Akamai威脅研究﹕憑證填充攻擊及網絡釣魚仍是金融產業的最大威脅

最新的《網際網路現狀 / 資安》報告觀察到35億次惡意登入嘗試是以金融服務產業為目標;實證 Akamai 獨特的威脅能見度








台灣台北2019年8月2日 /美通社/ -- 據新發表的 Akamai 2019 年《網際網路現狀 / 資安金融服務攻擊經濟》報告資料指出,受觀察到的網路釣魚網域所影響之個別企業組織當中,有 50% 屬於金融服務產業。資料亦顯示,除了獨特的網路釣魚手法之外,攻擊者還利用憑證填充攻擊手法,在18個月期間內嘗試高達35億次,對於金融服務客戶的個人資料和銀行資訊造成風險。 




報告指出在 2018 年 12 月 2 日至 2019 年 5 月 4 日之間,共發現將近 200,000 個 (具體數據為 197,524 個) 網路釣魚網域,其中有 66% 更直接鎖定了消費者。將僅鎖定消費者的網路釣魚網域列入考量後,其中有 50% 的目標為金融服務產業的公司。 


Akamai 資安研究人員暨《網際網路現狀 / 資安》報告編輯 Martin McKeay 表示:「過去一年來憑證填充攻擊持續上升,一部分就是源自於針對消費者之網路釣魚攻擊的增長。犯罪者會透過網路釣魚來補充竊得的現有憑證資料,然後利用盜用帳戶或轉售他們所建立的清單作為賺取金錢的一種方式。我們看到一整個以攻擊金融服務機構及其消費者為目標的經濟體系正在發展起來。」


犯罪者作案成功後,必須再處理自己違法取得的資料和資金。如 Akamai 報告所指,其中一種處理手法即稱為「人頭包」:一整組可在特定金融機構冒用身分開立帳戶的資料。人頭包內含個人遭竊的身分資料,在網路犯罪者之間俗稱「fullz」(全餐),其中包括姓名、住址、出生日期、身分證詳細資料、駕照資訊和信用評分。犯罪者透過遠端桌面伺服器安全存取冒用帳戶,並選用符合銀行及「全餐」地理位置的遠端伺服器。


金融機構持續調查犯罪者如何開立這些人頭帳戶,努力保持領先一步。然而,大多數企業卻未察覺,其實犯罪者已開始重用舊有的攻擊手法。


Akamai 的調查結果顯示,其觀察到的金融服務業攻擊當中有 94% 採用以下四種方法之一:SQL 注入式攻擊 (SQLi)、本機檔案入侵 (LFI)、跨網站指令碼 (XSS) 和 OGNL Java 注入式攻擊 (在本報告期間即超過 800 萬次嘗試)。OGNL Java 注入式攻擊因 Apache Struts 漏洞而聞名,在修補程式發表後多年仍遭攻擊者持續利用。 


在金融服務產業,犯罪者也開始發動 DDoS 攻擊,藉此掩飾憑證填充攻擊或用以突破網頁型漏洞。在 18 個月的期間內,Akamai 即發現超過 800 次針對金融服務產業的 DDoS 攻擊。


McKeay 表示:「攻擊者鎖定金融服務機構的弱點:消費者本身、網路應用程式和可用性,因為這種手法是有效的。企業越來越能夠成功偵測及防禦這些攻擊,但是單點的防衛方法注定會失敗。防禦機制必須能夠偵測、分析並抵禦會利用多種不同工具的智慧型犯罪者,企業才能妥善保護客戶。二十多年來,Akamai 持續運用其獨特的能見度解析全種類的攻擊手法,協助企業保護客戶免受各種快速演進的惡意活動所害。」 


犯罪經濟能夠發達的一部分原因,就在於他們以金融服務產業為目標。舉例來說,犯罪者以銀行為目標,試圖竊取敏感資料,然後回過頭來使用相同的資料開設人頭帳戶並取得信貸額度。
這是一種持續不斷的犯罪循環。諷刺的是,犯罪者攻擊的產業正是其生存所需的產業。雖然金融機構越來越能夠成功偵測此類攻擊,但攻擊者卻持續用舊手法獲得成功,這是不容小覷的問題。 


Akamai 2019 年《網際網路現狀 / 資安》報告可於此處下載。如需更多資訊,並與 Akamai 的威脅研究人員交流學習,瞭解 Akamai Intelligent Edge Platform 對於不斷演進的威脅環境所提供的見解,歡迎造訪 Akamai 資安威脅研究中心


