很多攻击事件其实都是偶然事件,因为那些“脚本小子”碰巧在目标网站上找到了一个常见的且利用难度不大的漏洞。那些大规模数据泄露事件往往都是通过精心策划来执行和实现的,而策划这样的攻击活动多多少少都会在网上留下痕迹。
IntSights成立于2015年,一直致力于在暗网中搜索这样的“痕迹”,并将其转换成一种智能化的威胁情报,而这些情报能够帮助研究人员在攻击发生之前了解到攻击者的所做所想。
金融行业是一个不太可能落入“脚本小子之手“的行业,因为针对金融行业的攻击往往需要通过精心策划,并花费大量的时间来设计攻击方案,没有足够技术的攻击者是无法成功实现入侵的。正因为如此,IntSight才认为这样的攻击是可以在其发生之前被检测到的,如果能够检测到,有关部门就能够对其进行有效的防范。
目前,研究人员已经收集到了大量的预攻击指标,而这些指标跟针对金融行业的实际攻击活动能够匹配上。这项研究(PDF)主要针对的是两大“预攻击指标“:暗网中出售的公司或客户数据,以及钓鱼邮件目标列表。根据这项研究的分析结果,IntSights发现金融行业是唯一一个最容易受到此类攻击的领域。
在2017年上半年,针对美国银行的平均攻击指标为207个,而在2018年上半年,这个数字增长到了520,增长幅度为151%。
这些数据来源于暗网中在售的金融数据,而这类数据在暗网中的销量同比增长了135%。除此之外,暗网中钓鱼目标列表里企业邮箱地址的数量增加了91%,企业凭证泄露数量增加了40%,被盗银行卡信息数量增加了149%。
在此之前,暗网中充斥着强制和毒品,但是在有关部门的高调整顿之后,IntSights认为暗网内的黑客们已经将出售非法数据作为他们的主要业务了。不过需要注意的是,虽然暗网中某些论坛隐藏得已经非常深了,但网络犯罪分子们却越来越不相信他们的“同行“了…
在同一时期,IntSights发现伪造的社交媒体账号数量的创建行为增长了49%,也就是说,每周都会增加两个新的针对单个银行的虚假社交媒体账号。
报告指出:“伪造的账号可以诱骗用户访问钓鱼网站并下载恶意软件,这种账号可以伪装成一种客户服务,并向客户寻要凭证信息,或者传递虚假的信息来误导用户。比如说,它们可以利用虚假信息从侧面影响公司股价,并导致公众购买或出售股票。“
根据报告中的统计数据,目前针对金融行业的三大领头的黑客组织分别是MoneyTaker、Carbanak和Cobalt,而这三个黑客组织都被认为是俄罗斯黑客组织。业内广泛认为,Money Taker已经成功对美国、英国和俄罗斯境内的金融机构进行了超过20次的黑客攻击,Carbanak已经成功对银行、金融机构和零售行业进行了超过300次的攻击,而Cobalt甚至从俄罗斯Metakk投资银行成功窃取了970万美金。除了上述银行之外,欧洲、泰国、土耳其和台湾的银行也受到了200次以上的黑客攻击。
最后IntSights还指出,很多黑市供应商正在远离暗网,并转向使用类似Facebook隐私聊天组或加密聊天室(例如Telegram、ICQ和Jabber)这样的社交媒体平台。IntSights预计,这种趋势将会持续到明年,因为这类加密聊天室能够提供更好的隐私和保密服务。