Akamai：网络罪犯正在攻击金融服务公司的API

 
Akamai Technologies的研究凸显了一个令人不安的趋势：网络犯罪分子针对金融服务公司的应用程序编程接口(API)。在“ Akamai 2020年互联网安全状况”报告中，该公司表示，针对金融服务行业的所有凭证滥用攻击中，有多达75%的攻击直接针对了API。
Akamai在一封电子邮件中表示，在API定位中，犯罪分子使用允许线程或多个同时连接的机器人和工具一次尝试多次登录。他们希望通过针对API来避免某些前端防御，并加快验证时间。
研究发现表明，从2019年5月到今年年底，向针对API的犯罪分子发生了巨大变化。
从2017年12月到2019年11月，Akamai观察到854.2亿份凭据滥用攻击。将近20%(即165.5亿)与明确标识为API端点的主机名相对。其中，4.735亿攻击了金融服务行业的组织。
当犯罪分子获取用户名/密码列表(称为组合列表)并尝试登录各种服务和平台时，就会开始凭证滥用攻击。这些攻击是通过漫游器或多合一应用程序进行的，旨在模仿有人登录给定的服务或平台，就像服务器会查看您登录到电子邮件帐户或银行一样。这些攻击的目标是欺诈和帐户接管。有时，它们被用来窃取信息，也可以被用来进行财务欺诈。
但是，并非所有攻击都只针对API。 2019年8月7日，Akamai在其记录中记录了针对金融服务公司的最大的凭证填充攻击。该攻击包括5510万次恶意登录尝试，并使用了API定位和其他方法。 8月25日，在另一起事件中，犯罪分子直接针对API进行了攻击，其中包括超过1900万次凭据滥用攻击。
Akamai安全研究员，《 2020年报告》的主要作者史蒂夫·拉根(Steve Ragan)在一份声明中表示，犯罪分子在获取所需信息方面正变得越来越有创意。他说，针对金融服务业的犯罪分子会密切关注这些组织使用的防御措施，并相应地调整其攻击方式。他们也愿意适应，这就是为什么API攻击在最近几个月中增长了75%，为何本地文件包含(LFI)成为最主要的Web攻击方法，以及为何40%以上的独特分布式拒绝服务(报告中观察到的DDoS攻击是针对金融服务的。
该报告表明了这种动态的攻击动态，犯罪分子继续采用多种方法来在服务器上获得更大的立足点并最终取得成功。
在报告观察到的24个月内，从所有垂直方向来看，SQL注入(SQLi)占攻击总数的72%以上。仅查看金融服务攻击，这一比例减半至36%。针对金融服务业的最大攻击类型是LFI，占观察到流量的47%。
LFI攻击利用服务器上运行的各种脚本，因此可以使用这些类型的攻击来强制敏感信息泄露。 LFI攻击也可用于客户端命令执行(例如易受攻击的JavaScript文件)，这可能导致跨站点脚本(XSS)和DDoS攻击。 XSS是针对金融服务的第三大常见攻击类型，记录的攻击次数为5,070万，占观察到的攻击流量的7.7%。
该报告还显示，犯罪分子继续将DDoS攻击作为其武器库的核心组成部分，特别是针对金融服务组织。 Akamai在2017年11月至2019年10月的观察结果显示，金融服务行业的攻击量排名第三，其中最常见的目标是游戏和高科技领域。但是，超过40%的独特DDoS目标是在金融服务行业中，这使得该部门成为考虑独特受害者时的首要目标。
拉格说：“安全团队需要不断考虑政策，程序，工作流程和业务需求，同时还要与组织良好且资金充足的攻击者作斗争。” “我们的数据表明，金融服务组织通过采取灵活的安全态势，迫使犯罪分子改变其策略而在不断改进。”