金融业预警| 黑客如何大摇大摆把钱从银行划出去?

简介:
    某年某月某日,几名蒙面大汉冲进一家银行,一声枪声响起。其中,一名劫匪对银行柜员大喊:“把所有钱都交出来!”

银行工作人员一副生无可恋的表情:“先生,不好意思,所有的钱刚才被一个黑客转走了。”

这可以是一个故事,也可能是现实。

今年2月,第一个利用SWIFT(环球银行金融电信协会)系统进行网络金融盗窃的攻击事件被发现,攻击者成功从孟加拉国央行盗取8100万美元。今年5月,两个新的攻击事件浮出水面,最终两个事件都被证实发生在2015年底,在其中一起事件汇总,黑客设法从厄尔多尔银行成功盗窃了1200万美元,另一起事件中,黑客试图从越南先锋尹航盗窃136万美元,但最终没有成功。

被发现的这种攻击事件遵循相同的模式,黑客攻破了银行的内部网络,并搜索SWIFT系统相关信息和银行职员的操作凭证,然后试图将钱从银行的账户进行转移。

SWIFT已经意识到这个问题的严重性,并强烈建议银行升级信息系统。

SWIFT是国际银行同业间的国际合作组织,目前全球大多数国家大多数银行已使用SWIFT系统,我国有涉外业务的大型银行多数也使用SWIFT系统。

SWIFT以安全、可靠、快捷、标准化、自动化的通讯业务著称,为什么突然它就变得不安全了?

在绿盟科技Security+2016金融信息安全峰会上,雷锋网(公众号:雷锋网)对绿盟科技金融事业部技术总监徐特就这一话题进行了专访。

徐特发现,针对银行业的APT攻击越来越常见了,而利用SWIFT攻击孟加拉国央行的案例就是一起典型的APT攻击。

所谓APT攻击,即高级持续性威胁,利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。

针对孟加拉国央行的详细攻击流程如图所示:

金融业预警| 黑客如何大摇大摆把钱从银行划出去?

其实SWIFT已经算是银行“内网”了。徐特发现,这对针对“内网”的攻击越来越多。

但是,这个“内网”一直是我们熟知的内网吗?

以某家银行为例,如果覆盖面积达到几百台、几千台,甚至几十万台主机,囊括全国各地网点,员工几十万人,如果都使用银行内网,这种情况下,银行的“内网”已经不算内网了,何况还有其他技术供应商可能接触到这个网络,虽然是外围权限,也让这个网络变得十分不安全。

那么,针对一家银行内网的APT攻击如何发生?徐特认为,攻击者有很多渠道可以“潜入”。

徐特举了个例子。

之前有一座城,守卫城池的方式是筑起高墙厚壁,再做得多一些的就是构建“瓮城”——有多重防线,但这种安全防守过于依赖边界,如果通过狗洞、地道等进入,很难被发现。

就像现在银行业的“安全防护”,构筑了“城墙”捍卫,一般的蠕虫、病毒、威胁等其实无法造成强大的攻击,现在遭遇的最大的威胁是“一个一个高水平的攻击者”,安全威胁在逐渐升级,从以蠕虫病毒、拒绝服务攻击、溢出类漏洞攻击、注入等Web攻击为主的传统威胁升级到以0Day攻击、多态及变形等逃避技术、多阶段组合攻击、有组织的定向攻击为主要手段的新一代威胁。

以外围系统 、测试环境的机器作为跳板,攻击者可以用这些“主流”方式攻击——

1.发送各类钓鱼邮件,获取相关操作人员的账号和密码;

2.通过网络嗅探、漏洞扫描等截获数据包,由于有些系统的密码使用明文传输,可以直接获取帐号,如OA系统,也可以看到一家银行的组织结构,锁定目标人物,进行定向渗透;

3.撞库,通过社工库等获取关键人员的家庭住址、外网邮箱等;

4.针对业务系统的攻击,绕过登录系统,直接获取操作权限。

恶意代码自动化的行为变成人为行为,攻击变得更“聪明”后,要想构建安全,要注重“塔防”——和玩游戏打怪一样,预测不同怪的进击路线,在可能的攻击路线的关键节点布置不同的守卫和攻击工具,策略性地进行防卫和攻击。

目前很多银行都在关键点上有所部署,依然有几个严重问题:

  • 很多安全设备并没有进行很好的使用,因为并不具备高技能人才进行操作;

  • 对于可能的攻击路径,没有形成网络式防护;

  • 防护难以跑过攻击,加入黑客和安全专家同时发现了漏洞,黑客的步骤是:发现目标——编写恶意代码,制作攻击工具——实施攻击,这个过程只需要几小时到几天;但安全专家需要研究漏洞原理,设计安全策略——根据盒子特性,设计升级包——分发升级包,升级盒子功能——正确应应安全策略,实施安全防护,有些漏洞的处理时间以“年”计;

  • 日志繁杂乱,极容易误报、漏报、人为忽视。

还有一个问题是,银行业对此的策略是“防护、监测、响应”,但是,对于防护投入的比重过高,轻视了监测和响应。

这也是为什么,在2015年底,绿盟科技协助客户发现了一起针对证券业的可怕的APT攻击。

他们在多家证券基金行业客户现场发现了一个活跃的木马,这一木马已经活跃10年之久,感染规模还不小,确认感染主机数百台,行业内数据被大量窃取。

徐特建议,从单层防护到立体防护,监测和响应要更平衡,好的组织结构安全构建应同时实现保护、监测、响应、反击、协作、联网。

具体应该进行哪些部署?金融业安全是否还会面临新的威胁和挑战?雷锋网将继续跟进,进行后续报道。

雷锋网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

文章点评:

