致力于全面解决人为风险管理问题的全球知名网络安全平台KnowBe4发布了最新研究报告——《金融行业威胁报告》,就全球金融行业面临的不断升级的网络安全危机揭示了关键洞察。报告指出,金融机构正面临AI增强攻击、凭证盗窃和供应链漏洞的多重威胁,这些因素对全球金融业构成系统性风险。
研究显示,2024年几乎所有(97%)美国主要银行均遭遇第三方漏洞攻击,针对金融机构的定向入侵同比增长109%。最令人担忧的是,对大型金融机构的测试发现,近45%的员工可能点击恶意链接或下载受感染文件,为威胁行为者创造了切入点。报告强调,威胁行为者正利用FraudGPT和ElevenLabs等AI工具开展更具迷惑性的钓鱼活动,同时从传统勒索软件加密转向数据渗出和多阶段勒索计划。这一演变使攻击者能够使用合法凭证,显著增加了检测难度。根据纽约联邦储备银行的员工报告,主要银行的支付系统哪怕中断一天,也可能影响全球38%的网络银行。
报告的主要发现:
全球金融服务公司每年遭受的网络攻击数量是其他行业的300倍之多,2024年入侵事件同比增长25%。
2024年,97%的美国最大银行遭受第三方漏洞攻击,100%的欧洲顶级金融公司遭受供应商漏洞攻击,凸显了供应商生态系统的脆弱性。
对超过300万条暗网帖子的分析显示,被盗凭证数量远超信用卡盗窃;2024年信息窃取恶意软件感染尝试增长58%,68%的攻击源自电子邮件。
美国占金融机构勒索软件攻击总量的60%,美国和英国合计占攻击总量的70%以上,针对南亚和拉丁美洲新兴市场的攻击活动日益增加。
大型金融机构的初始“钓鱼易感性百分比”(Phish-prone™ Percentage, PPP)为44.7%,但全面的安全意识培训可将钓鱼易感性降至5%以下。
KnowBe4安全意识倡导者James McQuiggan表示:“对手在与金融行业的对抗中正占据上风。传统防御已不再足够,威胁行为者发现窃取有效凭证比勒索软件更有效,因为这能让他们在未被察觉的情况下渗透系统。这场战斗的核心在于人为层面。金融机构必须将人为风险管理列为优先事项,以填补这一关键安全漏洞。”
