Akamai：针对金融服务的撞库攻击75%以API为目标

本篇文章1018字，读完约3分钟

2月21日，Akamai技术公司今天发布了Akamai 2020互联网/安全状况:金融服务恶意收购企图报告。

根据akamai的数据，高达75%的针对金融服务行业的攻击直接针对api。

根据该报告的调查结果，从2017年12月到2019年11月，akamai共观察到85422079109起针对图书馆的攻击。近20%的攻击(即16557875875次)是针对被明确识别为api端点的主机名，其中473518955家被攻击的公司属于金融服务行业。

但是并不是所有的攻击都完全集中在api上。2019年8月7日，akamai记录了针对一家金融服务公司的最大一次攻击(创造了akamai的历史记录)，包括55，141，782次恶意登录尝试。这种攻击结合了面向api和其他方法。8月25日，在另一起事件中，犯罪分子直接针对api，并连续对图书馆发起了1900多万次攻击。

阿卡迈安全研究员、《互联网安全状况报告》的主要作者史蒂夫拉根说:“犯罪分子变得越来越有创造力，他们也非常关心如何获得犯罪所需的资源。以金融服务业为目标的犯罪分子正密切关注该行业公司所采取的防御措施，并相应调整攻击模式。

这种攻击动态在不断演变。报告显示，犯罪分子不断通过各种方法挖掘数据，以便在服务器上获得更稳定的立足点，并最终在尝试中取得成功。

在报告中观察到的24个月中，sql注入(sqli)攻击占所有垂直市场中观察到的所有攻击的72%以上。如果只观察到对金融服务业的攻击，这一比例将减半至36%。对金融服务行业最重要的攻击类型是本地文件包含(lfi)，占观察流量的47%。

Lfi攻击利用运行在服务器上的各种脚本，因此这种攻击可以用来强制泄露敏感信息。Lfi攻击也可用于在客户端执行命令(如易受攻击的javascript文件)，这可能导致跨站点脚本攻击(xss)和拒绝服务(dos)攻击。Xss是针对金融服务的第三大常见攻击类型，akamai记录了5070万次此类攻击，占观察到的攻击流量的7.7%。

该报告还显示，犯罪分子继续使用分布式拒绝服务(ddos)攻击作为其核心攻击手段，尤其是在攻击金融服务公司时。根据akamai在2017年11月至2019年10月的观察，在所有行业中，金融服务行业在攻击量方面排名第三，排名前两位的是游戏和高科技行业。然而，超过40%的ddos攻击都是针对金融服务业的。因此，从独特的受害者人数来看，金融服务业是第一个目标行业。

来源：搜狐微门户