表情 

最新评论

  
  本文作者: 李勤

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
8月前
|
云安全 存储 人工智能
连续四年,阿里云再获公有云CWPP市场份额第一
全球领先的IT市场研究和咨询公司IDC发布《中国AI赋能的公有云云工作负载安全市场份额,2024:CNAPP将成为云安全标配》报告,阿里云(云安全中心)以31.6%的优势稳居市场份额第一,这也是阿里云(云安全中心)连续四年位居该市场份额第一,这一成果不仅印证了阿里云在云原生安全领域的技术领导力,更彰显了其在AI时代下构建智能化、一体化安全防护体系的前瞻性布局。
|
12月前
|
安全 网络架构
对比外部公网IP与局域网内部IP的差异性
综上所述,外部公网IP地址与局域网内部IP地址在功能、应用范围、安全性与管理方式上存在明显的差异性。公网IP地址为网络设备提供了在整个互联网中可识别的唯一身份,而内网IP仅在私有网络中有效,且安全性相对较高。理解这些差异能有助于更好地配合网络地址的规划、管理与安全策略的设计。
773 10
|
11月前
|
搜索推荐 应用服务中间件 Apache
全面解析301重定向:从原理到实践
301重定向是HTTP状态码,表示“永久移动”,用于将旧URL跳转到新URL,传递SEO权重并减少404错误。适用于域名变更、URL结构调整、HTTP到HTTPS迁移等场景。支持Apache、Nginx、IIS等服务器配置,是网站管理和SEO优化的重要工具。
1413 9
|
6月前
|
开发框架 弹性计算 运维
建站系统哪个好?2025年建站系统深度推荐与避坑指南
建站系统分传统CMS(如PageAdmin)、SaaS平台(如阿里云速成美站)和开发框架三类。选择时需权衡控制权、成本与效率,根据业务需求、技术能力和长期规划理性选型,优先验证可行性再迭代升级。
672 0
|
前端开发 安全 Java
Spring Boot 便利店销售系统项目分包设计解析
本文深入解析了基于Spring Boot的便利店销售系统分包设计,通过清晰的分层架构(表现层、业务逻辑层、数据访问层等)和模块化设计,提升了代码的可维护性、复用性和扩展性。具体分包结构包括`controller`、`service`、`repository`、`entity`、`dto`、`config`和`util`等模块,职责分明,便于团队协作与功能迭代。该设计为复杂企业级应用开发提供了实践参考。
561 0
|
人工智能 Java 程序员
一文彻底搞定电阻元件
电阻元件是限流器件,通过其电流与两端电压成正比(V=IR),阻值受温度、材料等影响。按特性分为线性与非线性,材料上有碳膜、金属膜等,用途涵盖限流、分压、偏置、滤波等。标称阻值有允许偏差,额定功率和最高工作电压需注意。色标法和直接读取法可用于识别阻值,万用表测量时需关闭电源并选择合适量程。电阻在电路设计中不可或缺,掌握其特性和应用对电子工程师至关重要。
1252 0
一文彻底搞定电阻元件
|
人工智能 自然语言处理 JavaScript
鸿蒙 Next 对接 AI API 实现文字对话功能指南
本指南介绍如何在鸿蒙 Next 系统中对接 AI API,实现文字对话功能。首先通过 DevEco Studio 创建项目并配置网络权限,选择合适的 AI 服务(如华为云或百度文心一言)。接着,使用 Node.js 转发请求,完成客户端与服务器端代码编写。最后进行功能测试与优化,确保多轮对话顺畅、性能稳定。此过程需严格遵循开发规范,充分利用系统资源,为用户提供智能化交互体验。
725 0
|
人工智能 算法
AI+脱口秀,笑点能靠算法创造吗
脱口秀是一种通过幽默诙谐的语言、夸张的表情与动作引发观众笑声的表演艺术。每位演员独具风格,内容涵盖个人情感、家庭琐事及社会热点。尽管我尝试用AI生成脱口秀段子,但AI缺乏真实的情感共鸣和即兴创作能力,生成的内容显得不够自然生动,难以触及人心深处的笑点。例如,AI生成的段子虽然流畅,却少了那份不期而遇的惊喜和激情,无法真正打动观众。 简介:脱口秀是通过幽默语言和夸张表演引发笑声的艺术形式,AI生成的段子虽流畅但缺乏情感共鸣和即兴创作力,难以达到真人表演的效果。
|
SQL 监控 大数据
优化AnalyticDB性能:查询优化与资源管理
【10月更文挑战第25天】在大数据时代,实时分析和处理海量数据的能力成为了企业竞争力的重要组成部分。阿里云的AnalyticDB(ADB)是一款完全托管的实时数据仓库服务,支持PB级数据的秒级查询响应。作为一名已经有一定AnalyticDB使用经验的开发者,我发现通过合理的查询优化和资源管理可以显著提升ADB的性能。本文将从个人角度出发,分享我在实践中积累的经验,帮助读者更好地利用ADB的强大功能。
486 0
|
机器学习/深度学习 人工智能 算法
回溯算法是怎样的
回溯算法,择优搜索:树的深搜+剪枝