安装付费”方案。传统的僵尸网络最终将变成针对这些金融机构的越来越流行的交付机制。

2020年:定制工具的回归

防病毒产品为有效检测用于笔测试目的的开源工具而采取的措施,以及采用最新的网络防御技术,将促使网络犯罪分子在2020年恢复使用自定义工具,并投资于新的特洛伊木马和漏洞利用。

移动银行木马的全球扩张:源泄漏的结果

我们对地下论坛的研究和监控表明,一些流行的移动银行木马的源代码已泄露到公共领域。鉴于此类特洛伊木马的流行,我们预计ZeuS和SpyEye木马的源代码被泄漏时会再次发生这种情况:攻击用户的尝试次数有时会增加,并且攻击的地域将扩展到该国几乎每个国家世界。

不断增长的投资应用程序:犯罪分子的新目标

移动投资应用程序在全球用户中越来越受欢迎。到2020年,网络犯罪分子将不会忽略这种趋势。鉴于一些金融科技公司和交易所(包括实物和虚拟货币)的普及,网络犯罪分子将意识到,并非所有人都准备好应对大规模网络攻击,因为某些应用程序仍在缺乏对客户帐户的基本保护,并且不提供两因素身份验证或证书固定来保护应用程序通信。几个国家的政府正在放松对该地区的管制,每天都有新的参与者出现,并迅速流行起来。实际上,我们已经看到网络犯罪分子试图用自己的恶意版本替代这些应用程序的界面。

Magecarting 3.0:甚至更多的攻击者团体和云应用成为主要目标

在过去的几年中,JS浏览已在攻击者中广受欢迎。不幸的是,网络犯罪分子现在拥有巨大的攻击面,其中包括易受攻击的电子商务网站和极其便宜的JS分离器工具,可在各种论坛上购买,起价为200美元。目前,我们能够区分出至少10种与这些类型的攻击有关的参与者,我们相信,他们的人数在明年将继续增长。最危险的攻击将发生在提供诸如电子商务即服务之类的服务的公司上,这将导致成千上万家公司的妥协。

政治动荡导致网络犯罪在特定地区蔓延

一些国家正在经历政治和社会动荡,导致其他国家有大量人寻求难民身份。这些移民潮包括各种各样的人,包括网络犯罪分子。这种现象将导致原本不受其影响的国家中发生地域性攻击。

 

发表评论 / Comment

用心评论~