犯罪分子以API为攻击金融服务系统的目标

根据一份新报告，在截至2019年11月的一年中，针对金融服务行业的所有凭证滥用攻击中有75％直接针对API。

Akamai的研究发现了85,422,079,109个凭证滥用攻击。其中有近20％（即16,557,875,875个）与明确标识为API端点的主机名相对。其中，有473,518,955个攻击了金融服务行业的组织。

八月份，该公司记录了有史以来针对金融服务公司的最大的凭证填充攻击，其中包括55,141,782次恶意登录尝试。

Akamai安全研究员，《互联网/安全状况》报告的主要作者史蒂夫·拉根（Steve Ragan）说：“犯罪分子变得越来越有创造力，并且更加专注于他们如何获取实施犯罪所需的物品的途径。”针对金融服务业的犯罪分子密切关注这些组织使用的防御措施，并相应地调整其攻击方式。”

在所有行业中，SQL注入占攻击的72％，但对于金融服务企业而言，减少了一半，降至36％。本地文件包含（LFI）攻击利用了服务器上运行的各种脚本，可用于强制敏感信息泄露，占金融服务攻击的47％。

该报告还显示，DDoS仍然是网络犯罪武器库中的关键武器。尽管游戏和技术是最主要的目标，但40％以上的独特DDoS目标是在金融服务领域。

Ragan总结说：“安全团队需要不断考虑政策，程序，工作流程和业务需求，同时还要与组织良好且资金充裕的攻击者作斗争。” “我们的数据表明，金融服务组织通过采取灵活的安全态势，迫使犯罪分子改变其策略而在不断改善。”

完整的《 Akamai 2020年互联网状况/安全性报告》现已发布，明天（2月20日）将举行网络研讨会，讨论攻击方式及其防御方法。

图片来源：totalPic.com / Shutterstock