8月5日，安全數字化體驗智能邊緣平臺Akamai最新發(fā)布了《2019年互聯(lián)網安全狀況報告：針對金融服務業(yè)的攻擊經濟》，報告顯示，在所有受網絡釣魚域影響的企業(yè)中，有50%來自金融服務行業(yè)。

Akamai 數據表明，在18個月的時間里，攻擊者發(fā)起了35億次攻擊嘗試，不僅利用了網絡釣魚攻擊，還利用了撞庫攻擊。

報告顯示，從2018年12月2日至2019年5月4日，共有197524個網絡釣魚域被檢測出來，其中66%的網絡釣魚域直接瞄準消費者。如果僅考慮直接瞄準消費者的網絡釣魚域，這些被網絡釣魚域瞄準的企業(yè)有50%來自金融服務行業(yè)。

Akamai分析認為，撞庫攻擊次數在去年直線上升，這在一定程度上是因為針對消費者的網絡釣魚攻擊不斷增加。犯罪分子通過網絡釣魚攻擊對現有的被盜憑據數據加以補充，然后通過劫持帳戶或轉賣他們創(chuàng)建的列表賺取利益，而這還只是他們賺錢的其中一種方式。

犯罪分子成功實施犯罪后，需要處理非法獲得的數據和資金。

Akamai報告指出，犯罪分子處理這種情況的方法之一是利用“Bank Drops”數據包，可用于在特定金融機構進行欺詐性開戶。Bank Drops通常包括個人被盜身份（通常被網上的犯罪分子稱為“Fullz數據”，其中包括姓名、地址、出生日期、社會保障詳細信息、駕照信息和信用評分）。他們通過遠程桌面服務器安全訪問欺詐帳戶，這些服務器與銀行的地理位置和“Fullz”數據完全匹配。

Akamai的研究結果表明，在金融服務行業(yè)遭受的攻擊中，94%的攻擊源自以下四種方法之一：SQL注入（SQLi）、本地文件包含（LFI）、跨站點腳本執(zhí)行（XSS）和OGNL Java注入。OGNL Java注入因Apache Struts漏洞而廣為人知。在發(fā)布補丁程序后數年，依然有攻擊者在使用這種方法。

此外，在金融服務行業(yè)，犯罪分子已經開始通過發(fā)動DDoS攻擊，來分散人們對撞庫攻擊的關注或利用基于Web的漏洞。在18個月的時間里，Akamai發(fā)現，僅針對金融服務行業(yè)的DDoS攻擊就超過了800次。