自從網(wǎng)絡(luò)時代開始，金融行業(yè)一直是最容易被攻擊的幾個行業(yè)之一，它占火傘云相關(guān)跟蹤攻擊嘗試的28%，僅次于游戲行業(yè)。隨著網(wǎng)絡(luò)犯罪的增長，金融服務(wù)業(yè)將繼續(xù)成為網(wǎng)絡(luò)攻擊者的重點目標(biāo)。

攻擊者出于多種原因瞄準(zhǔn)金融領(lǐng)域，但最重要的原因是金融行業(yè)直接和錢相關(guān)聯(lián)，因此很容易獲得巨額收入和或獲取有價值的數(shù)據(jù)。任何不安全的銀行數(shù)據(jù)、加密錢包、密碼或內(nèi)部系統(tǒng)的漏洞都為攻擊者提供了耗盡賬戶和傳輸信息所需的契機。許多金融服務(wù)網(wǎng)站都需要高價值的個人信息（例如身份證號碼、信用卡或其他數(shù)據(jù)）來創(chuàng)建或訪問帳戶信息。除非這些數(shù)據(jù)得到妥當(dāng)?shù)谋Ｗo，否則攻擊者可以輕松訪問、使用或出售這些數(shù)據(jù)。攻擊者可以勒索網(wǎng)站并逼迫金融公司支付賠償金，否則公司就會冒著聲譽受損的巨大風(fēng)險。

火傘云為大家分享金融服務(wù)行業(yè)最容易被使用的攻擊類型：

01API安全

金融行業(yè)通常利用API來連接應(yīng)用程序和系統(tǒng)，并在手機上啟用銀行小部件和其他數(shù)字服務(wù)等功能。盡管API讓客戶和開發(fā)人員的工作變得更加輕松，但它們也帶來了全新的威脅。由于API被設(shè)計為易于調(diào)取和訪問，因此本質(zhì)上是開放且易用的，這使得API成為攻擊者訪問后端數(shù)據(jù)庫的機會。

根據(jù)我們的跟蹤的一個比較常見的與API相關(guān)的安全威脅是API違規(guī)，即與API預(yù)期定義不符的調(diào)用。我們通過客戶提供API定義，或者通過觀察API流量并隨著時間的推移了解定義來確定API定義。因此我們可以檢測不符合預(yù)期定義的API調(diào)用，并將其定義為攻擊。

對API站點的大多數(shù)攻擊都是API違規(guī)，例如可疑調(diào)用、不正確的數(shù)據(jù)類型等。

影子API是未記錄且不由正常IT管理和安全流程維護的API。當(dāng)API被棄用但未刪除時，它們可能會成為影子API。此外，這也可能是由于開發(fā)人員在沒有文檔或清單的情況下發(fā)布API，或開發(fā)人員無意中對現(xiàn)有隱藏API進行更改而導(dǎo)致其暴露的結(jié)果。

如果不維護影子API，就會帶來巨大的安全風(fēng)險，并為攻擊者提供訪問網(wǎng)絡(luò)其余部分的媒介。2022年金融服務(wù)行業(yè)的所有API會話中有30%連接到影子API，這一比例高于2021年的2%。隨著越來越多的API投入使用，忘記API或讓它變成影子API的風(fēng)險也會增加。

02DDoS攻擊

除了拒絕服務(wù)之外，攻擊者還可以使用DDoS來分散其他更具侵入性的攻擊方法的注意力，或破壞安全更新。DDoS還可用于對金融機構(gòu)進行勒索和勒索，以向攻擊者支付費用以恢復(fù)功能。如果攻擊者能夠破壞大型金融機構(gòu)的功能并影響其為客戶提供服務(wù)的能力，他們可能愿意支付大量資金來恢復(fù)服務(wù)。

2022年金融行業(yè)的DDoS攻擊呈上升趨勢，2023年從目前趨勢來看可能還會增加。總體而言，2022年針對金融服務(wù)的DDoS攻擊量比2021年增長了121%。平均而言，2022年針對金融服務(wù)的DDoS攻擊持續(xù)時間約為7.5分鐘，但我們監(jiān)測到的單次最長攻擊時間接近12.5小時。

由于金融服務(wù)被認(rèn)為是重要的民用基礎(chǔ)設(shè)施，其運營的任何中斷都可能產(chǎn)生嚴(yán)重影響。例如，在俄烏戰(zhàn)爭沖突爆發(fā)之初，烏克蘭銀行遭受了DDoS攻擊，極大地影響了該國開展關(guān)鍵服務(wù)的能力。

03惡意機器人威脅

惡意機器人對金融服務(wù)業(yè)構(gòu)成了另一個巨大威脅，金融網(wǎng)站27%的流量來自惡意機器人，并且通過多種自動化方法來進行惡意活動。賬戶接管(ATO)攻擊（即機器人試圖通過暴力或使用被盜憑證來訪問用戶賬戶）在金融服務(wù)行業(yè)很常見。

其他與機器人相關(guān)的攻擊包括信用卡欺詐、數(shù)據(jù)抓取或針對API級別的金融網(wǎng)站。尤其是帳戶接管攻擊對該行業(yè)來說是一個巨大的威脅。攻擊者嘗試通過多種方法登錄現(xiàn)有帳戶，并訪問該帳戶包含的數(shù)據(jù)。大多數(shù)ATO攻擊都是通過預(yù)先識別的機器人簽名或幾種不同類型的暴力嘗試來識別的。同時金融網(wǎng)站在ATO攻擊中所占比例最高，達到38%。

結(jié)論

金融服務(wù)行業(yè)的特點天生就決定了它對攻擊者來說是一個誘人的目標(biāo)，但我們可以采取措施讓攻擊者更難得逞。我們需要專業(yè)的公司比如火傘云等制定網(wǎng)絡(luò)安全計劃并及時了解最新的安全更新，投資DDoS防護以確保持續(xù)可用性，并確保API得到正確維護。