约翰迪林杰因为在经济大萧条时抢劫了二三十家银行而恶名昭彰。他和他的同党因着三种策略而成功:他们会研究将要下手的目标机构并了解他们的安全措施和做法、他们有着优势火力、以及他们有着更快的车子,所以他们可以跨州逃亡。现代的迪林杰黑帮出现在前苏联集团中,这些网络黑帮从全球金融机构窃取了数十亿美金。我们从他们先进的策略中学到很重要的事情。在2014年,针对金融机构的有组织网络攻击出现重要的转折。优秀的“保险箱破解专家”现在从四个面向侵入:
网页应用程序攻击:网页应用程序的零时差漏洞被广泛地用来攻击金融机构。一个重要的欧洲金融机构在7月 24日就遇上了一次这样的攻击,就如同部分同样遭遇此类攻击的美国机构一样。
水坑攻击:在水坑攻击中,威胁分子会入侵金融机构网站内的特定网页,插入会导致恶意软件感染的漏洞攻击码;这类攻击有25%位于美国。这是因为缺乏对OWASP前十大漏洞的网站安全防护和测试。
认证信息攻击:从Emmental攻击活动(由趋势科技所发现)可见一斑,黑客开发自制的恶意软件来绕过双因子身份认证,并从注册表删除其足迹以避免被侦测。
跳岛和二次感染:针对金融机构的“虚拟供应链”进行针对性攻击的例子到处都是。除了这个交易对手风险的新动力,还会广泛利用之前安装在受信任系统的后门程序来进行二次感染。后门程序——让计算机可被远程访问的应用程序——在针对性攻击中发挥了至关重要的作用。后门程序通常会被用在针对性攻击过程的第二(进入点)或第三(指挥和控制 [C&C])阶段,好让威胁分子可以取得对目标网络的指挥和控制能力。入侵外泄侦测系统是挫败这类攻击的关键。
2008年和 2009年的金融危机让数以千计的银行和金融专业人士失去工作,其中有一小部分将其金融专才和策略性知识借给地下影子经济。有证据显示网络犯罪分子现在将金融诈骗计划融入网络攻击,这些货币化的辅助计划也预示了将会出现前所未见的犯罪浪潮。
由于网络犯罪人员组织程度和复杂度的增加,和执法单位合作已经是势在必行。趋势科技在过去25年来一直和国内及国际的执法单位合作,我们与国际刑警组织的合作关系以及最近协助欧洲刑警组织处理Gameover Zeus都说明了这一点。一个可以说明我们的合作的确有所必要的独特案例是SpyEye。趋势科技研究人员揭露了早在2011年1月就开始的SpyEye相关网络犯罪攻击行动,这一攻击行动是由位于俄罗斯的“Soldier”(网络犯罪分子的代号)所策划。趋势科技研究人员自2011年3月开始就一直在监视Soldier和他的活动。根据调查,这波攻击主要针对美国的用户,受影响的包括一些大型企业和像美国政府和军事机构等单位。事实上,有97%的受影响公司都位于美国。美国联邦调查局成功起诉了在俄罗斯特维尔的“Gribodemon”Aleksandr
Panin(SpyEye的核心开发人员),因为他2014年1月在多米尼加度假。
只有通过全球合作才可以让我们防御企业来面对网络攻击。现代的迪林杰黑帮不再会是“所向无敌”。