【深度分析】金融机构如何应对日益频繁的网络攻击?
近年来,随着大数据、云计算、人工智能等科技手段与金融业务的深度融合,金融行业在智能时代中加快了革新的脚步。与此同时,金融行业也成为网络攻击的目标。
据报道,近年来,针对金融行业的网络攻击行为大幅增长,给各类企业、用户以及金融行业造成的损失每年达百亿元之巨,并有继续快速增长的趋势。美国金融领域的商业领袖认为,网络攻击对于他们来说已经成为排名第一的威胁,甚至要比恐怖袭击(排名第二)、资产泡沫(第三名)、新一轮金融危机(第四名)或无法适应气候变化(第五名)更为严重。
一、攻击行为动机复杂
1. 盗取资金
网络犯罪的两大主因是政治和金钱,因此金融机构一直是全球网络罪犯的一大收入来源。金融网络上集中保存有大量的资金账户和电子货币,自然成为网络攻击者的首选目标和最想攻破的堡垒。攻击者先采取各种方式控制电子账户,然后通过非法转移、直接套现、消费购物等方式盗取资金。这些资金包括金融机构客户的资金、金融机构自有资金、客户备付金等。
2018年1月11日,某互联网金融平台遭到了黑客组织的攻击。据悉,该组织的攻击目标是比特币之类的虚拟财产,而且黑客在得手后立刻将窃取的非法资产进行了转移。据了解,该互联网金融平台已经损失了价值150万美元的虚拟财产。
2. 盗取敏感信息
银行和金融业渴望为客户提供方便和个性化的服务以保持其竞争力,因此,他们收集和分析了大量敏感的客户数据,而这些数据都可被在线存取。智能手机、智能终端APP等都通过互联网收集个人信息和习惯行为,但这种方便却为网络攻击打开了缺口,网络罪犯可以利用信息系统的漏洞进行不同形式和复杂程度的攻击。
2018年5月30日,加拿大蒙特利尔银行和帝国商业银行被网络黑客攻击,导致近9万名的客户数据被窃取,这是金融机构受到的最大一次网络攻击。信息泄露后,黑客使用个人用户数据盗窃账号里的金钱,并电话伪装交易所人员进行电话诈骗。
3. 造成声誉损失、许可证撤销风险
金融机构系统的网络一旦中断,不仅会侵犯消费者合法权益、给客户带来资金损失,而且还将给银行经营和声誉带来重大影响。业务中断造成的业务量减少、客户流失,为安抚客户而进行的赔偿和让利,以及由此产生的声誉影响等间接损失十分巨大。
二、攻击手段多样
1. 暴力攻击(强力破解密码,DDoS攻击)
长久以来,远程入侵计算机系统的工具和技术并没有发生翻天覆地的变化。在大多数情况下,暴力攻击是通过利用密码管理缺陷来入侵系统的最简单实用的方法,因此黑客热衷于对系统管理员密码、资金账户密码等各类密码进行强力破解。DDoS(分布式拒绝服务)对金融行业的威胁由来已久,已成为网络攻击者们勒索金融企业的常用手段。 DDoS攻击是目前最大的网络安全威胁之一,主要是通过将巨大流量引向目标来达到压垮和瘫痪网站的目的。
2018年12月11日,一名疑似黑客组织成员Lorian Synaro在推特上号召所有网络黑客一起针对全球中央银行网站发起DDOS攻击,攻击名单中多个国内银行也在其中。
2. 漏洞攻击(硬件、软件、协议漏洞)
漏洞包括操作系统、数据库等基础平台的漏洞,网络传输协议和加密技术方面的漏洞;此外,还包括制度流程不规范、安全责任不明确、管理不到位造成的安全漏洞,比如操作员安全配置不当造成安全漏洞。
2018年,一个“黑客”团伙利用银行APP安全漏洞,使用技术软件成倍放大定期存单金额,从中非法获利2800余万元。
3. 社会工程学手段(诈骗电话、带木马程序的电子邮件、钓鱼网站)
从网络空间安全的角度来看,所谓“社会工程学”主要指的是一类特殊的黑客攻击手段。它的攻击目标是人,是要充分利用人性的弱点、本能反应、好奇心、信任、贪婪等心理特质,对受害者进行诈骗、恐吓等,给客户端安装恶意软件,盗取银行卡、网银密码和支付验证码。
4. 利用“后门”程序
金融机构大量使用了第三方公司的IT 设备和软件,这些厂商可能在产品中预留一些具有系统最高控制权限的“后门”程序,从而被攻击者发现和利用。
2019年4月18日,网络安全专家发现了俄罗斯网络犯罪集团的活动。据研究人员称,攻击者利用远程访问特洛伊木马攻击美国和世界各地的金融机构。这些黑客倾向于使用像tRat和ServHelper这样的后门程序。
三、欧美国家和国际组织应对金融网络攻击的典型做法
近两年,网络攻击风险成为金融监管部门高度关注的操作风险之一。欧美等国金融监管部门一方面认真整治危机中暴露出来的问题,另一方面积极关注各类潜在风险,防止再次爆发危机。360智库以俄罗斯为例,分析了欧美国家和国际组织应对金融网络攻击的典型做法。
1. 建立信用和金融领域计算机攻击监测和应对中心
在金融服务快速数字化的条件下,信息保护系统薄弱的银行可能无法抵御网络攻击并保护其客户资金。为了确保协调金融组织和执法机构的活动以应对大规模的网络攻击,俄罗斯银行于2015年建立了信用和金融领域计算机攻击监测和应对中心(FinCert)。
2. 完善相关法律法规
俄罗斯旨在保护运输、通信、信贷和金融等关键信息基础设施网络安全的法律于2018年1月1日生效,对关键信息基础设施进行网络攻击的黑客将面临长达十年的监禁。
3. 开展国际合作
为了有效应对跨国金融网络攻击,欧美等国家还积极开展国际合作。例如,2016 年10 月,七国集团(G7)达成一项加强金融业网络安全合作的协议。该协议将网络安全纳入风险管理的范畴,虽然不具有约束力,但提出了加强金融基础设施、打击网络攻击以及协调减轻网络攻击影响的快速反应系统的策略,并建立了适当的治理、机制风险评估和恢复机制。G7 网络工作组后期还将定期评估该协议进展,并改进和调整相关措施。
四、思考和建议
1. 加强信息共享和交流
信息交互旨在交换有关信贷和金融领域中潜在的网络安全隐患,以应对当前信息安全威胁以及软件漏洞问题。信息交流的结果是在对网络攻击数据进行分析的基础上,在实施资金转移方面制定信息安全领域的材料分析和建议。
2. 增强主动防御能力,定期检查系统及漏洞
金融机构要应对网络攻击,必须拥有强大的现代防御系统,并尽量减少计算机上安装的软件中的漏洞。
3. 规范员工访问权限,建立一个缜密的内部安全系统
为了防止内部威胁,特别是BEC(商务邮件入侵),企业一定要确认员工能够遵守内部和行业规章制度,同时要注意可疑邮件和通讯,并仔细处理数据。