?[[393712]]?

2020年對安全行業而言是充滿挑戰的一年，由于新冠疫情的蔓延，網絡犯罪分子越來越多地將特定類別的用戶和企業作為攻擊目標，尤其是像可能從中獲取巨大收益的金融相關產業。2020年對金融產業來說也是多事之秋，除了要應對如Lazarus之類的老牌金融犯罪組織外，還要應對一些通常不以金融機構為目標的APT組織的轉型。此外，一些僅在部分區域活動的攻擊者也開始把視野投向全球，比如常年活躍在巴西及拉丁美洲的銀行惡意軟件家族Guildma，Javali，Melcoz和Grandoreiro(統稱為Tétrade)在去年也將業務拓展到其他大洲。同時，在過去造成巨大破壞的惡意軟件也時常死灰復燃，被國際刑警組織描述為“世界上最危險惡意軟件”的Emotet在2020年使用量激增，直到今年年初，在全世界的執法機構對Emotet僵尸網絡基礎設施破壞下，其業務活動才至少受挫幾個月。

2020年，雖然越來越復雜的網絡攻擊事件頻頻出現，但整體統計數據還是樂觀的：受計算機和移動端惡意軟件攻擊的用戶數量整體下降了，網絡釣魚數量也有所下降。不過這并不意味著網絡世界變得更加安全，而是網絡犯罪分子的目標和策略已經發生了許多變化，其攻擊也變得更具針對性。同時，我們觀察到網絡犯罪分子能夠熟練地適應全球變化，并從遠程辦公漏洞和網上購物的日益普及中受益。

本報告旨在闡明2020年金融網絡威脅的更多細節，概述了去年整個金融威脅領域的攻擊趨勢和關鍵事件，包含用戶遇到的常見網絡釣魚威脅，以及常見的基于Windows和Android的金融惡意軟件。

前提

本文中定義金融惡意軟件有兩類：第一類是針對金融服務(例如在線銀行、支付系統、電子貨幣服務、電子商店和加密貨幣服務)用戶的惡意軟件;第二類是試圖獲取對金融組織及其基礎結構的訪問權限的惡意軟件，因為在大多數情況下，金融惡意軟件攻擊活動依托于垃圾郵件和網絡釣魚，最常見的就是通過偽造細分網頁或郵件來竊取受害者信息。

本文數據來源于卡巴斯基用戶，為了分析惡意軟件的發展趨勢，將2020年的數據與2019年的數據進行了比較，在某些部分中，為了更好地了解金融惡意軟件的發展，還參考了較早時期的數據。

主要發現

網絡釣魚：

• 2020年受到網絡釣魚攻擊的用戶比例從15.7%下降到13.21%;
• 網上商店成為釣魚攻擊的首選目標，卡巴斯基產品攔截的網絡釣魚頁面中，有近五分之一是網上商店頁面;
• 針對PayPal用戶的網絡釣魚攻擊從2019年的26.8%激增至2020年的38.7%，該類別的長期TOP1——Visa跌至第四位。

電腦端：

• 2020年有625,364位用戶受到銀行木馬的攻擊，比2019年的773,943減少了148,579名;
• 2020年，俄羅斯，德國和哈薩克斯坦的用戶是金融惡意軟件的最常見目標;
• Zbot仍然是傳播最廣的銀行惡意軟件(占攻擊用戶的22.2%)，CliptoShuffler排名第二(占15.3%)，而Emotet則排名第三(占14.5%);
• 受銀行惡意軟件攻擊的用戶中有36%是企業用戶，比上一年增加了一百分點。

移動端：

• 2020年，受Android銀行惡意軟件攻擊的用戶數量迅速下降，比例超過55%——從2019年的675,772人下降到2020年的294,158人。
• 日本、中國臺灣和西班牙的用戶受到Android銀行惡意軟件攻擊的比例最高。

金融網絡釣魚

網絡釣魚是犯罪分子最常用方法之一，它的盛行在于不需要太多的投資或技術專長。在大多數情況下，詐騙者的目的要么獲得受害者的錢，要么獲得可出售變賣的數據。

卡巴斯基檢測到的金融網絡釣魚攻擊在所有網絡釣魚攻擊事件中的百分比(2016年– 2020年)如下圖所示：

圖1.金融網絡釣魚攻擊在所有網絡釣魚攻擊事件中的百分比

2020年，卡巴斯基反網絡釣魚技術檢測到434,898,635次各種類型的網絡釣魚頁面訪問嘗試，其中37.2%與金融釣魚有關，比2019年的51.4%減少了14.2個百分點，也是過去五年來最低的金融網絡釣魚率。