關於 Akamai


Akamai 為全球最大型企業遞送安全的數位體驗。Akamai Intelligent Edge Platform 涵蓋範圍橫跨企業到雲端,讓客戶及其公司能夠享有高速、智慧與安全的體驗。全球頂尖品牌均仰賴 Akamai 提供靈活解決方案擴充多雲端架構,幫助品牌獲得具競爭力的優勢。Akamai 領先業界,讓決策、應用程式和體驗更貼近使用者需求,並保護他們免受攻擊和威脅。Akamai 的產品組合包括邊緣安全防護、網站與行動效能、企業存取及視訊遞送解決方案,全都享有無與倫比的客戶服務、分析服務以及 24 小時全年無休的監控支援。想瞭解為何世界頂尖品牌均信賴 Akamai,歡迎瀏覽
 www.akamai.com/tw/zh 或 blogs.akamai.com


圖標 - https://photos.prnasia.com/prnh/20190320/2408932-1LOGO?lang=2

相關鏈接 :

http://www.akamai.com

Tags:
Look out for further updates on our Facebook fan page!

Related Articles

  • 【置富之道】37歲白手興家成百萬富翁 學懂4種體會

    經過多年來的儲蓄和投資,克里斯雷寧(Chris Reining)37歲時便成為百萬富翁,從一間美國公司退休。現在他40歲,堅信當初的投資決定絕對正確。雷寧表示,99%的財富建議可以歸納為一句話:賺取比你花費更多的錢並在差價當中投資。我們一起看看雷寧退休後的4個體會:

  • 【職場熱話】Fresh grad、Intern慘被嫌棄 網民力數幾宗罪

    每年七、八月,不少公司都會聘請實習生、兼職甚或畢業生,讓他們吸收經驗及獲得工作機會。惟有網民於討論區發帖指,現時的職場新人「奉旨遲到又唔捱得鬧」,令舊人教新人時感到「好灰」。

  • 【天降橫財】中頭獎你會點做?英漢辭職追編劇夢

    如果有日贏得六合彩,你會拿這一大筆獎金來做甚麼?

  • 【熱話】中六合彩有樣睇?命理師分析手氣旺4大特徵

    【晴報專訊】家有沒有試過中六合彩?中頭獎又是否真的有樣睇?台灣彩券日前公布最容易中頭獎的幸運兒長相,發現不少共通點,例如大眼、大口、額頭高、橢圓臉等,而天秤座則是今年上半年最多人中獎的星座。

  • 【職涯發展】「發呆王」創冥想App 賺錢靠幾方面

    【經濟日報專訊】吶喊聲、盾牌聲、救護聲、甚至槍聲,都成為不少香港人連月纏擾內心的夢魘。

  • 【職場熱話】公司停電老細勒令買10枝電筒 網民認真提建議

    近日社會氣氛緊張,就連買照明用具都令人提心吊膽。有網民於討論區發帖表示,因為下午公司會停電,老闆叫他買十枝電筒返公司,以備不時之需。

  • 【職涯發展】為何狀元總是揀讀醫科棄工程?網民嚴選5大理由

    正所謂行行出狀元,那麼狀元又喜歡選擇甚麼職業呢?近日有網民於討論區發帖問,為何狀元總喜歡選讀醫科,甚少人會選讀工程呢?帖文惹起網民熱議,並綜合了5大理由:

  • 【網民熱話】11蚊解決三餐兼賣頭髮 慳錢達人9年終「上車」

    【晴報快訊】本港樓價高企,為了買樓「上車」,大家會否節衣縮食慳到盡?日本一名33歲女子「上車」辛酸史近日成為了網上熱話,被日本電視台評選為「日本最慳家女孩」的她,在18歲時便下決心在34歲前擁有3層樓然後退休。為了達成目標,她15年來過著慳到盡的生活,每天伙食費僅為153元左右(日圓.下同,約11港元)。最終,她因信念堅定得以圓夢,並達成了開設貓咪咖啡室的終極目標。

  • 【職場熱話】失業爸爸43℃街邊派CV 感動老細獲逾百工作機會終獲聘

    為了找到一份工作可以去到幾盡?美國亞利桑那州一名父親Patrick Hoagland早前被公司解僱,用了一個月時間到處找工作仍不獲聘請,他忽發奇想,在街頭向途人派發工作履歷。最後,他收到過百份工作邀請,並獲公司取錄。

  • 【科技職人】科技業易受網絡攻擊 同Facebook推出加密幣有關?

    【經濟日報專訊】網絡安全成為不少企業當前的重要課題,全球技術服務供應商NTT旗下達科發表2019年全球威脅情報指南,發現科技及金融行業為網絡攻擊的主要目標。