【TechWeb】2今天,阿卡迈科技公司发布了《2020年互联网安全报告》:金融服务——恶意接管尝试(Akamai2020StateoftheInternet/Security:FinancialServices–HostileTakeoverAttemptsReport)。
根据Akamai在金融服务业发起的撞库攻击中,高达75%的攻击直接进行API为目标。
根据调查结果,2017年12月至2019年11月,Akamai共观察到8542079109次撞库攻击。近20%的攻击(即16557875875次)被明确标记为API其中473518955家受到攻击的公司属于金融服务业。
但并非所有的攻击都是完全的API重点攻击目标。2019年8月7日,Akamai记录了一家金融服务公司的单次最大规模碰撞攻击(创造了Akamai历史记录)包括55141782次恶意登录尝试。这次攻击融合了API定向和其他方法。8月25日,在另一起事件中,犯罪分子直接将API作为攻击目标,连续发动了1900多万次撞库攻击。
Akamai《互联网安全报告》安全报告首席作者SteveRagan表示:“犯罪分子越来越有创造力,非常重视获取犯罪所需资源的方式。金融服务业的犯罪分子正密切关注行业公司使用的防御措施,并相应调整攻击模式。”
这种攻击动态正在演变。报告显示,犯罪分子通过多种方式不断挖掘数据,从而在服务器上获得更稳定的立足点,最终试图成功。
24个月的报告观察,SQL注入(SQLi)攻击占所有垂直市场观察到的攻击的72%以上。如果只观察金融服务业的攻击,这一比例将减半至36%。金融服务业的主要攻击类型是当地文件(LFI),占观察到流量的47%。
LFI攻击使用各种脚本在服务器上运行,因此可以用来强制泄露敏感信息。LFI攻击也可用于在客户端执行命令(如容易攻击)JavaScript文件),可能导致跨站点脚本攻击(XSS)和拒绝服务(DoS)攻击。XSS是金融服务的第三大常见攻击类型,Akamai记录了5070万次此类攻击,占观察到的攻击流量7.7%。
报告还显示,犯罪分子继续使用分布式拒绝服务(DDoS)攻击是攻击金融服务公司的核心攻击手段。Akamai根据2017年11月至2019年10月的观察,金融服务业在所有行业中排名第三,前两名是游戏和高科技行业。然而,超过40%的是唯一的DDoS攻击目标是金融服务业。因此,如果从唯一受害者数量来看,金融服务业是第一个目标行业。