所謂“金融網絡釣魚”，我們指的不僅僅是銀行網絡釣魚，還包括其他幾種類型的網絡釣魚：既包括模仿PayPal、Visa、MasterCard、American Express等知名支付品牌的頁面，也包括在線商店和拍賣網站，例如亞馬遜、蘋果商店、Steam、E-bay等。

在2019年，卡巴斯基產品檢測到的金融網絡釣魚案件的分布情況如下：

圖2.2019年金融釣魚案件類型分布

圖3.2020年金融釣魚案件類型分布

在網絡釣魚方面，2020年絕對是一個特殊的年份。一年前，我們的報告顯示，與銀行相關的網絡釣魚案件從不到22%增加到近30%。到2020年，銀行網絡釣魚僅占總數的10.72%。與此相反的是，2019年的網商釣魚數量為7.57%，2020年幾乎翻了兩番，達到18.12%。我們將這些變化與新冠疫情導致的封鎖措施聯系起來——在家里，人們大部分時間轉向網上購物和數字娛樂，因此，用戶不斷增長的需求導致了網絡罪犯不斷增加的“供應”。值得注意的是，雖然網上購物被證明是最吸引詐騙犯的領域，但支付系統的吸引力并不大——份額僅達到8.41%。

2019年支付系統釣魚事件數據統計：

圖4.2019年金融網絡釣魚事件中最常見的支付品牌

從上圖可以看出，2019年最受影響的是Visa的用戶(37.6%)，PayPal以26.8%的份額位居第二，萬事達卡(MasterCard)占據第三。

圖5.2020年金融網絡釣魚事件中最常見的支付品牌

到2020年，使用PayPal的數量超過了其他支付系統，其份額增長了12個百分點達到38.7%。

圖6.針對PayPal用戶的網絡釣魚頁面示例

萬事達卡排名第二，其份額從16.3%略增至17.5%。第三和第四名之間的差距很小，分別是美國運通(10.6%)和維薩(10.2%)。到2020年，Visa釣魚頁面出現的次數是2019年(37.6%)的3.5倍。

圖7.針對Visa用戶的釣魚頁面示例

2019年金融網絡釣魚事件中最常見的網上商城中，蘋果是詐騙犯的第一選擇，占42.8%，亞馬遜(23.6%)和eBay(14.2%)的網上商店分別排名第二和第三。

圖8.2019年金融網絡釣魚中最常見的網商品牌

圖9.常見網商釣魚頁面示例

2020年，針對網絡商店釣魚攻擊持續增長，亞馬遜以27.84%的比例躍居第一，蘋果(27.07%)減少了15個百分點跌至第二位，Steam(14.90%)位居第三，而eBay(12.85%)位居第四。

圖10.2019年金融網絡釣魚中最常見的網商品牌

銀行惡意軟件-PC端

銀行惡意軟件常被用于竊取在線銀行及支付系統帳戶的憑證和一次性密碼。

銀行惡意軟件在2016年10月達到高峰——有1,494,236個用戶受到攻擊，之后受攻擊用戶數量開始逐漸下降。2020年也不例外，受攻擊的用戶數量已從2019年的773,943下降到625,364，下降了近20%。

這是因為網絡攻擊的目標正變得越來越明確——罪犯團伙現在更傾向于攻擊大型企業，但依然有很多普通用戶和小型企業成為了Zbot、CliptoShuffler、Emotet、RTM等惡意軟件的受害者。

圖11.2018 – 2020年受到銀行惡意軟件攻擊的唯一用戶數的動態變化

攻擊團伙

每年我們都會檢測到多個銀行惡意軟件家族，其中一些老面孔已經乏人問津，另一些則越來越熱門。以下是2019年檢測到的10大最活躍的銀行惡意軟件家族。以下是在2019年檢測到的最活躍的銀行惡意軟件家族前十，領先的是Zbot(21.6%)，RTM(19.8%)，Emotet(12.6%)，CliptoShuffler(5.6%)和Trickster(5.5%)。

