網路詐騙、釣魚已經成為數位生活的一部分,除了政府單位加強宣導,網路社群也不斷流傳各種互相提醒避免點擊陌生網頁、預防新興詐騙模式的訊息。
這些措施有沒有效果?肯定有!但恐怕依然會有人上當受騙。因為很多人可能並不清楚,這些線上欺詐行為的背後到底蘊含著多少風險。
致力於協助全球企業打造安全、流暢、可信數字體驗的 Akamai ,其實一直以來都在說明廣大客戶與各類線上欺詐活動鬥爭。近日 Akamai 發佈的[互聯網現狀]安全性報告,就專門圍繞針對金融行業開展的網路釣魚攻擊進行了細緻的分析。
針對金融服務業的撞庫攻擊再創新紀錄
根據這份報告,2020年,Akamai 在全球共監測到193,519,712,070次撞庫攻擊(Credential Stuffing Attacks, 又名憑證填充攻擊),其中有3,452,192,348次專門以金融服務業為目標,比前一年增加45%。尤其是2020年11月29日,全球金融行業的 Akamai 客戶在這24小時之內就遭受了63,558,042次撞庫攻擊,創下了該行業的新紀錄。
撞庫攻擊次數飆升之外,以金融業為目標的其他 Web 攻擊也增加了62%。2020年全年,Akamai 共監測到736,071,428次以金融服務業為目標的 Web 攻擊,其中本地檔包含(Local File Inclusion,LFI)攻擊方式以52%的比例居首,緊隨其後的是 SQL 注入(33%)和跨站腳本(9%)。
以金融服務業為目標的「釣魚即服務」
除了這些最基本的統計,Akamai 還與 WMC Global 聯手,研究了針對金融服務業的欺詐釣魚攻擊行為。
過去多年來,詐騙釣魚攻擊導致的資料外泄和安全入侵事件頻繁佔據了媒體頭版的位置。發展到今天,詐騙釣魚已經成為了一種「交鑰匙」方式的線上服務,甚至還有人提供線上託管的釣魚攻擊解決方案,犯罪分子只需要花錢,就可以享受到「釣魚即服務」的一條龍式攻擊、竊取和銷贓服務。
本次聯合研究中,Akamai 重點關注了一個以 「 Kr3pto」 為名在網上叫賣此類服務的人。Kr3pto 釣魚工具包主要以受害者的用戶名和密碼,以及雙重身份驗證環節所使用的第二個身份驗證方法(例如安全問題和答案、手機短信發送的驗證碼)為目標。該工具包的運作流程可無縫並且動態地適應受害者在不同銀行執行的操作。
研究發現,截止2020年2月17日,Kr3pto 工具包曾感染過高達8,344個網域名稱,最高峰時(2020年11月),全球同一時間共有800多個網域名稱被感染。Kr3pto 發起攻擊時,首先會通過簡訊向受害者拋出「魚餌」,宣稱受害者的帳戶被鎖定,或有一筆新匯入款項等待處理。一旦受害者點擊簡訊中的連結,釣魚攻擊便會立即開始。受害者試圖登錄時,用戶名和密碼就此外泄。
如果登錄需要輸入手機驗證碼呢?釣魚攻擊頁面會即時生成一個驗證碼輸入框,待用戶輸入驗證碼後,背後的攻擊者就會立即使用採集到的用戶名、密碼和驗證碼登錄真正的金融機構網站,將帳戶中的餘額全部轉走,一次典型的此類攻擊一般會造成約500-1000美元的損失。
與犯罪者鬥智 提升身分驗證保護技術自保
每一天,全球都有數百種類似Kr3pto 的釣魚工具包被開發出來並快速流傳。攻擊是永遠不會停止的,當企業和組織利用各類新 Web 技術提高敏捷性並不斷完善客戶體驗的同時,攻擊者也在利用相同的技術完善和改進自己的攻擊手段。
1930億次撞庫攻擊,60億次 Web 攻擊,這背後蘊含的意義值得所有人重視。可以確定的一點是:攻擊者會不斷以未能充分利用身份驗證保護技術(例如 MFA 和 2FA )的組織為目標,因為想對使用這些技術的組織成功發起類似的攻擊,往往需要耗費更大的精力和成本,而既然有那麼多組織還沒有採用類似技術,何不撿「軟柿子」來捏呢?
在報告中, Akamai 還與 WMC Global 聯手研究了另一款主要針對企業用戶憑據的釣魚工具包:Ex-Robotos 。另外,報告中還針對線管研究提供了更深入的分析和結論。
