原创 马宇陶&刘广坤 2025-02-25 08:46 中国香港
任重道远
楔子:消除网络安全事件所带来的负面心理影响,提升金融消费信心的路程任重而道远。
为了进一步推进粤港澳大湾区金融开放创新,深化内地与港澳金融合作,加大金融支持粤港澳大湾区建设力度,提升粤港澳大湾区在国家经济发展和对外开放中的支持引领作用,人民银行、银保监会、证监会、外汇局于2020年联合发布《关于金融支持粤港澳大湾区建设的意见》【银发〔2020〕95号】。其中第三十条指出:“加强粤港澳金融消费权益保护。督促金融机构完善客户权益保护机制,切实负起保护消费者权益的主体责任。健全粤港澳大湾区金融消费权益保护工作体系。加强粤港澳三地金融管理、行业组织等单位协作,探索构建与国际接轨的多层次金融纠纷解决机制。加强投资者教育,引导市场主体树立风险意识。”而金融消费权益保护的成果,可以从其客户的信心进行推断。
“匹夫无罪,怀璧其罪”,金融机构由于代客户管理财产的行业性质,历来被犯罪分子所觊觎,同时对于国家战略而言,金融行业的地位也毋庸置疑。随着科技发展,金融行业已经整体进入数字化时代,因此优先考虑网络安全变得越来越重要,它也是金融服务消费者能够非常直观所感受到的服务面,并通过消费信心反馈到金融机构。而近年来频发的金融行业网络安全事件,使得消费者对金融服务的信心受到了影响。
上述列表中需要注意的是,虽然钓鱼攻击对机密性的影响度非常高,但客户却难以感知,直至损失真实发生。
根据波士顿咨询集团(Boston Consulting Group)的研究,与其他行业的公司相比,金融服务公司每年遭受网络攻击的可能性高达300倍。FS-ISAC透露,被攻击的对象包括银行、交易所、支付公司、发卡机构、工资发放公司、保险公司和汇款服务公司。以下基于主要网络攻击类型进行分解:
网络钓鱼攻击对金融机构及其消费者来说都是一个具有挑战性的问题。网络犯罪分子经常使用网络钓鱼战术来诱骗用户放弃敏感数据或下载恶意软件。网络钓鱼攻击倾向于以消费者为目标,但企业和员工账户也容易受到影响。网络钓鱼攻击与暗网市场上被盗用户账户交易的持续需求形成闭环累进作用。网络犯罪分子为了实施欺诈购买账户凭证,然后发动第二阶段的攻击,一些网络钓鱼工具包能够帮助攻击者绕过身份验证,甚至是双/多因素身份验证。
APWG(Anti-Phishing Working Group)一份报告(PHISHING ACTIVITY TRENDS REPORT _q1_2022)显示,在统计周期内遭受钓鱼攻击的行业中金融机构高居榜首。(见下图)
调查报告同时显示出,钓鱼攻击处于上升趋势。(见下图)
进入2024年,人工智能能力的快速提高以及应用的广泛性,也给网络犯罪分子带来更强大的武器,使得钓鱼攻击更加难以被识别。
AIGC(生成式人工智能)可以消除拼写错误和语法错误,并采用令人信服的专业写作风格,从而使传统的网络钓鱼攻击(通过电子邮件、直接信息和虚假网站)变得更加现实。大型语言模型(LLM)还可以从新闻媒体、企业网站和其他来源吸收实时信息。
图例:钓鱼邮件示例
语音钓鱼在AI的发展下也被网络犯罪分子进行利用,他们使用电话、语音信息和语音邮件诱骗人们分享敏感信息。例如,有报道称,对米高梅度假村的大规模勒索软件攻击始于攻击者致电IT服务台并冒充米高梅员工,通过欺骗IT团队重置员工的密码,从而使攻击者获得网络访问权限。
网络钓鱼攻击沉重的打击了消费者信心,尤其是对因此而产生损失的消费者。有调查显示遭受过网络攻击的消费者,更倾向于使用传统的金融服务。
根据一份网络安全调查报告数据显示,金融服务中的勒索软件攻击率从2022年报告中的55%上升到2023年的64%,几乎是2021年报告中34%的两倍。调查报告称81%的组织表示他们的数据被加密,且在遭受攻击的调查中,有四分之一(25%)的数据同时被窃取,数据加密和数据泄露复合攻击正变得越来越普遍。例如:下图显示了某银行遭受的双重勒索攻击。
勒索攻击发生后,金融服务消费者能够明确的感知到服务的中断或延迟,从而影响对金融服务能力的信心。
DDoS攻击者通过对银行发起攻击,导致网站响应时间变慢,并阻止客户访问他们的网上银行和其他金融应用程序,从而造成破坏。DDoS的危害显而易见,消费者无需专业知识即可以明确的感受到网站响应时间变慢或无法访问,他们也无需从专业机构的报道中获取这一信息。
DDoS攻击造成金融机构服务中断,每1个小时的停机时间都会给金融机构带来高昂的业务损失,而因此造成的客户信心下降,从而引发的客户流失则加大了金融机构的长期成本,因此针对DDoS响应的时间越短越好。