圖12.2019年十大最廣泛的銀行惡意軟件家族

2020年十大銀行惡意軟件家族如下圖所示，其中前四個(Zbot，CliptoShuffler，Emotet和RTM)占了一半以上比例。

圖13.2020年十大最廣泛的銀行惡意軟件家族

雖然Zbot(22.2%)仍然是金融領域使用最多的惡意軟件，但榜單也有一些變化：RTM以10.5%從第二名下降到第四名，而另外兩個家族——CliptoShuffler(15.3%)和Emotet(14.5%)，在2020年都有所上升。兩年前排名第二的Gozi家族(3.3%)被擠到了第九位。

此外，2020年也是區域威脅行為向外部世界擴張的特殊年份。我們稱之為Tétrade的四大巴西銀行惡意軟件家族不僅瞄準了拉丁美洲，也瞄準了亞洲和歐洲國家。

受攻擊用戶的地理位置

為了評估和比較世界不同國家/地區的用戶所面臨的計算機感染風險程度，我們計算了每個國家/地區在報告期間內遭遇金融惡意軟件攻擊及用戶總數和比例。

在2019年和2020年遭受銀行惡意軟件攻擊的所有用戶中，10個國家/地區占了一半以上比例。2019年前十名如下：

圖14.2019年受銀行惡意軟件攻擊數量前十的國家/地區

2019年，俄羅斯占比33.6%，德國以7.4%排名第二，中國以3.3%的排名緊隨其后。

2020年情況如下：

圖15.2020年受銀行惡意軟件攻擊數量前十的國家/地區

盡管俄羅斯(26.6%)和德國(4.5%)的排名有所下降，但仍然占據前10名的前兩名。值得注意的是，俄羅斯的數字總是傾向于最高的是由于大多數卡巴斯基用戶位于俄羅斯。哈薩克斯坦曾以2%的收入排名第九，今年以兩個百分點的增長進入前三。

受攻擊的用戶類型

2020年受銀行惡意軟件攻擊的用戶中有36%是企業用戶，比上一年增加了一個百分點。這在一定程度上證實了我們關于網絡犯罪分子將注意力轉移到企業領域的假設，不過增長幅度相對較小，我們預計這個趨勢在未來會更加明顯。

圖16.企業vs個人用戶數據對比

總而言之，在2020年，由于對現場工作和員工的限制，以及遠程辦公員工數量的增加，企業安全變得更加脆弱。匆忙過渡到遠程辦公已經影響了公司的安全性，大多數企業還沒有準備好，缺乏相應的安全培訓，員工自己的電腦可能包含易受攻擊的遠程訪問連接——這些因素共同為各種攻擊鋪平了道路，包括銀行惡意軟件騙局。

與加密貨幣有關的網絡威脅

2018年，加密貨幣成為最熱門的話題，并吸引了整個網絡安全社區的目光。我們分析了網絡犯罪分子挖礦軟件的分發情況，發現如今惡意活動并沒有之前那么普遍。

圖17.2019年受挖礦惡意軟件攻擊的用戶數量

圖18.2020年受挖礦惡意軟件攻擊的用戶數量

圖19.2020年挖礦攻擊的地理分布

2020年，此類威脅的趨勢繼續下降，然而到年底，這一數字達到了一個穩定水平，甚至部分地區趨勢開始逆轉。加密貨幣價格在2020年底的大幅上漲很可能會加劇2021年初的威脅，此外由于新冠病毒危機，2021年一些經濟體可能會崩潰，當地貨幣可能會暴跌，使得加密技術更具吸引力。

銀行惡意軟件-移動端

2019年，受銀行惡意軟件影響的用戶數量從2018年的約180萬降至67.5萬。

圖20.2018年至2019年受到Android銀行惡意軟件攻擊的用戶數量

2020年，隨著受攻擊用戶數量下降不到60%至294,158。

圖21.2019年至2020年受到Android銀行惡意軟件攻擊的用戶數量

圖22.2019年最廣泛的Android銀行惡意軟件

2020年，Asacub(25.6%)的份額仍然是最重的。然而，自2019年以來，它縮水了18.8個百分點。特工(18.0%)仍然排在第二位，盡管比前一年要輕一些。 Svpeng(12.8%)主要是在被感染設備上尋找管理員權限，而今年卻受到Rotexy(17.9%)的挑戰，后者將銀行木馬功能與勒索軟件阻止程序的功能結合在一起。

