日益增加的移动诈骗攻击分析简报

移动设备，早就已经成为了攻击者的主要目标，因此移动端诈骗攻击的活动愈加频繁也就不足为奇了。目前，有大约58%的数字交易活动是通过移动端设备发起的，而且现在的网络攻击活动中有1/3也是针对移动端设备的。在美国就更加严重了，每年全球针对移动端的诈骗攻击增长率约为24%，但美国的同类攻击增长率每年约为44%，你们说惨不惨…

本文的数据来源于TreatMetrix发布的2018年第二季度网络犯罪报告【 PDF】，而这份报告的采样数据来源于研究人员对2018年第一季度里176亿条数字交易记录的分析结果。

ThreatMetrix的高层Alisdair Faulkner表示：“移动端设备已经迅速成为了人们访问在线商城和网络服务的主要方式了，因此针对移动端设备攻击活动的数量迅速增长，这也在我们的意料之中。除此之外，无论用户还是厂商，他们都喜欢移动端设备，而主要原因就是移动端设备可以当做一个人的身份标识。”

对于厂商来说，移动端交易比桌面端交易要更加安全。而对于用户来说，移动端交易实现起来也更加方便。这个过程中交易机制的基础规则为：独立设备可以通过身份验证机制来进行安全识别，而个人用户能够与移动端设备进行绑定，并通过内置的生物识别功能（例如面部识别、声纹识别和指纹识别）等健壮性较强的验证机制来对个人用户进行安全识别。

比如说，MasterCard（万事达卡）就率先在用户身份识别中采用了基于手机和生物识别的验证方案，但这样只会增加使用移动端设备完成金融交易的用户数量，因为这种方式也是一把双刃剑。卡巴斯基实验室的安全研究专家David Emm认为：“存储在服务提供商的数据库里的生物识别数据跟用户名和密码一样，是有可能被网络犯罪分子窃取的。一旦发生了数据泄露，客户的用户名和密码能够修改，但生物识别数据却是没法修改的，因为这种数据你一辈子都无法改变（整容也没用啊…）”

Faulkner补充说道：“但好消息就是，随着移动端设备的使用频率迅速增长，用户的总体识别成功率也在随之增高，因为各种移动端App为了抢夺市场，他们会设计出各种各样更高精准度的用户身份识别技术。然而，整个过程最关键也是最脆弱的环节就在于应用程序的注册阶段以及用户账号的创建阶段。”

需要注意的是，针对移动端设备的攻击活动很可能会在短期之内迅速增加，尤其是在欧洲的PSD2（开放银行条款）发布之后，而这一条款的主要目的就是推动新兴金融科技公司以及相关应用程序的增长和发展。这样一来，又会有更多的网络犯罪分子将他们的“矛头”指向这些“新人”，这也是不可避免的。其实整个金融服务行业已经徘徊在了改革的“悬崖”边上，而欧洲地区的各大银行也在小心翼翼地等待着，他们都在思考如何向第三方供应商（账户信息服务提供商或支付服务提供商）开放API接口才能让大家都满意。

目前，最大的威胁来自于设备欺骗，欺诈攻击者会尝试欺骗银行让他们认为此次“登录尝试”来自于新的用户设备，而目前有超过5%的交易尝试来被认定为此类攻击。身份欺骗则是第二大威胁，约占3.6%，但对于针对金融服务的特定攻击来说，网络犯罪分子通常会使用的是凭证窃取，而非身份欺骗。除此之外，这一季度有25%的新增电子商务账号应用都是欺诈攻击的产物，而这一数字跟2017年同期相比增加了130%。

其他常见的攻击类型包括IP欺骗、基于浏览器的中间人攻击或BOT攻击。使用僵尸网络发动的攻击活动也越来越频繁了，2018年第二季度总共检测到了26亿次BOT攻击，相较于2018年第一季度增长了60%，而这些BOT会使用自动化脚本和窃取到的凭证来尝试访问目标账号或进行欺诈交易。

ThreatMetrix还警告称，随着全球金融体的连接紧密度在不断加深，企业需要确保他们能够动态地去识别和分析各种欺诈活动，而此时基于行为的欺诈检测系统就可以“大放异彩”了。

*参考来源： securityweek，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM