引言和方法论

网络金融威胁包括以攻击用户网银服务、电子金钱、加密货币等其他类似服务为主的恶意程序，以及旨在入侵金融机构及相关基础设施的威胁。在用户同意数据传输协议的情况下，卡巴斯基专家定期分析匿名上传到卡巴斯基网络安全软件云端的数据。为了研究金融领域的威胁形势，研究人员分析了安装卡巴斯基安全解决方案的个人用户设备上的恶意活动案例。在获得用户允许后，卡巴斯基通过企业安全解决方案收集企业用户数据。为了追踪恶意软件的发展趋势，这些数据都与2018年同期数据进行比较。我们将这些季度性统计结果分为两类：企业用户和个人用户。一般来说，第二第三季度的数据与第一第四季度的数据差异较大，人们往往在第一第四季度期间出去度假，并且在这一期间企业金融活动也相对较少。报告中还分析了最为活跃的恶意软件家族。

主要发现

· 2019年上半年，超过43万不同用户受到金融威胁攻击，较2018年同期上升了7个百分点。

· 2019年上半年，金融攻击的次数达10493792次，与18年第一第二季度相比，增长了93%。

· 2019年上半年，卡巴斯基收集到的金融威胁恶意软件样本数量达5242462，比上一年多了74%。

· 受到金融恶意软件攻击用户比例最高的国家分别是中国和白俄罗斯（各2.3%），第二和第三位分别是委内瑞拉（2.2%）和韩国（2.1%）。

· 2019年上半年，卡巴斯基成功阻止了超过339000次伪装成大银行诱导用户的钓鱼页面。

· 2019年上半年，438709名用户受到移动端金融威胁，比2018年同期减少23%。

· 2019年上半年移动端金融攻击达到3730378次，较2018年上半年增加了107%。

电脑端威胁：银行恶意软件和钓鱼攻击

在2019上半年，卡巴斯基专家检测到有431,088位用户受到以窃取资金和财务数据为目的的银行木马攻击，较2018年同期（400,830）增长了7个百分点。

同时，2019上半年，受到攻击的企业用户占整体的30.9%。在2018年上半年，这一比例仅为15.3%。

研究人员还注意到，在2019年恶意文件的数量也有一个明显的增长。仅在第一季度，卡巴斯基收集到的样本数量就已经是18年同期的两倍，多达335,000。但在第二季度，这一增速稍有减缓。

此外，攻击频率也提高了：在2019年的头两个季度，卡巴斯基保护解决方案检测到的尝试使设备感染的次数分别超出18年同期的51%和27%。

为了更全面地分析威胁情况，专家根据银行木马在2019年第一第二季度的活跃程度列了一份名单，并按照它们攻击的用户数量进行排序。39.50%的企业用户受到RTM木马攻击，这是去年最常见的恶意软件之一。排在第二位的是Emotet（14.90%），它能够在受感染的设备上加载其他恶意软件。排在第三位的Trickster木马就能够通过Emotet安装到被害者电脑上。

对个人用户来说，情况又稍有不同。上述的RTM和Emotet分别排在第二（24.5%）和第三（6.4%）位。排在第一位的是Zbot，它同样也是2018年最常见的木马之一。这种恶意软件通常通过邮件或钓鱼网站传播。在2019年上半年，卡巴斯基成功阻止了超过339000次伪装成大银行诱导用户重定向至钓鱼页面的攻击尝试。

地理分布

今年上半年受到金融恶意软件攻击占比最大的前10个国家没有地缘政治相似性，也并不局限于特定区域内。排在首位的是中国和白俄罗斯（2.3%），其次是委内瑞拉（2.2%）和韩国（2.1%）。

移动端威胁

2019年上半，攻击者活跃使用金融服务和银行机构巨头的名义对移动端用户发起攻击。研究人员发现有438,709位不同用户遭到移动银行木马攻击。2018年上半年受到攻击的用户数量为569,057，下降了23%。

同期，移动端总攻击的数量也呈相似趋势。

在2018年下半年，检测到的攻击次数和受攻击的用户数量都迅速升到顶峰，共有1,333,410位用户受到总计10,256,935次攻击。Asacub银行木马的活跃和Svpeng银行木马的大量传播都是导致快速增长的原因。从卡巴斯基收集的数据中可以看到，Asacub攻击次数在2018年下半年达到顶峰，几乎是2018上半年的1000倍。但到2019年上半年，这一趋势开始逐渐平缓。

从下图中可以清楚看到Asacub对整体数据的影响。

自从2018年上半年开始，检测到的恶意文件（安装包）数量一直在下降，2019年上半年下降了43%。与此同时，研究人员检测到的攻击次数增长了107%。

2019年上半年针对移动平台的恶意软件家族几乎和2018年的整体排名完全一致。

超过一半的用户（51.39%）受到Asacub恶意软件的攻击。该恶意软件在去年强势增长，在它的顶峰时期，每天都会攻击多达四万名用户。这与木马的分发方式有一定的联系：在它感染了受害者的手机后，会将含有下载安装文件链接的短信发给所有联系人。

紧随其后的是Agent家族（16.5%）。这是无法被归为某个特定家族或仅有单一样本的银行木马分类。

14.91%的用户受到Sypeng木马攻击。和大部分银行木马一样，Sypeng向用户展示一个虚假的登录页面，并拦截用户输入的登陆凭证。

Anubis木马格外有意思。它拦截登陆大型金融机构的数据以及双因素认证数据（短信验证码），并通过加密数据来勒索钱财。它是少数通过WhatsApp等即时通讯应用程序，将恶意链接发给受害者联系人来传播的银行木马。Anubis还是首个将YouTube上的评论作为命令中心，让攻击者管理恶意软件的网络威胁之一。它通常是这样运作的：恶意软件编写者在YouTube上传一个视频并在描述或评论中留下指令。恶意软件访问该视频页面，读取描述或评论并执行指令。

由于YouTube是一个公共资源，因此在分析受感染的用户流量时，即便是网络安全专家发现了YouTube的访问链接，也不会产生怀疑。他们甚至可能意识不到这些请求是恶意软件而不是用户发出的。更甚，你无法屏蔽这种通讯，因为这可能导致用户无法访问YouTube网站。

结论和建议

2019年上半年，与18年同期相比，个人电脑受到金融恶意软件攻击的用户数量增多，以移动设备为网络犯罪目标的活动减少。

2019年攻击用户的主要恶意软件与往年相同：Asacub依旧是移动平台的主要威胁，在电脑方面，RTM（针对企业用户）和Zbot（针对个人用户）最为活跃。

很难说在哪一个地区的金融威胁活动最为活跃，所有地区的威胁水平都差不多。

为了避免遭受金融威胁，卡巴斯基建议用户：

· 仅从官方商店等可信来源安装应用。

· 检查应用程序请求的访问权限，对与程序设计的功能不相关的权限要求保持警惕。

· 不要打开垃圾邮件或垃圾信息中的链接和附件。

· 使用可靠的安全解决方案，在移动设备上也同样适用。

为了避免你的企业被金融恶意软件攻击，卡巴斯基安全专家建议：

· 对员工（尤其是负责会计的员工）进行网络安全意识培训，教他们如何识别钓鱼攻击，以及不要打开来自未知或可疑地址的链接和附件。

· 将所有使用的软件更新到最新版本并安装安全补丁。

· 禁止安装未知来源程序。

· 安装卡巴斯基端点检测和响应等EDR解决方案应对终端检测、调查和及时恢复等问题。它甚至能够捕获未知的银行恶意软件。

· 将威胁情报整合到你的SIEM和安全控制系统中，以便访问最相关和最新的威胁数据。