2020年，Asacub(25.6%)依然是比例最高的，但這個數據自2019年以來縮水了18.8個百分點。Agent (18.0%)仍然排在第二位，比去年有所下降，Svpeng(12.8%)主要是在受感染設備上搜索管理員權限，Rotexy(17.9%)將銀行木馬的功能與勒索軟件攔截器的功能結合在一起。

圖22.2020年最廣泛的Android銀行惡意軟件

2020年出現了一些新的移動銀行惡意軟件，簡要概述如下：

• Trojan-Banker.AndroidOS.Ghimob.a
• Tétrade集團的新型銀行業惡意軟件Ghimob在2020年攻擊了巴西、巴拉圭、秘魯、葡萄牙、德國等地的銀行、交易所、加密貨幣交易所和金融科技組織，Ghimob共可以監視153個移動應用程序。
• Trojan-Banker.AndroidOS.Gorgona.a
• 該惡意軟件模仿Google Play，使用通知面板吸引用戶的注意。它可以發出和重定向調用，執行USSD命令，安裝額外的應用程序，并在需要時阻止設備。如果授予了使用可訪問性的權限，它可以獲得更多的權限，例如接收和處理文本消息，因此也可以獲得雙因素認證的控制權。它使用TCP進行C2通信，傾向于針對土耳其的銀行。
• Trojan-Banker.AndroidOS.Knobot.a

新型惡意軟件，除了網絡釣魚窗口和攔截兩因素身份驗證消息外，該木馬還提供了一些其他同類軟件不具備的功能，例如通過輔助功能服務攔截設備PIN碼的機制。諷刺的是，它要求受害者將權利委托給別人，甚至還提供了一個關于如何這樣做的小指導。

??

圖23.Trojan-Banker.AndroidOS.Knobot.a的屏幕截圖

受攻擊用戶的地理位置

2019年受Android銀行惡意軟件攻擊的用戶所占百分比排名前10的國家/地區：

2020年受Android銀行惡意軟件攻擊的用戶所占百分比排名前10的國家/地區：

從統計數據可以看出，所有國家都被徹底換牌。俄羅斯從2019年的第一移至2020年的第7。2019年沒有提及的日本(2.83%)和臺灣(0.87%)迅速躍居榜首，西班牙(0.77%)以近3000名受影響用戶取代了澳大利亞，位居第三。

結論

2020年的情況表明，網絡犯罪分子能夠很容易地適應不斷變化的世界——不斷更新惡意軟件的新特性，并改進檢測回避技術。新冠疫情的流行改變了公眾對在線購物的態度，犯罪團伙注意到了這種趨勢，并將注意力從銀行轉移到網絡商店。針對企業用戶的銀行木馬的新興趨勢也令人擔憂，這類攻擊帶來的問題可能比對個人的要更大。同時，針對金融組織的區域性詐騙正逐步蔓延到全球，有可能在2021年實現進一步增長。因此，即使總體統計數據看起來有所衰退，金融組織也仍然面臨的巨大威脅態勢。

為了抵御金融威脅，卡巴斯基建議用戶：

• 僅安裝從可靠來源(例如官方網站)獲得的應用程序;
• 檢查應用程序請求的訪問權限，如果與功能集不匹配則不授予;
• 切勿點擊垃圾郵件中的鏈接及所附的文檔;
• ·安裝受信任的安全解決方案。

為了保護企業免受金融惡意軟件的侵害，卡巴斯基建議：

• 為您的員工(尤其是負責會計的員工)引入網絡安全意識培訓，以教會他們檢測網絡釣魚頁面并提高員工的整體數字素養;
• 對于關鍵的用戶配置文件，例如財務部門的用戶配置文件，為Web資源啟用默認的拒絕模式，以確保只能訪問合法的用戶配置文件;
• 為使用的所有軟件安裝最新的更新和補丁;
• 為了保護免受復雜威脅和針對性攻擊的侵害，安裝用于網絡威脅檢測、事件調查和及時恢復措施的anti-APT和EDR解決方案，為您的SOC團隊提供最新的威脅情報和定期的技能和培訓。

本文翻譯自：https://securelist.com/financial-cyberthreats-in-2020/101638/如若轉載，請注明原文地址。