上图显示了根据F5基于其历史数据的研究,将DDoS攻击的行业分为“技术”、“金融、银行和保险”、“政府”、“教育”和“其他”,由此凸显出金融机构所面对的攻击烈度。
研究还显示出金融及相关行业的DDoS攻击技术分类中应用的占比越来越多(见上图),这可能是因为金融行业在过去的网络安全建设中已经做好了防御容量和协议攻击的准备,或者攻击者聚焦于针对特定应用程序进行DDoS攻击,或者两者兼而有之。
需要注意的是针对金融机构的DDoS攻击往往并不是犯罪分子的终极目的,有时候仅仅是作为其转移受害者注意力的一种策略,分散安全团队的注意力,其真实目的可能是为了获取和窃取敏感的金融服务数据,例如:获得敏感的客户数据(如金融凭证),网络犯罪分子就可以开设虚假账户、获取资金并继续他们的欺诈活动模式。这些活动的后果将进一步加剧消费者对金融机构信任度的下降。
虽然金融机构在网络安全层面已经做了非常多的工作,但考虑在风险环伺的数字世代环境下,金融机构为了更有效以及更大程度的提高客户信心,以下措施或应进行考虑:
清晰的网络安全责任认知:无论是从监管还是金融机构运营的自身角度,从董事会到运营团队都应当清晰的认识到各自应当承担的责任,机构内所有部门和人员需要齐心协力,建立起技术与行动一体的网络安全防御体系,以赢得消费者的信任。
合理的适应性网络安全投资:由于金融机构是犯罪分子进行网络攻击的重点目标,且新型犯罪工具层出不穷,因此网络金融机构需要足够的资金发展网络安全能力,保持网络安全的持续性和创新技术应用的频度。
对金融消费者持续且定期的网络安全意识传递:随着客户越来越依赖数字渠道进行金融交易,网络威胁的频率和数量也伴随增加。历年来报道通过社会工程进行的欺诈屡见不鲜,且在网络威胁中所占比例居高不下。面向消费者的威胁需要金融机构采取更加积极主动的措施,在主动侦测与联合执法机构打击该类犯罪的前提下,同时提醒消费者注意此类风险,并告知他们如何应对此类攻击。
主动的网络安全评估:包括渗透测试、漏洞评估及外部威胁评估,以确保机构充分意识到网络安全风险并采取适当的措施响应、解决当前存在的和持续存在的问题。
多方协作共同打击犯罪:金融机构需要配合监管机构,利用行业协同机制(例如:行业网络威胁情报共享组织),借助第三方企业共同打击犯罪,以保障消费者权益和提供恰当的隐私保护。
消费者的信任在金融服务中至关重要,金融机构赢得和保持消费者的信任是机构长远发展的重要因素,同时也是金融行业繁荣的根本。然而全球频繁的金融行业网络安全事件报告,体现出了金融机构网络安全投资不充分、网络安全团队能力不足、消费者网络安全意识欠缺等诸多挑战。这些案例给大湾区金融科技发展带来了反思的现实依据,提醒相关金融机构所需要认识的现状:消除网络安全事件所带来的负面心理影响,提升金融消费信心的路程任重而道远,金融机构需要从网络安全指导方针、投资、框架、技术以及法规等角度全方位审慎思考和提升。
参考资料:
https://www.gov.cn/gongbao/content/2020/content_5528190.htm
https://www.upguard.com/blog/biggest-cyber-threats-for-financial-services
https://www.cyberdefensemagazine.com/the-biggest-cyber-threats-for-the-financial-industry-in-2023/
https://www.imperva.com/blog/why-banks-are-still-a-top-target-for-ddos-attacks/
https://www.f5.com/labs/articles/threat-intelligence/2023-ddos-attack-trends
https://www.lumificyber.com/blog/cyberattacks-banks-5-threats-2023/
https://docs.apwg.org/reports/apwg_trends_report_q1_2022.pdf
https://news.sophos.com/en-us/2023/07/13/the-state-of-ransomware-in-financial-services-2023/
作者介绍
关于 大湾区金融安全专刊
大湾区专刊现已发布第1辑和第2辑,集合了全国数十家金融和科技机构的网络安全工作经验总结,更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
专刊获取方式
